À l'occasion de l'examen d'un projet de création relatif aux modalités d'évaluation des personnes se déclarant mineures et privées temporairement ou définitivement de la protection de leur famille, et autorisant la création d'un traitement de données à caractère personnel relatif à ces personnes, le Conseil d'État (section de l'intérieur) introduit, à l'article R. 221‑15‑5 du code de l'action sociale et des familles, une disposition visant à effacer les données à caractère personnel relatives à des personnes dont il serait établi au cours de la procédure d'évaluation de la minorité qu'elles sont de nationalité française.

En effet dès qu'il est établi que l'intéressé est français, l'effacement du traitement, au regard de ses finalités, s'impose en tant que vocation du traitement est l'aide à l'évaluation de la minorité de personnes étrangères.

L'article 22, paragraphe 1, du RGPD doit être interprété en ce sens que l'établissement automatisé, par une société fournissant des informations commerciales, d'une valeur de probabilité fondée sur des données à caractère personnel relatives à une personne et concernant la capacité de celle‑ci à honorer des engagements de paiement à l'avenir constitue une « décision individuelle automatisée », au sens de cette disposition, lorsque dépend de manière déterminante de cette valeur de probabilité le fait qu'une tierce partie, à laquelle ladite valeur de probabilité est communiquée, établisse, exécute ou mette fin à une relation contractuelle avec cette personne.

Dans le cadre d'un projet de décret autorisant la mise en œuvre par le ministère de l'éducation nationale d'un traitement ayant pour finalité d'améliorer la prise en charge et le parcours scolaire des élèves à besoins éducatifs particuliers, dont des élèves handicapés, compte tenu des données traitées, de la minorité d'un grand nombre de personnes concernées par le traitement, du cadre dans lequel elles sont recueillies et du considérant 38 du RGPD qui indique que « Les enfants méritent une protection spécifique en ce qui concerne leurs données à caractère personnel parce qu'ils peuvent être moins conscients des risques, des conséquences et des garanties concernées et de leurs droits liés au traitement des données à caractère personnel », la CNIL considère que le contrat de sous-traitance devrait prévoir l'interdiction de transférer les données hors de l'Union européenne.

L'article 4, paragraphe 1, sous c) et e), de la directive (UE) 2016/680 du Parlement européen et du Conseil, du 27 avril 2016, relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d'enquêtes et de poursuites en la matière ou d'exécution de sanctions pénales, et à la libre circulation de ces données, et abrogeant la décision - cadre 2008/977/JAI du Conseil, lu en combinaison avec les articles 5 et 10, l'article 13, paragraphe 2, sous b), ainsi que l'article 16, paragraphes 2 et 3, de celle-ci, et à la lumière des articles 7 et 8 de la charte des droits fondamentaux de l'Union européenne doit être interprété en ce sens qu'il s'oppose à une législation nationale qui prévoit la conservation, par les autorités de police, à des fins de prévention et de détection des infractions pénales, d'enquêtes et de poursuites en la matière ou d'exécution de sanctions pénales, de données à caractère personnel, notamment de données biométriques et génétiques, concernant des personnes ayant fait l'objet d'une condamnation pénale définitive pour une infraction pénale intentionnelle relevant de l'action publique, et ce jusqu'au décès de la personne concernée, y compris en cas de réhabilitation de celle-ci, sans mettre à la charge du responsable du traitement l'obligation de vérifier régulièrement si cette conservation est toujours nécessaire, ni reconnaître à ladite personne le droit à l'effacement de ces données, dès lors que leur conservation n'est plus nécessaire au regard des finalités pour lesquelles elles ont été traitées, ou, le cas échéant, à la limitation du traitement de celles-ci.

L’Article 4, paragraphe 3, du règlement n°2252/2004 établissant des normes pour les éléments de sécurité et les éléments biométriques intégrés dans les passeports et les documents de voyage délivrés par les États membres n’oblige pas les États membres à garantir, dans leur législation, que les données biométriques rassemblées et conservées conformément audit règlement ne seront pas rassemblées, traitées et utilisées à des fins autres que la délivrance du passeport ou du document de voyage ; un tel aspect ne relevant pas du champ d’application dudit règlement.

