Deuxième recours conjoint de la CIMADE, du GISTI, d'IRIS et de la LDH pour l'annulation du fichier ELOI
Déposé au Conseil d'État le 28 février 2008
(Texte également disponible au format PDF)CONSEIL D'ETAT
POUR :
SECTION DU CONTENTIEUX
REQUÊTE en ANNULATIONLes associations requérantes désignent comme mandataire unique Nathalie Ferré, domiciliée au Gisti, 3 villa Marcès, 75011 Paris.
- la Cimade, association régie par la loi du 1er juillet 1901, dont le siège est établi à Paris (7e), 176 rue de Grenelle, représentée par son président Patrick PEUGEOT ;
- le Groupe d'information et de soutien des immigrés (Gisti), association régie par la loi du 1er juillet 1901, dont le siège est établi à Paris (11e), 3 villa Marcès, représentée par sa présidente, Nathalie FERRÉ ;
- Imaginons un réseau internet solidaire (IRIS), association régie par la loi du 1er juillet 1901, dont le siège est établi à Paris 20e , 40 rue de la Justice, représentée par sa présidente en exercice, Meryem MARZOUKI ;
- la Ligue des droits de l'Homme (LDH), association régie par la loi du 1er juillet 1901, dont le siège est établi à Paris (18e), 138 rue Marcadet, représentée par son président en exercice, Jean-Pierre DUBOIS.
CONTRE :
Le Premier ministreOBJET :
Demande d'annulation du décret n°2007-1890 du 26 décembre 2007 portant création d'un traitement automatisé de données à caractère personnel relatives aux étrangers faisant l'objet d'une mesure d'éloignement et modifiant la partie réglementaire du code de l'entrée et du séjour des étrangers et du droit d'asile (NOR: IMID0759221D, JO du 30 décembre 2007).
*
Les associations exposantes défèrent à la censure du Conseil d'État le décret n°2007-1890 du 26 décembre 2007 du Premier ministre référencé ci-dessus.
À l'appui de leurs requêtes, elles entendent faire valoir les faits et moyens suivants.
FAITS
Le 18 août 2006 était paru au Journal Officiel un arrêté du ministre de l'intérieur en date du 30 juillet 2006, créant un traitement de données à caractère personnel au sein du ministère de l'intérieur.Le 2 octobre 2006, les associations requérantes ont déféré cet arrêté à la censure du Conseil d'État, faisant valoir plusieurs moyens à l'appui de leur requête en annulation, enregistrée sous le numéro 297888.
Le 12 mars 2007, le Conseil d'État a prononcé l'annulation de l'arrêté susmentionné, sans qu'il ait été besoin d'examiner les moyens de la requête, au motif que l'arrêté du 30 juillet 2006 avait été pris par une autorité incompétente.
Le 30 décembre 2007 est paru au Journal Officiel le décret du Premier ministre n° 2007-1890 du 26 décembre 2007 portant création d'un traitement automatisé de données à caractère personnel relatives aux étrangers faisant l'objet d'une mesure d'éloignement et modifiant la partie réglementaire du code de l'entrée et du séjour des étrangers et du droit d'asile.
Le 13 mars 2007, soit le lendemain de la décision d'annulation par le Conseil d'État de l'arrêté du 18 août 2006, l'avis de la CNIL avait été sollicité, conformément aux articles L. 611-3 et L. 611-5 du CESEDA et également sur le fondement de l'article 26 de la loi du 6 janvier 1978 modifiée.
La CNIL a rendu son avis sur le projet de décret le 24 mai 2007 (délibération n° 2007-110). Cet avis a été publié au Journal Officiel en même temps que le décret. On notera qu'il s'est écoulé sept mois entre l'avis de la CNIL et la publication du décret. La lecture de ces deux documents révèle d'importantes différences entre le projet dont la CNIL a été saisie et le décret publié.
Sur certains points, de surcroît, le gouvernement n'a pas tenu compte de l'avis de la CNIL : certaines mentions protectrices que le gouvernement s'était engagé à ajouter, ce dont la CNIL prenait acte dans son avis, ne figurent pas dans le texte du décret publié. On reviendra sur ces différents points dans la discussion.
