Recours conjoint de la CIMADE, du GISTI, d'IRIS et de la LDH pour l'annulation du fichier ELOI

Déposé au Conseil d'État le 2 octobre 2006
(Texte également disponible au format PDF)

CONSEIL D'ETAT
SECTION DU CONTENTIEUX
REQUÊTE en ANNULATION

POUR :

• la Cimade, association régie par la loi du 1^er juillet 1901, dont le siège est établi à Paris (7^e), 176 rue de Grenelle, représentée par son président Patrick PEUGEOT ;
• le Groupe d'information et de soutien des immigrés (Gisti), association régie par la loi du 1^er juillet 1901, dont le siège est établi à Paris (11^e), 3 villa Marcès, représentée par sa présidente, Nathalie FERRÉ ;
• Imaginons un réseau internet solidaire (IRIS), association régie par la loi du 1^er juillet 1901, dont le siège est établi à Paris 20^e , 40 rue de la Justice, représentée par sa présidente en exercice, Meryem MARZOUKI ;
• la Ligue des droits de l'Homme (LDH), association régie par la loi du 1^er juillet 1901, dont le siège est établi à Paris (18^e), 138 rue Marcadet, représentée par son président en exercice, Jean-Pierre DUBOIS.

Les associations requérantes désignent comme mandataire unique Nathalie Ferré, domiciliée au Gisti, 3 villa Marcès, 75011 Paris.

CONTRE :
Le ministre de l'intérieur

OBJET :

Demande d'annulation de l'arrêté du 30 juillet 2006 relatif à l'informatisation de la procédure d'éloignement par la création d'un traitement de données à caractère personnel au sein du ministère de l'intérieur (NOR : INTD0600664A, JO du 18 août 2006).

*

Les associations exposantes défèrent à la censure du Conseil d'État l'arrêté du 30 juillet 2006 du ministre de l'intérieur référencé ci-dessus.

À l'appui de leurs requêtes, elles entendent faire valoir les faits et moyens suivants.

FAITS

Le 18 août 2006 est paru au Journal Officiel un arrêté du ministre de l'intérieur en date du 30 juillet 2006, créant un traitement de donnés à caractère personnel au sein du ministère de l'intérieur. La finalité de ce traitement, dénommé « ELOI » (pour « éloignement »), est décrite à l'article 1er : il s'agit « dans la lutte contre l'immigration clandestine, de faciliter l'éloignement des étrangers se maintenant sans droit sur le territoire par la gestion des différentes étapes de la procédure d'éloignement ».

L'article 2 énumère les données enregistrées, relatives : 1. à l'étranger en situation irrégulière ; 2. à l'hébergeant lorsqu'un étranger en situation irrégulière est assigné à résidence ; 3. au visiteur d'une personne étrangère placée en rétention administrative.

Ne sont visés, en tête de l'arrêté, aucun texte législatif ou réglementaire relatif à l'éloignement des étrangers, mais uniquement les textes - conventionnels, communautaires ou législatifs - régissant les traitements informatisés.

Bien qu'il ne soit pas visé spécialement, on peut penser que l'arrêté a été pris sur le fondement de l'article 26 de la loi « Informatique et libertés » du 6 janvier 1978 modifiée, qui dispose : « I. Sont autorisés par arrêté du ou des ministres compétents, pris après avis motivé et publié de la Commission nationale de l'informatique et des libertés, les traitements de données à caractère personnel mis en oeuvre pour le compte de l'État et  :
1^° qui intéressent la sûreté de l'État, la défense ou la sécurité publique ;
2^° ou qui ont pour objet la prévention, la recherche, la constatation ou la poursuite des infractions pénales ou l'exécution des condamnations pénales ou des mesures de sûreté ».

Toutefois, aux termes de l'article 28, qui est, lui, expressément mentionné dans les visas : I. La Commission nationale de l'informatique et des libertés, saisie dans le cadre des articles 26 ou 27, se prononce dans un délai de deux mois à compter de la réception de la demande. Toutefois, ce délai peut être renouvelé une fois sur décision motivée du président.
II. L'avis demandé à la commission sur un traitement, qui n'est pas rendu à l'expiration du délai prévu au I, est réputé favorable.