La création d'un traitement de données à caractère personnel destiné à préserver l'intégrité des données nécessaires à la délivrance des titres d'identité et de voyage permet de sécuriser la délivrance de ces titres et d'améliorer l'efficacité de la lutte contre la fraude. Elle est ainsi justifiée par un motif d'intérêt général. Toutefois, compte tenu de son objet, ce traitement de données à caractère personnel est destiné à recueillir les données relatives à la quasi-totalité de la population de nationalité française. Les données biométriques enregistrées dans ce fichier, notamment les empreintes digitales, étant par elles-mêmes susceptibles d'être rapprochées de traces physiques laissées involontairement par la personne ou collectées à son insu, sont particulièrement sensibles. Les caractéristiques techniques de ce fichier définies par les dispositions contestées permettent son interrogation à d'autres fins que la vérification de l'identité d'une personne. Les dispositions de la loi relative à la protection de l'identité autorisent la consultation ou l'interrogation de ce fichier non seulement aux fins de délivrance ou de renouvellement des titres d'identité et de voyage et de vérification de l'identité du possesseur d'un tel titre, mais également à d'autres fins de police administrative ou judiciaire. Il résulte de ce qui précède qu'en égard à la nature des données enregistrées, à l'ampleur de ce traitement, à ses caractéristiques techniques et aux conditions de sa consultation, les dispositions de l'article 5 portent au droit au respect de la vie privée une atteinte qui ne peut être regardée comme proportionnée au but poursuivi. Par suite, les articles 5 et 10 de la loi relative à la protection de l'identité doivent être déclarés contraires à la Constitution.

Constitution d'un traitement automatisé centralisé données à caractère personnel (état civil, image numérisée du visage et empreintes de huit doigts) recueillies auprès des personnes âgées d'au moins six ans lors de l'établissement ou du renouvellement des passeports.

La finalité de la consultation des empreintes digitales contenues dans le traitement automatisé (confirmer que la personne présentant une demande de renouvellement d'un passeport est bien celle à laquelle le passeport a été initialement délivré ou s'assurer de l'absence de falsification des données contenues dans le composant électronique du passeport) peut être atteinte de manière suffisamment efficace en comparant les empreintes figurant dans le composant électronique du passeport avec celles conservées dans le traitement, sans qu'il soit nécessaire que ce dernier en contienne davantage.

Dès lors, le Conseil d'État annule l'article litigieux du fait de l'inconventionnalité de la collecte et de la conservation d'un plus grand nombre d'empreintes digitales que celles figurant dans le composant électronique, ces données n'étant ni adéquates, ni pertinentes et apparaissant excessives au regard des finalités du traitement informatisé.

Les dispositions contestées créent un traitement automatisé comportant les empreintes digitales et la photographie des ressortissants étrangers qui se déclarent mineurs privés temporairement ou définitivement de la protection de leur famille.

En évitant la réitération par des personnes majeures de demandes de protection qui ont déjà donné lieu à une décision de refus, le traitement automatisé mis en place par les dispositions contestées vise à faciliter l'action des autorités en charge de la protection des mineurs et à lutter contre l'entrée et le séjour irréguliers des étrangers en France. Ce faisant, et alors qu'aucune norme constitutionnelle ne s'oppose par principe à ce qu'un traitement automatisé poursuive plusieurs finalités, le législateur a, en adoptant les dispositions contestées, entendu mettre en œuvre l'exigence constitutionnelle de protection de l'intérêt supérieur de l'enfant et poursuivi l'objectif de valeur constitutionnelle de lutte contre l'immigration irrégulière.