Le décret déféré à la censure du Conseil d'État modifie par son article 1er le chapitre unique du titre Ier du livre VI de la partie réglementaire du code de l'entrée et du séjour des étrangers et du droit d'asile, en y introduisant une section 4 composée des articles R. 611-25 à R. 611-34 nouveaux.
Les finalités du traitement automatisé de données à caractère personnel, dénommé « ELOI » (pour « éloignement »), sont décrites à l'article R. 611-25. Il s'agit d'une part « a) De permettre le suivi et la mise en oeuvre des mesures d'éloignement prévues au livre V par la gestion des différentes étapes de la procédure » et d'autre part « b) D'établir des statistiques relatives à ces mesures et à leur exécution ».
L'article 611-26 mentionne l'annexe 6-7 nouvelle du CESEDA, introduite par ce même décret. L'annexe-6-7 énumère les données à caractère personnel relatives à l'étranger faisant l'objet d'une mesure d'éloignement qui sont enregistrées dans le fichier ELOI. Il s'agit des catégories de données suivantes : A. Données relatives à l'étranger ; B. Données relatives à la mesure d'éloignement ; C. Données relatives aux procédures juridictionnelles mises en oeuvre dans le cadre de l'éloignement ; D. Données relatives aux étrangers faisant l'objet d'une mesure d'éloignement alors qu'ils sont détenus ; E. Données relatives à la rétention administrative ; F. Données relatives à la gestion administrative et opérationnelle de l'éloignement.
L'article R. 611-27 précise le point de départ de l'enregistrement de ces données, selon trois situations : mesures d'éloignement prévues aux articles L. 511-1, L. 531-1 et L. 531-3 du CESEDA ; arrêté d'expulsion ; interdiction judiciaire du territoire.
L'article R. 611-28 définit, parmi les données énumérées dans l'annexe 6-7, celles qui doivent être effacées du fichier ELOI trois mois après, selon les situations, la date de l'éloignement effectif, ou la date de fin de rétention administrative. Les autres données pourront être conservées durant trois ans à compter de ces dates. Le même délai de conservation de trois ans est appliqué aux données relatives aux situations n'ayant donné lieu à aucune mesure d'exécution.
L'article R. 611-29 énumère quatre situations dans lesquelles les données afférentes à une procédure ne doivent pas être conservées.
L'article R. 611-30 précise les données relatives aux personnes hébergeant un étranger faisant l'objet d'une assignation à résidence, qui doivent être enregistrées dans le fichier ELOI et conservées pendant trois mois après la fin de l'assignation à résidence.
L'article R. 611-31 définit, selon les situations, les destinataires des données enregistrées dans le fichier ELOI, et leur niveau d'accès à ces données.
L'article R. 611-32 précise les conditions de l'exercice des droits d'accès et de rectification des données, selon les dispositions de la loi du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés.
L'article R. 611-33 écarte expressément toute possibilité d'exercice du droit d'opposition prévu par la même loi.
L'article R. 611-34 écarte tout rapprochement, mise en relation ou interconnexion du fichier ELOI avec aucun autre traitement automatisé de données personnelles.
Les associations requérantes entendent montrer que le décret attaqué a été pris selon une procédure irrégulière et qu'il ne respecte pas les obligations imposées par les différents textes de droit interne, de droit international et de droit communautaire relatifs à la protection des personnes à l'égard du traitement des données à caractère personnel.
DISCUSSION
Sur la recevabilité :Les quatre associations requérantes sont recevables à déférer le texte litigieux devant le Conseil d'État.
- La Cimade s'est donné pour but « de manifester une solidarité active avec ceux qui souffrent, qui sont opprimés et exploités et d'assurer leur défense, quelles que soient leur nationalité, leur position politique ou religieuse. En particulier, elle a pour objet de combattre le racisme ». Par ailleurs, la Cimade est présente, sur la base d'une convention passée avec le ministère des affaires sociales, dans les centres de rétention. Elle a donc particulièrement intérêt à agir s'agissant de dispositions concernant les droits des étrangers faisant l'objet d'une mesure d'éloignement.
- Le GISTI, dont l'objet social est notamment de soutenir, par tous moyens, l'action des étrangers et des immigrés en vue de la recon-naissance et du respect de leur droits, sur la base du principe d'égalité, a évidemment intérêt à demander l'annulation de dispositions qui concernent - les unes directement, les autres indirectement - les étrangers.
