IRIS info - débats /

Recours conjoint du GISTI, de la LDH et d'IRIS contre le fichage des hébergeants

Déposé au Conseil d'État le 3 octobre 2005
(Texte également disponible au format PDF)

CONSEIL D'ETAT
SECTION DU CONTENTIEUX
REQUÊTE en ANNULATION

POUR : Les associations requérantes désignent comme mandataire unique Nathalie Ferré, domiciliée au Gisti, 3 villa Marcès, 75011 Paris.

CONTRE :
Le Secrétaire général du gouvernement

OBJET :

Demande d'annulation du décret n° 2005-937 du 2 août 2005 pris pour l'application de l'article L. 211-7 du code de l'entrée et du séjour des étrangers et du droit d'asile et portant sur le traitement automatisé de données à caractère personnel relatif aux demandes de validation des attestations d'accueil (JO, 6 août 2005)

*

Les associations exposantes défèrent à la censure du Conseil d'État le décret n° 2005-937 du 2 août 2005 pris pour l'application de l'article L. 211-7 du code de l'entrée et du séjour des étrangers et du droit d'asile et portant sur le traitement automatisé de données à caractère personnel relatif aux demandes de validation des attestations d'accueil.

À l'appui de leurs requêtes, elles entendent faire valoir les faits et moyens suivants.

FAITS

1/ La loi n° 2003-1119 du 26 novembre 2003 relative à la maîtrise, au séjour des étrangers en France et à la nationalité a modifié l'article 5-3 de l'ordonnance n° 45-2658 du 2 novembre 1945 relative aux conditions d'entrée et de séjour des étrangers en France, pour y introduire des dispositions nouvelles relatives à l'attestation d'accueil que doit présenter l'étranger qui déclare vouloir séjourner en France dans le cadre d'une visite familiale ou privée.

Depuis l'entrée en vigueur de l'ordonnance n° 2004-1248 du 24 novembre 2004, ces dispositions figurent désormais dans la partie législative du code de l'entrée et du séjour des étrangers et du droit d'asile, aux articles L. 211-3 et s. (Section 3, Justificatif d'hébergement).

Article L. 211-3 - Tout étranger qui déclare vouloir séjourner en France pour une durée n'excédant pas trois mois dans le cadre d'une visite familiale ou privée doit présenter un justificatif d'hébergement. Ce justificatif prend la forme d'une attestation d'accueil signée par la personne qui se propose d'assurer le logement de l'étranger, ou son représentant légal, et validée par l'autorité administrative. [...]

Article L. 211-4 - L'attestation d'accueil, signée par l'hébergeant et accompagnée des pièces justificatives déterminées par décret en Conseil d'État, est présentée pour validation au maire de la commune du lieu d'hébergement ou, à Paris, Lyon et Marseille, au maire d'arrondissement, agissant en qualité d'agent de l'État.

Elle est accompagnée de l'engagement de l'hébergeant de prendre en charge, pendant toute la durée de validité du visa ou pendant une durée de trois mois à compter de l'entrée de l'étranger sur le territoire des États parties à la convention signée à Schengen le 19 juin 1990, et au cas où l'étranger accueilli n'y pourvoirait pas, les frais de séjour en France de celui-ci, limités au montant des ressources exigées de la part de l'étranger pour son entrée sur le territoire en l'absence d'une attestation d'accueil.

Article L. 211-5 - Le maire peut refuser de valider l'attestation d'accueil dans les cas suivants :
1º L'hébergeant ne peut pas présenter les pièces justificatives requises ;
2º Il ressort, soit de la teneur de l'attestation et des pièces justificatives présentées, soit de la vérification effectuée au domicile de l'hébergeant, que l'étranger ne peut être accueilli dans des conditions normales de logement ;
3º Les mentions portées sur l'attestation sont inexactes ;
4º Les attestations antérieurement signées par l'hébergeant ont fait apparaître, le cas échéant après enquête demandée par l'autorité chargée de valider l'attestation d'accueil aux services de police ou aux unités de gendarmerie, un détournement de la procédure.

Art. L. 211-6 - A la demande du maire, des agents spécialement habilités des services de la commune chargés des affaires sociales ou du logement ou l'Office des migrations internationales peuvent procéder à des vérifications sur place. Les agents qui sont habilités à procéder à ces vérifications ne peuvent pénétrer chez l'hébergeant qu'après s'être assurés du consentement, donné par écrit, de celui-ci. En cas de refus de l'hébergeant, les conditions d'un accueil dans des conditions normales de logement sont réputées non remplies.

Article L. 211-7- Les demandes de validation des attestations d'accueil peuvent être mémorisées et faire l'objet d'un traitement automatisé afin de lutter contre les détournements de procédure. Les fichiers correspondants sont mis en place par les maires, selon des dispositions déterminées par un décret en Conseil d'État, pris après avis de la Commission nationale de l'informatique et des libertés.