Par ailleurs, les dispositions contestées prévoient le recueil, l'enregistrement et le traitement des empreintes digitales et de la photographie des ressortissants étrangers qui sollicitent le bénéfice des dispositifs de protection de l'enfance et excluent tout dispositif de reconnaissance faciale. Ainsi, les données recueillies sont celles nécessaires à l'identification de la personne et à la vérification de ce qu'elle n'a pas déjà fait l'objet d'une évaluation de son âge. Enfin, d'une part, les dispositions contestées prévoient que la conservation des données des personnes reconnues mineures est limitée à Durée de conservation limitée à leur prise en charge et à leur orientation, en tenant compte de leur situation personnelle. D'autre part, le fichier instauré par les dispositions contestées est mis en œuvre dans le respect de la loi Informatique et Libertés. Conciliation non disproportionnée entre la sauvegarde de l'ordre public et le droit au respect de la vie privée.

En application des dispositions des articles L. 611‑3 et L. 611‑5 du code de l’entrée et du séjour des étrangers et du droit d’asile, seul un décret en Conseil d’État, pris après avis de la Commission nationale de l’informatique et des libertés, peut fixer les modalités de mise en œuvre relatives notamment à la durée de conservation et aux conditions de mise à jour des informations enregistrées, à la détermination des fonctionnaires habilités à y accéder ainsi qu’à la définition des conditions dans lesquelles les personnes concernées peuvent exercer leur droit d’accès, du traitement automatisé d’un fichier dont la finalité est de faciliter l’éloignement des étrangers en situation irrégulière et comporte, parmi les informations collectées, une photographie d’identité des intéressés.

En conséquence, illégalité de la création d’un fichier de cette nature, dénommé fichier « ELOI », par arrêté ministériel en date du 30 juillet 2006.

En application de l'article 230-6 du code de procédure pénale, les services de la police nationale et de la gendarmerie nationale peuvent mettre en œuvre traitements automatisés de données à caractère personnel recueillies au cours des enquêtes préliminaires ou de flagrance ou au cours des investigations exécutées sur commission rogatoire et concernant tout crime ou délit et certaines contraventions de la cinquième classe. En application du premier alinéa de l'article 230-7 du même code, ces traitements peuvent contenir des informations sur les personnes à l'encontre desquelles il existe des indices graves ou concordants rendant vraisemblable qu'elles aient pu participer, comme auteurs ou complices, à la commission de ces infractions. En application du premier alinéa de l'article 230-8 du code de procédure pénale, ces traitements sont opérés sous le contrôle du procureur de la République territorialement compétent. En cas de décision de relaxe ou d'acquittement devenue définitive, les données personnelles concernées des personnes mises en cause sont effacées, sauf si le procureur de la République en prescrit le maintien. Le procureur de la République peut également ordonner l'effacement des données personnelles en cas de décision de non-lieu ou de classement sans suite. En application de l'article 230-9 du code de procédure pénale, un magistrat est chargé de suivre la mise en œuvre et la mise à jour de ces traitements. Il dispose des mêmes pouvoirs d'effacement que le procureur de la République. Il résulte d'une jurisprudence constante qu'aucune personne mise en cause autre que celles ayant fait l'objet d'une décision d'acquittement, de relaxe, de non-lieu ou de classement sans suite ne peut obtenir, sur le fondement des dispositions contestées, l'effacement des données qui la concernent. En autorisant la création de traitements de données à caractère personnel recensant des antécédents judiciaires et l'accès à ces traitements par des autorités investies par la loi d'attributions de police judiciaire et par certains personnels investis de missions de police administrative, le législateur a entendu leur confier un outil d'aide à l'enquête judiciaire et à certaines enquêtes administratives. Il a ainsi poursuivi les objectifs de valeur constitutionnelle de recherche des auteurs d'infractions et de prévention des atteintes à l'ordre public.