C'est cette dernière disposition qui a trouvé application ici, puisque est visée uniquement la saisine de la CNIL en date du 18 mai 2006, mais non son avis. En prenant l'arrêté dès le 30 juillet 2006, le ministre de l'Intérieur a donc respecté la lettre du texte mais a privé les administrés de la garantie de procédure que représente l'avis de la CNIL. Il est vrai que le ministre n'a fait que mettre à profit une des contradictions - sinon même une incohérence -de la loi qui, d'un côté, prévoit que l'autorisation de créer un traitement ne peut intervenir qu'après avis motivé et publié de la CNIL, et qui, de l'autre énonce que l'avis est réputé favorable s'il n'est pas rendu au bout de deux mois.

Le Conseil constitutionnel lui-même, dans sa décision du 29 juillet 2004 (DC 2004-499) s'est appuyé sur la nécessité de solliciter l'avis de la CNIL et l'obligation de le publier pour rejeter les arguments présentés par les requérants et pour en conclure que la nouvelle procédure prévue par l'article 26 n'était pas inconstitutionnelle.

SUR LE NOUVEL ARTICLE 26 DE LA LOI DU 6 JANVIER 1978 :
24. Considérant qu'aux termes du I de l'article 26 de la loi du 6 janvier 1978, dans sa rédaction issue de l'article 4 de la loi déférée : « Sont autorisés par arrêté du ou des ministres compétents, pris après avis motivé et publié de la Commission nationale de l'informatique et des libertés, les traitements de données à caractère personnel mis en oeuvre pour le compte de l'État et : - 1^° Qui intéressent la sûreté de l'État, la défense ou la sécurité publique ; - 2^° Ou qui ont pour objet la prévention, la recherche, la constatation ou la poursuite des infractions pénales, ou l'exécution des condamnations pénales ou des mesures de sûreté. - L'avis de la commission est publié avec l'arrêté autorisant le traitement » ;
25. Considérant que, selon les requérants, ces dispositions marquent « un des reculs les plus manifestes opérés par cette loi quant au niveau des garanties légales constitutionnellement exigées puisque aujourd'hui un tel traitement requiert un avis favorable de la CNIL » ; qu'ils considèrent que cette évolution crée, « au regard de l'article 2 de la Déclaration de 1789 et de la liberté individuelle », une « situation constitutionnellement préjudiciable » ;
26. Considérant que le I de l'article 26 de la loi du 6 janvier 1978 est relatif à la création des seuls traitements intéressant la sauvegarde de l'ordre public et ne comportant pas de données sensibles au sens du I de son article 8 ; qu'il se borne à substituer à un avis conforme du Conseil d'État en cas d'avis défavorable de la Commission nationale de l'informatique et des libertés un arrêté ministériel pris après avis motivé et publié de la Commission ; que le législateur a prévu que l'avis de la Commission serait publié concomitamment à l'arrêté autorisant le traitement ;
27. Considérant, dans ces conditions, que les dispositions critiquées, qui ne privent pas de garanties légales le droit au respect de la vie privée, ne sont contraires à aucun principe ni à aucune règle de valeur constitutionnelle ;

L'absence d'avis de la CNIL est également regrettable dans la mesure où, en l'absence d'exposé des motifs, seule la lecture de l'avis aurait pu faire connaître les raisons d'être de ce fichier.

Les associations requérantes entendent montrer que l'arrêté attaqué ne respecte pas les obligations imposées par les différents textes de droit interne, de droit international et de droit communautaire relatifs à la protection des personnes à l'égard du traitement des données à caractère personnel.

DISCUSSION

Sur la recevabilité :

Les quatre associations requérantes sont recevables à déférer le texte litigieux devant le Conseil d'État.