- L'association Imaginons un réseau Internet solidaire (IRIS) est une association de défense de l'ensemble des droits et libertés fondamentaux dans l'usage de l'informatique et des réseaux et a été amenée, depuis sa création en octobre 1997, à agir constamment en faveur de la protection de la vie privée et des données personnelles dans le contexte du traitement numérique de telles données comme de leur circulation sur les réseaux.
- La Ligue des droits de l'homme (LDH), qui s'est donné pour but de défendre l'ensemble des droits et libertés fondamentaux, et notamment ceux des étrangers, a également inscrit de façon spécifique dans ses statuts la lutte « en faveur du respect des libertés individuelles en matière de traitement des données informatisées ».
Sur le fond :
I. Légalité externe
Le décret attaqué a été pris selon une procédure irrégulière.
1/ Absence d'avis du Conseil national de l'information statistique (CNIS)
Le décret, dès lors qu'il crée un traitement à finalité statistique, aurait dû être précédé de la consultation du CNIS, ce qui n'a pas été fait, puisque l'avis de cette instance n'est pas visé en tête du décret, pas plus d'ailleurs que la loi n° 51-711 du 7 juin 1951 sur l'obligation, la coordination et le secret en matière de statistiques. En effet, l'article 1er du décret n° 2005-333 du 7 avril 2005 relatif au CNIS et pris sur le fondement de cette loi est ainsi rédigé :
Le Conseil national de l'information statistique, instauré par l'article 1er de la loi du 7 juin 1951 susvisée, a une durée illimitée. Il exécute les missions qui lui sont dévolues par celle-ci et assure, pour ce qui concerne l'information statistique, la concertation entre les utilisateurs de l'information, les services publics et, dans la mesure où ils y sont soumis, les autres services producteurs d'informations statistiques. Les services producteurs sont l'Institut national de la statistique et des études économiques et les services statistiques ministériels, les administrations [...]
La concertation assurée par le Conseil national de l'information statistique porte sur les étapes de la production de l'information statistique et de sa diffusion, que cette information provienne des enquêtes statistiques et des recensements ou de l'exploitation à des fins d'information générale des données issues de l'activité administrative.
En particulier, le Conseil national de l'information statistique délibère et donne son avis [...] :
4. Sur les projets d'exploitation, à des fins d'information générale, des données issues de l'activité des administrations, des organismes publics et des organismes privés chargés d'un service public ;
5. Sur les projets de traitements automatisés d'enquêtes statistiques ou de données mentionnées au 4 du présent article qui nécessitent une demande d'avis à la Commission nationale de l'informatique et des libertés ; l'avis du Conseil national de l'information statistique doit être motivé, adressé au service producteur et joint au dossier présenté à la Commission nationale de l'informatique et des libertés ;
Il résulte clairement des passages soulignés en gras que le CNIS aurait dû être saisi d'un traitement qui correspond exactement aux hypothèses dans lesquelles sa consultation est prévue.
L'obligation de cette consultation découle également de l'article 8-II, 7° de la loi du 6 janvier 1978 modifiée : l'article 8-I interdit de collecter et de traiter des données susceptibles de faire « apparaître, directement ou indirectement, les origines raciales ou ethniques, les opinions politiques, philosophiques ou religieuses » des personnes (ici, en l'espèce, la nationalité) ; l'interdiction n'est levée, pour les traitements statistiques, que s'il y a eu consultation préalable du CNIS (art. 8-II, 7°) et autorisation de la CNIL.
2/ Absence d'autorisation de la CNIL
La procédure suivie pour la création du fichier ELOI est celle décrite à l'article 26-II de la loi du 6 janvier 1978 modifiée, qui dispose :
II. - Ceux de ces traitements qui portent sur des données mentionnées au I de l'article 8 sont autorisés par décret en Conseil d'État pris après avis motivé et publié de la commission ; cet avis est publié avec le décret autorisant le traitement.
Or la création de ce traitement aurait dû, en raison de certaines de ses caractéristiques, obéir à la procédure décrite à l'article 25. Cet article prévoit que l'autorisation de la CNIL est nécessaire pour :
1° Les traitements, automatisés ou non, mentionnés au 7° du II, au III et au IV de l'article 8 ; [...] .