Toutefois, en premier lieu, en prévoyant que les fichiers d'antécédents judiciaires peuvent contenir les informations recueillies au cours d'une enquête ou d'une instruction concernant une personne à l'encontre de laquelle il existe des indices graves ou concordants rendant vraisemblable qu'elle ait pu participer à la commission de certaines infractions, le législateur a permis que figurent dans ce fichier des données particulièrement sensibles. Ainsi, l'article R. 40-26 du code de procédure pénale prévoit que peuvent être enregistrés les éléments d'état civil, la profession ou la situation familiale de la personne et une photographie comportant des caractéristiques techniques permettant de recourir à un dispositif de reconnaissance faciale. En deuxième lieu, les fichiers d'antécédents judiciaires sont susceptibles de porter sur un grand nombre de personnes dans la mesure où y figurent des informations concernant toutes les personnes mises en cause pour un crime, un délit et certaines contraventions de la cinquième classe. En troisième lieu, le législateur n'a pas fixé la durée maximum de conservation des informations enregistrées dans un fichier d'antécédents judiciaires. Ainsi, l'article R. 40-27 du code de procédure pénale prévoit qu'elles sont conservées pendant une durée comprise entre cinq ans et quarante ans selon l'âge de l'individu et la nature de l'infraction. En dernier lieu, ces informations peuvent être consultées non seulement aux fins de constatation des infractions à la loi pénale, de rassemblement des preuves de ces infractions et de recherche de leurs auteurs, mais également à d'autres fins de police administrative. Dès lors, en privant les personnes mises en cause dans une procédure pénale, autres que celles ayant fait l'objet d'une décision d'acquittement, de relaxe, de non-lieu ou de classement sans suite, de toute possibilité d'obtenir l'effacement de leurs données personnelles inscrites dans le fichier des antécédents judiciaires, le premier alinéa de l'article 230-8 du code de procédure pénale porte une atteinte disproportionnée au droit au respect de la vie privée.

Lorsqu’aucune mesure de sûreté n’a été prononcée par la juridiction à l’encontre d’une personne déclarée pénalement irresponsable, la déclaration d’irresponsabilité pénale n’est pas une information susceptible d’être légalement nécessaire à l’appréciation de la responsabilité pénale de la personne éventuellement poursuivie à l’occasion de procédures ultérieures. Dès lors, eu égard aux finalités du casier judiciaire, elle ne s’aurait, sans porter une atteinte non nécessaire à la protection de la vie privée qu’implique l’article 2 de la Déclaration de 1789, être mentionnée au bulletin n°1 du casier judiciaire que lorsque des mesures de sûreté ont été prononcées et tant que ces interdictions n’ont pas cessé leurs effets. Réserve.

L'article 14 de la loi d'orientation et de programmation pour la performance de la sécurité intérieure insère les articles 230-20 et suivants dans le code de procédure pénale relatifs aux logiciels de rapprochement judiciaire. L'utilisation de ces logiciels permet la mise en œuvre de traitements de données à caractère personnel recueillies à l'occasion d'enquêtes judiciaires ouvertes pour toutes catégories d'infraction, quelle que soit leur gravité. Il appartient au législateur d'adopter les garanties de nature à assurer la conciliation entre les objectifs de sauvegarde de l'ordre public et les libertés constitutionnellement protégées en tenant compte de la généralité de l'application de ces logiciels.

En premier lieu, les dispositions des articles 230-20 et suivants n'ont pas pour objet et ne sauraient avoir pour effet de permettre la mise en œuvre d'un traitement général des données recueillies à l'occasion des diverses enquêtes de police judiciaire. L'article 230-23 prévoit que, sans préjudice des pouvoirs de contrôle attribués à la Commission nationale de l'informatique et des libertés, le traitement de données à caractère personnel au moyen des logiciels de rapprochement judiciaire est opéré sous le contrôle du procureur de la République ou de la juridiction d'instruction compétente. Ainsi, ces logiciels ne pourront conduire qu'à la mise en œuvre, autorisée par ces autorités judiciaires, de traitements de données à caractère personnel particuliers, dans le cadre d'une enquête ou d'une procédure déterminée portant sur une série de faits et pour les seuls besoins de ces investigations. Réserve.

En second lieu, eu égard à la possibilité ouverte par ces dispositions d'un enregistrement de données même liées à des faits de faible gravité, la conservation prolongée de ces données ne saurait être prolongée à l'initiative du enquêteur au-delà de trois ans après leur enregistrement. Censure.