• La Cimade s'est donné pour but « de manifester une solidarité active avec ceux qui souffrent, qui sont opprimés et exploités et d'assurer leur défense, quelles que soient leur nationalité, leur position politique ou religieuse. En particulier, elle a pour objet de combattre le racisme ». Par ailleurs, la Cimade est présente, sur la base d'une convention passée avec le ministère des affaires sociales, dans les centres de rétention : ses membres sont donc directement concernés par la possibilité qu'ouvre l'arrêté litigieux d'organiser le fichage des « visiteurs ».
• Le GISTI, dont l'objet social est notamment de soutenir, par tous moyens, l'action des étrangers et des immigrés en vue de la recon-naissance et du respect de leur droits, sur la base du principe d'égalité, a évidemment intérêt à demander l'annulation de dispositions qui concernent - les unes directement, les autres indirectement - les étrangers.
• L'association Imaginons un réseau Internet solidaire (IRIS) est une association de défense de l'ensemble des droits et libertés fondamentaux dans l'usage de l'informatique et des réseaux et a été amenée, depuis sa création en octobre 1997, à agir constamment en faveur de la protection de la vie privée et des données personnelles dans le contexte du traitement numérique de telles données comme de leur circulation sur les réseaux.
• La Ligue des droits de l'homme (LDH), qui s'est donné pour but de défendre l'ensemble des droits et libertés fondamentaux, et notamment ceux des étrangers, a également inscrit de façon spécifique dans ses statuts la lutte « en faveur du respect des libertés individuelles en matière de traitement des données informatisées ».

Sur le fond :

1/ Rappel des textes et des principes applicables

Le recueil et le traitement des données personnelles comportent une série de risques pour les libertés des personnes fichées : il faut donc apprécier la légalité des mesures prises au regard des principes qui régissent la protection des personnes à l'égard du traitement des données à caractère personnel.

Les textes

• Aux termes de l'article 8 § 2 de la Convention européenne des droits de l'homme, il ne peut y avoir ingérence d'une autorité publique dans l'exercice du droit au respect de la vie privée que pour autant que cette ingérence est prévue par la loi et qu'elle constitue une mesure qui, dans une société démocratique, est nécessaire - notamment - à la sécurité nationale, à la sûreté publique, au bien-être économique du pays, à la défense de l'ordre et à la prévention des infractions pénales. On sait que, pour la Cour européenne des droits de l'homme, le respect de ces conditions implique des exigences relatives à la qualité de la base juridique de l'ingérence, à la proportionnalité des mesures et à la nécessité de garanties adéquates contre les abus.
• La Convention n^° 108 du 28 janvier 1981 du Conseil de l'Europe pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel et la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel énoncent de leur côté des principes fondamentaux que doit respecter la mise en oeuvre de traitements informatisés - principes repris dans la loi du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, modifiée en dernier lieu par la loi du 6 août 2004. Il s'agit notamment des principes de pertinence et de proportionnalité, de finalité et de l'exigence, là encore, de garanties suffisantes.

*

C'est à la lumière de ces considérations générales qu'il convient d'examiner les dispositions de l'arrêté du 30 juillet 2006, et en particulier celles qui concernent les catégories de données collectées et traitées (art. 2), et celles qui fixent la durée de conservation de ces données (art. 3).

2/ Certaines des données enregistrées sont excessives, non pertinentes et non adéquates

L'article 5 de la Convention 108 du Conseil de l'Europe, l'article 6 de la directive 95/46/CE, et désormais l'article 6 de la loi du 6 janvier 1978 modifiée rappellent, en des termes similaires, que les données à caractère personnel doivent être collectées pour des finalités déterminées, explicites et légitimes, et ne pas être traitées ultérieurement de manière incompatible avec ces finalités, et qu'elles doivent être adéquates, pertinentes et non excessives au regard des finalités pour lesquelles elles sont collectées. L'article 6 de la loi de 1978 dispose :

Art. 6 - Un traitement ne peut porter que sur des données à caractère personnel qui satisfont aux conditions suivantes : [']
2^° Elles sont collectées pour des finalités déterminées, explicites et légitimes et ne sont pas traitées ultérieurement de manière incompatible avec ces finalités. [']
3^° Elles sont adéquates, pertinentes et non excessives au regard des finalités pour lesquelles elles sont collectées et de leurs traitements ultérieurs ;

C'est donc par rapport à la finalité du traitement qu'on peut évaluer le caractère proportionné et adéquat des données et de leur utilisation.