Dans la mesure où le traitement a une finalité statistique, il aurait dû à la fois être précédé, comme on vient de le montrer plus haut, de la consultation du CNIS, mais également, dans la mesure où il porte sur des données sensibles, de l'autorisation de la CNIL.
L'autorisation de la CNIL est également nécessaire concernant :
5° Les traitements automatisés ayant pour objet :
- l'interconnexion de fichiers relevant d'une ou de plusieurs personnes morales gérant un service public et dont les finalités correspondent à des intérêts publics différents ; .Or, en dépit de l'affirmation contenue à l'article R. 611-34 selon laquelle « les données enregistrées dans ELOI ne peuvent faire l'objet d'interconnexions, mises en relation ou rapprochement ave aucun autre traitement automatisé de données à caractère personnel », le fait que soit enregistré dans ELOI le numéro AGDREF va directement à l'encontre de cette affirmation, comme on le démontre plus loin.
3/ Irrégularité des conditions de consultation de la CNIL
Même si l'avis de la CNIL ne lie pas le gouvernement, compte tenu des dispositions de la loi du 6 janvier 1978 modifiée par la loi du 6 août 2004, ceci ne dispense pas le gouvernement de procéder à la consultation de la CNIL selon les principes généraux qui régissent la procédure consultative.
Or, en l'espèce, il apparaît clairement à la lecture de l'avis de la CNIL que le projet de décret dont elle a été saisie au mois de mars 2007 comporte de très nombreuses différences avec le projet qui a finalement été adopté (sans que les modifications intervenues soient la conséquence de son intervention). Ceci signifie que la CNIL n'a pas pu donner son avis sur toutes les dispositions du décret et que sa consultation a donc été viciée.
II. Légalité interne
1/ Rappel des textes et des principes applicables
Le recueil et le traitement des données personnelles comportent une série de risques pour les libertés des personnes fichées : il faut donc apprécier la légalité des mesures prises au regard des principes qui régissent la protection des personnes à l'égard du traitement des données à caractère personnel.
- Aux termes de l'article 8-2 de la Convention européenne des droits de l'homme, il ne peut y avoir ingérence d'une autorité publique dans l'exercice du droit au respect de la vie privée que pour autant que cette ingérence est prévue par la loi et qu'elle constitue une mesure qui, dans une société démocratique, est nécessaire - notamment - à la sécurité nationale, à la sûreté publique, au bien-être économique du pays, à la défense de l'ordre et à la prévention des infractions pénales. On sait que, pour la Cour européenne des droits de l'homme, le respect de ces conditions implique des exigences relatives à la qualité de la base juridique de l'ingérence, à la proportionnalité des mesures et à la nécessité de garanties adéquates contre les abus.
- La Convention n° 108 du 28 janvier 1981 du Conseil de l'Europe pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel et la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel énoncent de leur côté des principes fondamentaux que doit respecter la mise en oeuvre de traitements informatisés - principes repris dans la loi du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, modifiée en dernier lieu par la loi du 6 août 2004. Il s'agit notamment des principes de pertinence et de proportionnalité, de finalité et de l'exigence, là encore, de garanties suffisantes.
*
C'est à la lumière de ces considérations générales qu'il convient d'examiner les dispositions du décret du 30 décembre 2007, et en particulier celles qui concernent les finalités du traitement (art. R. 611-25), les catégories de données collectées et traitées (art. R. 611-26, art. R. 611-30 et annexe 6-7), et celles qui fixent la durée de conservation de ces données (art. R. 611-28 et art. R.611-30).2/ La finalité statistique du traitement est imprécise, non encadrée, et constitue un détournement de finalité
L'article R. 611-25 introduit, comme l'une des finalités du fichier ELOI, l'établissement de statistiques relatives aux mesures d'éloignement et à leur exécution.