1) L'inscription d'une personne dans ce fichier judiciaire automatisé des auteurs d'infractions sexuelles ne constitue pas une sanction mais une mesure de police qui vise à prévenir le renouvellement de ces infractions et à faciliter l'identification de leurs auteurs. Les auteurs des saisines ne sauraient dès lors utilement soutenir qu'ils méconnaîtraient le principe de nécessité des peines qui résulte de l'article 8 de la Déclaration de 1789.

2) Eu égard, d'une part, aux garanties apportées par les conditions d'utilisation et de consultation du fichier judiciaire automatisé des auteurs d'infractions sexuelles et par l'attribution à l'autorité judiciaire du pouvoir d'inscription et de retrait des données nominatives, d'autre part, à la gravité des infractions justifiant l'inscription des données nominatives dans le fichier et au taux de récidive qui caractérise ce type d'infractions, les dispositions de l'article 48 de la loi portant adaptation de la justice à l'évolution de la criminalité sont de nature à assurer, entre le respect de la vie privée et la sauvegarde de l'ordre public, une conciliation qui n'est pas manifestement déséquilibrée. De même, en raison du motif de consultation qu'elles assignent aux consultations du fichier par des autorités administratives, et compte tenu des restrictions et prescriptions dont elles les assortissent, cet article ne porte aucune atteinte excessive ni au respect de la vie privée ni aux exigences de l'article 9 de la Déclaration de 1789.

3) Les adaptations apportées, en faveur des mineurs délinquants, au régime du fichier judiciaire automatisé des auteurs d'infractions sexuelles sont inspirées par la nécessité de rechercher leur relèvement éducatif et moral. Elles ne sont pas contraires au principe fondamental reconnu par les lois de la République en matière de droit pénal des mineurs.

4) L'article 706‑53‑5 nouveau du code de procédure pénale impose à la personne inscrite dans le fichier des auteurs d'infractions sexuelles, lorsqu'elle a été définitivement condamnée pour un crime ou un délit puni de dix ans d'emprisonnement, de justifier de son adresse tous les six mois en se présentant à cette fin auprès d'un service de police ou de gendarmerie. La gravité de la condamnation encourue, qui détermine le champ d'application de l'obligation, constitue un critère objectif et rationnel de distinction en relation directe avec la finalité du fichier.

L'obligation faite aux personnes inscrites de faire connaître périodiquement l'adresse de leur domicile ou de leur résidence ne constitue pas une sanction, mais une mesure de police destinée à prévenir le renouvellement d'infractions et à faciliter l'identification de leurs auteurs. L'objet même du fichier rend nécessaire la vérification continue de l'adresse de ces personnes. La charge qui leur est imposée dans le but de permettre cette vérification ne constitue pas une rigueur qui ne serait pas nécessaire au sens de l'article 9 de la Déclaration de 1789.

1) Si les articles L. 233 - 1 et L. 233 - 1 - 1 du code de la sécurité intérieure autorisent les seuls services des douanes, de police et de gendarmerie nationales à mettre en œuvre les dispositifs de contrôle automatisé des données signalétiques des véhicules prenant la photographie de leurs occupants pour les finalités qu'ils prévoient, ils n'ont pas pour effet d'interdire aux autorités compétentes de mettre en œuvre, sur le fondement de l'article L. 251 - 2 de ce même code, des disp ositifs de lecture automatisée des plaques d'immatriculation des véhicules. Toutefois, ces autorités ne peuvent le faire que pour l'une des finalités énumérées par cet article et dans le respect du titre V du livre II de ce même code.

2) La mise en œuvre d'un dispositif de contrôle automatisé des données signalétiques des véhicules prenant la photographie de leurs occupants aux seules fins de répondre aux éventuelles réquisitions des forces de l'ordre pour l'exercice de leurs missions de police judiciaire ne constitue pas une finalité déterminée et n'est pas au nombre des finalités justifiant la mise en place d'un tel dispositif visées par l'article L.251 - 2 du CSI.