La finalité est ici assez vague : il faut « faciliter l'éloignement des étrangers se maintenant sans droit sur le territoire par la gestion des différentes étapes de la procédure d'éloignement », et cela, « dans la lutte contre l'immigration clandestine ». On a du mal à apercevoir l'utilisation exacte qui sera faite de ce fichier.

a) Les données concernant les étrangers

Le traitement mis en place doit contenir en premier lieu des données concernant les étrangers en situation irrégulière. Ces données entretiennent a priori un lien direct avec la finalité du traitement (encore qu'on ne voie pas forcément ce qu'ajoutera ce fichier par rapport à tous ceux qui existent déjà). On peut toutefois contester la mise en mémoire de deux catégories de données :

• celles qui concernent la « filiation complète » de l'intéressé : si l'on peut comprendre que le nom du père et celui de la mère sont utiles pour une identification plus sûre, il n'en va pas de même de la mise en mémoire des prénoms et dates de naissance des enfants : d'une part, c'est une étrange nouveauté que de considérer que les enfants font partie de la « filiation » d'une personne ; d'autre part cela aboutit à ficher des enfants qui ne peuvent pas faire l'objet de mesures d'éloignement forcé. La mise en mémoire de ces données n'est donc pas pertinente au regard de la finalité du fichier, et elle comporte des risques pour les enfants ainsi mis enfiche : elle les désigne à l'attention de l'administration et de la police et elle peut compromettre leurs chances d'obtenir ultérieurement un titre de séjour.
• celles qui concernent la « nécessité de surveillance particulière au regard de l'ordre public ». D'une part, les étrangers visés ne sont pas des personnes en instance d'expulsion mais des personnes faisant l'objet de mesures d'éloignement justifiées par l'irrégularité du séjour : elles ne représentent donc pas a priori une menace pour l'ordre public. D'autre part, la formulation est vague, donc source d'arbitraire : quels sont les critères d'évaluation de la menace pour l'ordre public : une condamnation, une arrestation, un simple sentiment objectif '

b) Les données concernant les hébergeants et les visiteurs (art. 2)

L'enregistrement des données relatives aux personnes qui hébergent les étrangers assignés à résidence, d'une part, celles qui leur rendent visitent dans les lieux de rétention, d'autre part, n'ont aucun rapport avec la mise en oeuvre des mesures d'éloignement.

Certes, les données enregistrées sont minimales : le nom, le prénom, l'adresse, dans tous les cas, plus le sexe lorsqu'il s'agit de l'hébergeant (on s'explique d'ailleurs mal pourquoi cette donnée est considérée comme utile dans un cas mais pas dans l'autre : cette incohérence fait peser un soupçon supplémentaire de non pertinence sur cette donnée).

1^° Concernant les personnes chez qui sont hébergés des étrangers assignés à résidence au lieu d'être placés en rétention, on peut comprendre sans mal que leurs noms et adresses soient relevés. Mais à quoi sert la mise en mémoire de ces noms et adresses ' Si on ne peut dégager la raison d'être de la conservation de ces données, c'est bien qu'elles sont inadéquates et excessives.

2^° Concernant les personnes qui rendent visite à un étranger placé en rétention, on se perd en conjectures pour comprendre l'intérêt que le fichage de ces visiteurs présente pour l'accomplissement de la mission dévolue à l'administration. En revanche, on voit bien les risques que peut représenter pour un individu le fait de figurer dans un fichier lié à la répression de l'immigration clandestine : le fichage aboutira inévitablement à faire peser un soupçon sur les personnes qui viennent dans les lieux de rétention rendrent visite aux personnes retenues.