L'ensemble des textes et principes applicables dispose que les finalités d'un traitement de données à caractère personnel doivent être explicites et légitimes. Les considérants 28 et 29 de la directive 95/46/CE rappellent :
(28) considérant que tout traitement de données à caractère personnel doit être effectué licitement et loyalement à l'égard des personnes concernées ; qu'il doit, en particulier, porter sur des données adéquates, pertinentes et non excessives au regard des finalités poursuivies ; que ces finalités doivent être explicites et légitimes et doivent être déterminées lors de la collecte des données ; que les finalités des traitements ultérieurs à la collecte ne peuvent pas être incompatibles avec les finalités telles que spécifiées à l'origine ;
(29) considérant que le traitement ultérieur de données à caractère personnel à des fins historiques, statistiques ou scientifiques n'est pas considéré en général comme incompatible avec les finalités pour lesquelles les données ont été auparavant collectées, dans la mesure où les États membres prévoient des garanties appropriées ; que ces garanties doivent notamment empêcher l'utilisation des données à l'appui de mesures ou de décisions prises à l'encontre d'une personne ;
L'article 6 de la loi du 6 janvier 1978 modifiée dispose de même :
2° [Les données] sont collectées pour des finalités déterminées, explicites et légitimes et ne sont pas traitées ultérieurement de manière incompatible avec ces finalités. Toutefois, un traitement ultérieur de données à des fins statistiques ou à des fins de recherche scientifique ou historique est considéré comme compatible avec les finalités initiales de la collecte des données, s'il est réalisé dans le respect des principes et des procédures prévus au présent chapitre, au chapitre IV et à la section 1 du chapitre V ainsi qu'aux chapitres IX et X et s'il n'est pas utilisé pour prendre des décisions à l'égard des personnes concernées ;
C'est en raison des risques spécifiques que comportent les traitements statistiques que la législation interne a prévu la consultation du Conseil national de l'information statistique - dont on a rappelé plus haut qu'elle n'était pas intervenue en l'espèce.
Par ailleurs, les conditions prévues par la directive et par la loi ne sont pas réunies ici.
La finalité statistique du traitement n'est pas suffisamment explicite. En effet, les statistiques sont supposées porter sur les mesures d'éloignement et leur exécution, sans autre précision sur les catégories de données participant à l'élaboration de ces statistiques. D'une manière générale, la question des statistiques n'est d'ailleurs mentionnée qu'en tant que finalité, et le décret ne spécifie aucune mesure relative à ces statistiques, à leur établissement, à leur encadrement, ni à leur utilisation. Il ne renvoie pas plus à un autre texte réglementaire qui préciserait ces conditions. Cette question est d'autant plus préoccupante que, selon l'article 2 du décret, pas moins de trois ministres sont chargés de son application, ce qui implique que les traitements statistiques et les données à partir desquelles ils seront élaborés seront partagés et/ou échangés entre un grand nombre de services, sans d'ailleurs qu'une quelconque disposition de sécurité de ces données soit prise.
Dans son avis rendu sur le projet de décret, la CNIL souligne sa préoccupation en matière de protection des données nominatives s'agissant de la finalité statistique du traitement :
La commission relève que la finalité relative aux statistiques semble permettre, en l'état, de procéder à de multiples requêtes, en particulier à partir d'éléments indirectement nominatifs.
La CNIL dit également qu'elle :
« prend prendre acte, qu'à sa demande, le décret sera complété des termes suivants : « les résultats issus des requêtes statistiques ne doivent pas permettre d'identifier les personnes ».
Or le décret publié ne mentionne nulle part un tel ajout, ni aucune disposition qui pourrait en tenir lieu ou aboutir à un résultat équivalent.
Plus généralement, le décret confond en un même texte deux finalités de nature et d'objectifs extrêmement différents. D'une part, la finalité de suivi et de mise en oeuvre des mesures d'éloignement, qui relève de l'article 26 de la loi du 6 janvier 1978 modifiée et qui est à l'évidence fondée sur des données nominatives. D'autre part, la finalité statistique, qui relève d'un objectif gestionnaire sévèrement encadré par les textes législatifs et réglementaires, notamment afin d'interdire la possibilité d'identifier les personnes à partir des résultats statistiques.
Or ni les articles 26-I de la loi du 6 janvier 1978 modifiée, ni les articles L. 611-3 et L. 611-5 du Code de l'entrée et du séjour des étrangers et du droit d'asile ne peuvent servir de fondement à un traitement à finalité statistique. Il y a donc une extension de finalité illégale, voire un détournement de finalité puisqu'un fichier de police est ici détourné de sa finalité officielle autorisée par les textes sur le fondement desquels il a été créé.