ème ème

1) L’article L. 251‑2 du Code de la sécurité intérieure (CSI) liste les finalités pour lesquelles la transmission et l’enregistrement d’images prises sur la voie publique par le moyen de la vidéoprotection peuvent être mis en œuvre par les autorités publiques compétentes. Mettre les données collectées à la disposition de la gendarmerie nationale pour l’exercice de ses missions de police judiciaire, qui n’est pas parmi les finalités visées par cet article, ne constitue pas, pour un dispositif de transmission et d’enregistrement d’images prises sur la voie publique par le moyen de la vidéoprotection, une finalité légitime.

2) L’article L. 233‑1 du CSI autorise uniquement les services des douanes, de police et de gendarmerie nationales à mettre en œuvre les dispositifs de contrôle automatisé des données signalétiques des véhicules prenant la photographie de leurs occupants pour les finalités qu’il prévoit. Par conséquent, une commune ne saurait mettre en œuvre un tel dispositif, même si les données collectées étaient destinées à être mises à disposition de la gendarmerie nationale à des fins d’aide à l’identification des auteurs d’infractions.

mise à disposition de la gendarmerie nationale

Dans le cadre de la mise en œuvre de dispositifs de lecture automatisée de plaques d'immatriculation (LAPI), le respect du principe de minimisation impose une vigilance particulière quant au respect de la vie privée des passagers des véhicules, des passants et des riverains et proscrit la prise de vue d'individus, y compris les occupants des véhicules.

En l'espèce, la mise en œuvre d'un tel dispositif à certaines entrées et sorties d'un village de vacances pour des finalités de sécurité des biens et des personnes (notamment dans le cadre d'évacuation d'urgence ou de la vérification d'absence d'entrée irrégulière sur le parc) apparaissait proportionnée, mais la captation de données à caractère personnel autres que les plaques minéralogiques était excessive. En particulier, la capture de l'identité des occupants du véhicule était disproportionnée au regard de la finalité du traitement.

Le projet de décret étend la liste des nationalités éligibles au dispositif PARAFE aux ressortissants de cinq États tiers à l’entrée et à l’ensemble des ressortissants de pays tiers, sans condition de nationalité, à la sortie.

La CNIL estime que ces évolutions apparaissent légitimes au regard du besoin opérationnel invoqué. Elles entraînent néanmoins une augmentation du volume de données traitées et de personnes concernées par le traitement. Dès lors, une attention particulière devra être portée aux modalités d’information concrètes de mise en œuvre du traitement, s’agissant notamment de l’information des personnes. La CNIL souligne que l’obligation d’informer les personnes pèse sur le responsable de traitement. Outre les mesures déjà prévues (éléments de communication comportant des mentions obligatoires, tenue d’audits…), des mesures supplémentaires devraient être déployées pour garantir que les gestionnaires fournissent, au moment de la collecte, l’ensemble des informations énumérées à l’article 13 du RGPD.

Pour assurer l’effectivité des droits des personnes, l’information sur le traitement doit, en outre, être complétée d’éléments relatifs:
- au caractère facultatif, prévu par l’article R. 232‑6 du CSI, du recours au sas PARAFE pour le franchissement des frontières;
- et – le cas échéant – à l’articulation de PARAFE avec d’autres dispositifs de facilitation des contrôles.

Enfin, l’information fournie à la frontière et disponible sur les sites web précités devrait être traduite en plusieurs langues. La CNIL constate qu’elle devrait être traduite a minima en anglais et accompagnée de pictogrammes.

2) L’article R. 232‑8 du CSI prévoit que les données collectées sont « traitées à la seule fin de permettre l’authentification biométrique du voyageur et la consultation prévue à l’article R. 232‑9, permettant le contrôle aux frontières ». Autrement dit, les données alphanumériques collectées sont utilisées pour consulter, dans le cadre des contrôles prévus par le règlement (UE) 2016/399: le fichier des personnes recherchées, le système d’information Schengen et le fichier des documents de voyage volés et perdus d’Interpol. Ces traitements font alors l’objet d’une mise en relation avec PARAFE.

Le projet de décret supprime la mention des traitements consultés et prévoit, en conséquence, que les données sont traitées non plus pour la consultation de ces derniers, mais pour « la collecte des données nécessaires aux contrôles aux frontières ».