Ce risque est d'autant moins acceptables que la formulation du texte laisse peser une grande incertitude sur les personnes concernées, qui seront la « cible » de ce fichage. Le terme même « visiteur » renvoie à une formulation particulièrement vague et générale : est en effet « visiteur » selon le dictionnaire de l'Académie française « celui, celle qui va voir quelqu'un ou quelque chose ». Si le lieu de la visite est déterminé en l'espèce (le centre de rétention) la personne qui visite ne l'est absolument pas : or, a priori, peuvent effectuer des visites les membres de la famille d'un retenu, ses amis, un travailleur social, un médecin, un avocat, des parlementaires dans le cadre des visites qu'ils sont habilités à faire, des membres du Comité contre la torture du Conseil de l'Europe, des journalistes, le Procureur de la République - cette liste étant bien évidemment non limitative.

Une formulation aussi imprécise ne saurait être acceptée par le Conseil : les textes réglementaires comme les textes législatifs doivent répondre à une exigence de précision, surtout lorsque les conséquences d'un fichage comporte de véritables risques pour le « visiteur ».

Les associations requérantes demandent donc au juge de constater que la collecte de ces données, dénuées de pertinence et excédant manifestement ce qui correspond à la finalité du fichier, est illégale.

3/ La durée de conservation des données est excessive au regard de la finalité du fichier (art. 3)

L'article 3 de l'arrêté attaqué prévoit que « la durée de conservation des données contenues dans le traitement mentionné à l'article 1er est de trois ans à compter de la clôture du dossier de la personne concernée ».

Tous les textes insistent sur la nécessité de limiter la durée de conservation des données personnelles à ce qui est réellement nécessaire compte tenu de la finalité du traitement. L'article 5 de la Convention 108 du Conseil de l'Europe, l'article 6 de la directive 95/46/CE, et désormais l'article 6-5^° de la loi du 6 janvier 1978 modifiée rappellent, en des termes similaires, que les données à caractère personnel « sont conservées sous une forme permettant l'identification des personnes concernées pendant une durée qui n'excède pas la durée nécessaire aux finalités pour lesquelles elles sont collectées et traitées ».

Or la durée de trois ans prévue par l'arrêté du 30 juillet 2006 excède la durée nécessaire pour remplir les objectifs du traitement. C'est évidemment le cas pour les données relatives aux hébergeants et aux visiteurs et que rien ne justifient de mettre en mémoire, donc a fortiori de conserver pendant trois ans. C'est également le cas pour les données relatives aux étrangers en instance d'éloignement. La durée de trois ans ne repose sur aucun fondement juridique : on relève en particulier qu'elle excède très largement la durée prévue par l'article L. 551-1 du code de l'entrée et du séjour des étrangers en France et du droit d'asile, prévoyant au contraire que le même arrêté de reconduite à la frontière ne peut donner lieu à un placement en rétention après plus d'une année.

Par ailleurs, le point de départ de ce délai de trois ans est de surcroît bien incertain : que signifie en effet : « à compter de la clôture du dossier de la personne concernée » ' Le terme de clôture ne renvoie à aucune notion juridique, tout au plus à des pratiques administratives. On peut même penser que le dossier d'un étranger qui a fait l'objet d'une mesure d'éloignement forcé n'est jamais « clos ».

En conclusion,

Les dispositions de l'arrêté attaqué violent :

• l'article 5c de la Convention n^° 108 du Conseil de l'Europe, l'article 6.1.c de la directive n^° 95/46/CE, l'article 6, 3^° de la loi du 6 janvier 1978, dans la mesure où les données collectées sont excessives et ni pertinentes, ni adéquates au regard de la finalité du fichier ;
• l'article 5e de la Convention n^° 108 du Conseil de l'Europe, l'article 6.1.e de la directive n^° 95/46/CE, l'article 6, 5^° de la loi du 6 janvier 1978, en tant qu'il prévoit que les données seront conservées pendant trois ans, durée qui excède la durée nécessaire à la finalité pour laquelle elles sont collectées et traitées.

***

PAR CES MOTIFS, et tous autres à produire, déduire ou suppléer, les associations exposante conclut à ce qu'il plaise au Conseil d'État :

ANNULER :

L'arrêté du 30 juillet 2006, et notamment ses articles 2 et 3.