3/ Certaines des données enregistrées sont excessives, non pertinentes et non adéquates
L'article 5 de la Convention 108 du Conseil de l'Europe, l'article 6 de la directive 95/46/CE, et désormais l'article 6 de la loi du 6 janvier 1978 modifiée rappellent, en des termes similaires, que les données à caractère personnel doivent être collectées pour des finalités déterminées, explicites et légitimes, et ne pas être traitées ultérieurement de manière incompatible avec ces finalités, et qu'elles doivent être adéquates, pertinentes et non excessives au regard des finalités pour lesquelles elles sont collectées. L'article 6 de la loi de 1978 dispose :
Art. 6 - Un traitement ne peut porter que sur des données à caractère personnel qui satisfont aux conditions suivantes :
[...]
2° Elles sont collectées pour des finalités déterminées, explicites et légitimes et ne sont pas traitées ultérieurement de manière incompatible avec ces finalités. [...]
3° Elles sont adéquates, pertinentes et non excessives au regard des finalités pour lesquelles elles sont collectées et de leurs traitements ultérieurs ;
C'est donc par rapport à la finalité du traitement qu'on peut évaluer le caractère proportionné et adéquat des données et de leur utilisation.
La finalité est ici de permettre le suivi et la mise en oeuvre des mesures d'éloignement.
a) Les données concernant les étrangers (art. R. 611-26 et annexe 6-7)
Le traitement mis en place doit contenir en premier lieu des données concernant les étrangers en situation irrégulière. Ces données entretiennent a priori un lien direct avec la finalité du traitement (encore qu'on ne voie pas forcément ce qu'ajoutera ce fichier par rapport à tous ceux qui existent déjà). On peut toutefois contester la mise en mémoire de trois catégories de données : numéro national d'identification, nom, prénoms et date de naissance des enfants, nécessité d'une surveillance particulière au regard de l'ordre public.
- le numéro national d'identification mentionné au 2° de l'article D. 611-2 (numéro AGDREF). On s'interroge sur la pertinence de cette donnée, qui renvoie au système informatisé de gestion des dossiers des ressortissants étrangers en France, alors même que le décret écarte, par son article R. 611-34, tout rapprochement, mise en relation ou interconnexion du fichier ELOI avec tout autre traitement automatisé de données personnelles. Or quel but peut avoir la mise en mémoire du numéro AGDREF dans le fichier ELOI sinon de permettre un rapprochement entre les deux fichiers ? Or ce point est capital puisque dès l'instant où il y a interconnexion c'est l'article 25 et non pas l'article 26 de la loi du 6 janvier 1978 qui s'applique, et la procédure n'est plus celle du simple avis de la CNIL mais de l'autorisation, laquelle est requise lorsqu'il y a « interconnexion de fichiers relevant d'une ou de plusieurs personnes morales gérant un service public et dont les finalités correspondent à des intérêts publics différents » (art. 25-I, 5°). (Voir supra nos développements sur la légalité externe).
- les nom, prénoms et date de naissance des enfants. La mise en mémoire de ces données n'est pas pertinente au regard de la finalité du fichier, puisqu'elle n'est pas un élément d'identification de l'étranger faisant l'objet d'une mesure d'éloignement et qu'elle revient à ficher des enfants mineurs qui ne peuvent pas, eux-mêmes, faire l'objet d'une mesure d'éloignement forcé.
Or le fait de figurer dans un fichier relatif aux étrangers en situation irrégulière n'est pas anodin. Les enfants mineurs ainsi fichés sont désignés à l'attention de l'administration et de la police comme résidant ou ayant résidé en France avec leurs parents en situation irrégulière. Ce fichage accroît le risque d'être éloigné au moment où ils atteignent l'âge de la majorité et peut aussi compromettre leurs chances d'obtenir un titre de séjour.