La CNIL ne remet pas en cause l’absence d’obligation de mentionner, au sein du projet de décret, les mises en relation. Elle rappelle néanmoins que, dans certains cas particuliers, leur mention peut constituer une bonne pratique, notamment lorsque les finalités principales du traitement sont étroitement liées à quelques mises en relation particulières. La transparence vis‑à‑vis du public quant aux conditions de mise en œuvre de ces opérations participe également de l’équilibre entre l’objectif poursuivi par les traitements en cause et le respect de la vie privée des personnes concernées (sur ce point, v. CNIL, SP, 27 mai 2021, avis sur projet de décret, LRPGN, n° 2021‑061, publié). Au regard de ces éléments, la CNIL recommande de maintenir, au niveau du décret, la mention des mises en relation. À défaut, elle recommande vivement au ministère de décrire sur son site web l’ensemble des mises en relation réalisées avec d’autres traitements.

Le décret n°2020-151 du 20 février 2020 portant autorisation d'un traitement automatisé de données à caractère personnel dénommé « application mobile de prise de notes » (GendNotes) autorise le ministre de l'intérieur à mettre en œuvre un traitement automatisé de données à caractère personnel dénommé GendNotes.

L'une des finalités du traitement est de « faciliter le recueil et la conservation en vue de leur exploitation ultérieure dans d'autres traitements de données » notamment par le biais d'un système de pré‑renseignement des données collectées.

Le Conseil d'État annule ledit décret au motif que le traitement ne satisfait pas à l'exigence « déterminée, explicite et légitime ». En effet, dès lors qu'un décret prévoit, au titre des finalités du traitement, sa mise en relation avec d'autres traitements, il doit comporter des indications quant à la nature ou à l'objet des traitements concernés ou aux conditions d'exploitation, dans ces autres traitements, des données collectées par le traitement initial, afin de satisfaire pas à l'exigence d'une finalité « déterminée, explicite et légitime » énoncée au 2° de l'article 4 de la loi n°78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés.

Saisi d'un projet de décret portant autorisation d'un traitement automatisé de données à caractère personnel dénommé « application mobile de prise de notes » (GendNotes), le Conseil d'État (section de l'intérieur) lui a donné un avis favorable sous réserve des modifications qu'il lui a apportées. Ce traitement de données a pour finalités, d'une part, de faciliter le recueil et la conservation, en vue de leur exploitation dans d'autres traitements de données, notamment par le biais d'un système de pré-renseignement, des informations collectées par les militaires de la gendarmerie nationale à l'occasion d'actions de prévention, d'investigations ou d'interventions, et nécessaires à l'exercice de leurs missions de police judiciaire et administrative, et, d'autre part, de faciliter la transmission de comptes rendus aux autorités judiciaires. Le traitement offre la possibilité à l'utilisateur de compléter, outre des champs prédéfinis, des zones de commentaires libres dans une interface « Note ». Ce traitement, par ses finalités, relève du titre III de la loi du 6 janvier 1978 et de la directive (UE) 2016/680 du Parlement européen et du Conseil du 27 avril 2016. Ces dispositions ne font pas obstacle à ce qu'un traitement comporte une zone de commentaires libres destinée à la consignation d'appréciations. Toutefois, afin d'éviter tout contournement des restrictions imposées tant par le droit de l'Union européenne que par la loi, le Conseil d'État estime que l'acte créant ce type de zone de commentaire doit respecter les principes suivants :

• une zone de commentaires libres ne doit être prévue que lorsque cela est strictement nécessaire à l'atteinte des finalités que poursuit le traitement ;

• les faits doivent y être présentés séparément des appréciations personnelles ;

• la liberté de formulation régissant ces espaces ne peut en aucune manière aboutir à collecter et traiter des données autres que celles expressément prévues par l'acte créant le traitement ;

• au regard de la difficulté de préciser le contenu de ces zones, il est nécessaire qu'une attention spécifique à celles-ci soit portée par l'analyse d'impact, qui doit en justifier l'existence et en analyser les risques.

Les dispositions contestées permettent à l'autorité administrative, pour la prévention du terrorisme, d'obtenir le recueil en temps réel des données de connexion relatives, d'une part, à une personne préalablement identifiée susceptible d'être en lien avec une menace et, d'autre part, aux personnes appartenant à l'entourage de la personne concernée par l'autorisation lorsqu'il y a des raisons sérieuses de penser qu'elles sont susceptibles de fournir des informations au titre de la finalité qui motive l'autorisation. Cette technique de recueil de renseignement est autorisée pour une durée de quatre mois renouvelable, conformément à l'article L. 821 - 4 du code de la sécurité intérieure.

D'une part, le recueil des données de connexion en temps réel ne peut être mis en œuvre que pour les besoins de la prévention du terrorisme. Ne peuvent, par ailleurs, être recueillis que les informations ou documents traités ou conservés par les opérateurs de télécommunication, les fournisseurs d'accès à un service de communication au public en ligne ou les hébergeurs de contenu sur un tel service.

D'autre part, cette technique de recueil de renseignement s'exerce dans les conditions prévues au premier chapitre I du titre II du livre VIII du code de la sécurité intérieure. En vertu de l'article L. 821 - 4 de ce code, elle est autorisée par le Premier ministre ou les collaborateurs directs aux quels il a délégué cette compétence, sur demande écrite et motivée du ministre de la défense, du ministre de l'intérieur ou des ministres chargés de l'économie, du budget ou des douanes, après avis préalable de la Commission nationale de contrôle des techniques de renseignement. Elle est autorisée pour une durée de quatre mois renouvelable. En vertu du paragraphe II de l'article L. 851 - 2, la procédure d'urgence absolue prévue à l'article L. 821 - 5 de ce code n'est pas applicable. En application de l'article L. 871 - 6 du même code, les opérations matérielles nécessaires à la mise en place de la technique mentionnée à l'article L. 851 - 2 ne peuvent être exécutées, dans leurs réseaux respectifs, que par des agents qualifiés des services ou organismes placés sous l'autorité ou la tutelle du ministre chargé des communications électroniques ou des exploitants de réseaux ou fournisseurs de services de télécommunications.

Enfin, cette technique de renseignement est réalisée sous le contrôle de la Commission nationale de contrôle des techniques de renseignement. La composition et l'organisation de cette autorité administrative indépendante sont définies aux articles L. 831 - 1 à L. 832 - 5 du code de la sécurité intérieure dans des conditions qui assurent son indépendance. Ses missions sont définies aux articles L. 833 - 1 à L. 833 - 11 du même code dans des conditions qui assurent l'effectivité de son contrôle. Conformément aux dispositions de l'article L. 841 - 1 du même code, le Conseil d'État peut être saisi par toute personne souhaitant vérifier qu'aucune technique de recueil de renseignement n'est irrégulièrement mise en œuvre à son égard ou par la Commission nationale de contrôle des techniques de renseignement.

Il résulte de ce qui précède que le législateur a assorti la procédure de réquisition des données de connexion, lorsqu'elle s'applique à une personne préalablement identifiée susceptible d'être en lien avec une menace, de garanties propres à assurer une conciliation qui n'est pas manifestement déséquilibrée entre, d'une part, la prévention des atteintes à l'ordre public et celle des infractions et, d'autre part, le droit au respect de la vie privée.

En revanche, en application des dispositions contestées, cette procédure de réquisition s'applique également aux personnes appartenant à l'entourage de la personne concernée par l'autorisation, dont il existe des raisons sérieuses de penser qu'elles sont susceptibles de fournir des informations au titre de la finalité qui motive l'autorisation. Ce faisant, le législateur a permis que fasse l'objet de cette technique de renseignement un nombre élevé de personnes, sans que leur lien avec la menace soit nécessairement étroit. Ainsi, faute d'avoir prévu que le nombre d'autorisations simultanément en vigueur doive être limité, le législateur n'a pas opéré une conciliation équilibrée entre, d'une part, la prévention des atteintes à l'ordre public et des infractions et, d'autre part, le droit au respect de la vie privée.