Dans son mémoire en réponse au recours des associations requérantes contre la même disposition de l'arrêté ministériel du 18 août 2006, le ministre de l'intérieur expliquait que ces renseignements étaient nécessaires pour organiser au mieux l'éloignement des familles : utilisation des centres de rétention administrative habilités à accueillir des enfants, réservation du nombre de place adéquat dans les avions, etc. À supposer même que cette finalité du traitement soit considérée comme légitime, on relève le caractère disproportionné du recueil de l'état civil complet des enfants pour ce rôle de logistique « hôtelière », au regard de l'atteinte portée au respect du droit à la vie privée mais aussi des risques que ce fichage comporte pour l'enfant, comme on l'a dit plus haut. Un enfant n'a pas à assumer les conséquences de la situation administrative de ses parents.
Au regard de cette finalité logistique, la conservation des données relatives aux enfants est inutile. A fortiori, le délai de trois ans pendant lequel les informations peuvent être conservées en mémoire est à l'évidence excessif (voir plus loin).
- La « nécessité d'une surveillance particulière au regard de l'ordre public ». Les étrangers visés ici sont ne sont pas principalement des personnes en instance d'expulsion ou sous le coup d'une interdiction du territoire français accompagnant une condamnation pénale, mais, dans leur écrasante majorité, des personnes faisant l'objet d'une obligation de quitter le territoire, d'une mesure de reconduite à la frontière ou d'une interdiction du territoire prononcées en raison de l'irrégularité de leur entrée ou de leur séjour en France. Elles ne représentent donc pas a priori une menace pour l'ordre public.
En tout état de cause, la formulation utilisée est trop vague, donc source d'arbitraire : quels sont les critères d'évaluation de la menace pour l'ordre public : une condamnation, une arrestation, un simple sentiment objectif ?
À partir du moment où un tel signalement est prévu, on ne peut exclure qu'il soit étendu à des mesures d'éloignement dépourvues de tout caractère d'ordre public, pour signaler des dossiers « sensibles », par exemple lorsqu'une mobilisation de citoyens s'oppose au renvoi d'un étranger. D'où un risque évident de signalement à l'attention de l'administration de personnes qui n'ont commis aucun délit et qui pourrait ultérieurement faire obstacle à leur admission au séjour pour celles qui n'auraient pas été éloignées.
b) Les données concernant les hébergeants (art. R. 611-30)
L'enregistrement des données relatives aux personnes qui hébergent les étrangers assignés à résidence au lieu d'être placés en rétention n'ont aucun rapport avec la mise en oeuvre des mesures d'éloignement.
Certes, les données enregistrées sont minimales : le nom, le prénom, l'adresse, et on peut comprendre sans mal que leurs noms et adresses soient relevés. Mais à quoi sert la mise en mémoire de ces noms et adresses pendant trois mois après la fin de l'assignation à résidence ? Si on ne peut dégager la raison d'être de la mise en mémoire et de la conservation de ces données, c'est bien qu'elles sont inadéquates et excessives.
Les associations requérantes demandent donc au juge de constater que la collecte de ces données, dénuées de pertinence et excédant manifestement ce qui correspond à la finalité du fichier, est illégale.
4/ La durée de conservation des données est excessive au regard de la finalité du fichier (art. R. 611-28)
L'article R. 611-28 du décret attaqué prévoit que, parmi les données énumérées dans l'annexe 6-7, quelques unes doivent être effacées du fichier ELOI après un délai de trois mois. Mais la plupart des données peuvent être conservées pendant un délai de trois ans, qui court à compter de la date de l'éloignement effectif si l'éloignement a eu lieu, ou à compter de la date à laquelle il a été mis fin à la rétention si il n'a pas été procédé à l'éloignement effectif.
Les données qui peuvent être conservées pendant trois ans incluent notamment l'ensemble des données qui concernent l'étranger (à part les langues parlées et la nécessité d'une surveillance particulière au regard de l'ordre public), les donnés relatives à la mesure d'éloignement, certaines données relatives aux procédures juridictionnelles mises en oeuvre (soustraction à une mesure d'éloignement et recours contentieux), les données relatives au placement en rétention administrative Le même délai de conservation de trois ans est appliqué aux données afférentes aux obligations de quitter le territoire français et aux arrêtés de reconduite à la frontière qui n'ont donné lieu à aucune mesure d'exécution.
Tous les textes insistent sur la nécessité de limiter la durée de conservation des données personnelles à ce qui est réellement nécessaire compte tenu de la finalité du traitement. L'article 5 de la Convention 108 du Conseil de l'Europe, l'article 6 de la directive 95/46/CE, et désormais l'article 6-5° de la loi du 6 janvier 1978 modifiée rappellent, en des termes similaires, que les données à caractère personnel « sont conservées sous une forme permettant l'identification des personnes concernées pendant une durée qui n'excède pas la durée nécessaire aux finalités pour lesquelles elles sont collectées et traitées ».
Or la durée de trois ans prévue par le décret du 30 décembre 2007, qui ne repose sur aucun fondement juridique ni aucune nécessité pratique et paraît donc avoir été fixée de façon totalement arbitraire, excède à l'évidence la durée nécessaire pour remplir les objectifs du traitement qui sont, rappelons-le, « de permettre le suivi et la mise en oeuvre de mesures d'éloignement[...] par la gestion de différentes étapes de la procédure ». On relève en particulier qu'elle excède très largement la durée prévue par l'article L. 551-1 du code de l'entrée et du séjour des étrangers en France et du droit d'asile, qui prévoit au contraire que le placement en rétention ne peut intervenir que sur la base d'un arrêté de reconduite à la frontière édicté moins d'un an auparavant.
Par ailleurs, s'il est vrai que, contrairement aux OQTF et aux APRF, les mesures d'expulsion et les interdictions du territoire conservent leur validité au-delà de leur mise en oeuvre initiale et produisent des effets au-delà du moment où elles sont exécutées, il existe déjà un fichier des personnes recherchées où figurent les personnes qui ont fait l'objet d'une des ces mesures. Nul besoin, par conséquent, de conserver ces données dans le fichier ELOI.
Enfin, parmi les données dont la durée de conservation est de trois ans figurent celles qui sont relatives aux enfants. Comme on l'a fait remarquer plus haut, aucune nécessité ne justifie la mise en mémoire de ces données et encore moins leur conservation pendant trois ans, que la mesure ait été exécutée ou qu'elle ne l'ait pas été, que les enfants soient repartis avec leurs parents ou non. La conservation de ces données pendant trois ans accroît les risques déjà mentionnés que la connaissance par l'administration de ces informations compromette les chances de ces enfants, devenus majeurs, de pouvoir se maintenir en France et obtenir un titre de séjour.
En conclusion,
Les dispositions du décret attaqué violent :
- l'article 1er du décret n° 2005-333 du 7 avril 2005 pris pour l'application de la loi n° 51-711 du 7 juin 1951 sur l'obligation, la coordination et le secret en matière de statistiques, dans la mesure où le Conseil national de l'information statistique n'a pas été consulté ;
- les articles 8-II et 25 de la loi du 6 janvier 1978 modifiée dans la mesure où l'autorisation de la CNIL aurait dû être sollicitée en raison de la mise en mémoire de données sensibles pour une finalité statistique, d'une part, du rapprochement rendu possible entre les fichiers ELOI et AGDREF, d'autre part ;
- l'article 26-I de la loi du 6 janvier 1978 modifiée et l'article L. 611-5 du Code de l'entrée et du séjour des étrangers et du droit d'asile dans la mesure où la consultation de la CNIL est intervenue dans des conditions irrégulières ;
- l'article 6, 2° de la loi du 6 janvier 1978, dans la mesure où la finalité statistique du fichier ne répond pas aux conditions que cet article prévoit et s'analyse par conséquent en un détournement de finalité ;
- l'article 5c de la Convention n° 108 du Conseil de l'Europe, l'article 6.1.c de la directive n° 95/46/CE, l'article 6, 3° de la loi du 6 janvier 1978, dans la mesure où les données collectées sont excessives et ni pertinentes, ni adéquates au regard de la finalité du fichier ;
- l'article 5e de la Convention n° 108 du Conseil de l'Europe, l'article 6.1.e de la directive n° 95/46/CE, l'article 6, 5° de la loi du 6 janvier 1978, en tant qu'il prévoit que les données seront conservées pendant trois ans, durée qui excède la durée nécessaire à la finalité pour laquelle elles sont collectées et traitées.
***
PAR CES MOTIFS, et tous autres à produire, déduire ou suppléer, les associations exposantes concluent à ce qu'il plaise au Conseil d'État :
ANNULER :
Le décret n° 2007-1890 du 26 décembre 2007.