Ce décret précise la durée de conservation et les conditions de mise à jour des informations enregistrées, les modalités d'habilitation des personnes qui seront amenées à consulter ces fichiers ainsi que, le cas échéant, les conditions dans lesquelles les personnes intéressées peuvent exercer leur droit d'accès.

2/ Le décret n° 2004-1237 du 17 novembre 2004 modifiant le décret n° 82-442 du 27 mai 1982 est venu préciser les conditions d'application des dispositions précitées relatives à l'établissement et à la validation des attestations d'accueil. L'article 2-1 modifié du décret du 27 mai 1982 dispose :

Art. 2-1. - 1. L'attestation d'accueil demandée pour les séjours à caractère familial ou privé est conforme à un modèle défini par arrêté du ministre de l'intérieur. Elle indique :
a) L'identité du signataire et, s'il agit comme représentant d'une personne morale, sa qualité ;
b) Le lieu d'accueil de l'étranger ;
c) L'identité et la nationalité de la personne accueillie ;
d) Les dates d'arrivée et de départ prévues ;
e) Le lien de parenté, s'il y a lieu, du signataire de l'attestation d'accueil avec la personne accueillie ;
f) Les attestations d'accueil antérieurement signées par l'hébergeant, s'il y a lieu ;
g) Les caractéristiques du lieu d'hébergement ;
h) L'engagement de l'hébergeant à subvenir aux frais de séjour de l'étranger.
Elle précise également si l'étranger envisage de souscrire lui-même à l'obligation d'assurance prévue à l'article 5 de l'ordonnance du 2 novembre 1945 susvisée ou si, conformément à l'avant-dernier alinéa de l'article 5-3 de cette ordonnance, l'obligation est satisfaite par une assurance souscrite au profit de l'étranger par la personne qui se propose de l'héberger.
[...]
4. Le signataire de l'attestation d'accueil doit, pour en obtenir la validation par le maire, se présenter personnellement en mairie, muni d'un des documents mentionnés au 2 ou 3 ci-dessus, d'un document attestant de sa qualité de propriétaire, de locataire ou d'occupant du logement dans lequel il se propose d'héberger le visiteur ainsi que de tout document permettant d'apprécier ses ressources et sa capacité à héberger l'étranger accueilli dans un logement décent au sens des dispositions réglementaires en vigueur et dans des conditions normales d'occupation.
5. Le conjoint et les enfants mineurs de 18 ans de l'étranger accueilli peuvent figurer sur une même attestation d'accueil.
6. Le maire adresse au préfet un compte rendu annuel non nominatif relatif aux attestations d'accueil, comprenant notamment le décompte des attestations d'accueil validées et refusées et des vérifications sur place qui ont été prescrites.

Le décret du 17 novembre 2004 a fait l'objet d'un recours en annulation, déposé par le Gisti, et actuellement pendant devant le Conseil d'État. Le recours conteste notamment la légalité du point 4 en ce qu'il impose une condition (production des documents permettant d'apprécier les ressources de l'hébergeant) non prévue par la loi. Les arguments développés à l'appui de ce recours sont rappelés plus loin.

3/ Le décret n° 2005-937 du 2 août 2005 a été pris sur le fondement de l'article L. 211-7 du Code des étrangers reproduit ci-dessus, qui prévoit que « les demandes de validation des attestations d'accueil peuvent être mémorisées et faire l'objet d'un traitement automatisé afin de lutter contre les détournements de procédure ». Dans ce cas, « les fichiers correspondants sont mis en place par les maires, selon des dispositions déterminées par un décret en Conseil d'État, pris après avis de la Commission nationale de l'informatique et des libertés. Ce décret précise la durée de conservation et les conditions de mise à jour des informations enregistrées, les modalités d'habilitation des personnes qui seront amenées à consulter ces fichiers ainsi que, le cas échéant, les conditions dans lesquelles les personnes intéressées peuvent exercer leur droit d'accès ».

Le décret du 2 août 2005 autorise donc les maires, en leur qualité d'agents de l'État, à « mettre en place un traitement automatisé de données à caractère personnel relatif aux demandes de validation des attestations d'accueil, dont la finalité est de lutter contre les détournements de procédure favorisant l'immigration irrégulière » (art. 1er). Sont ensuite précisés : les catégories de données enregistrées (art. 2), la durée de conservation des données (art. 3), les destinataires des données (art. 4), les modalités d'exercice du droit d'accès et l'obligation de mise à jour des données (art. 5), l'absence de droit d'opposition (art. 6), l'interdiction de toute interconnexion ou rapprochement avec tout autre traitement automatisé (art. 7), enfin l'obligation pour les maires d'adresser une déclaration à la CNIL avant la mise en oeuvre du traitement (art. 8).

L'avis de la CNIL a été sollicité, conformément à l'article L. 211-7 du Code des étrangers et également - si l'on se réfère aux visas portés à la fois sur le décret et sur la délibération de la CNIL - sur le fondement de l'article 26 de la loi du 6 janvier 1978 modifiée :

Article 26 - I. - Sont autorisés par arrêté du ou des ministres compétents, pris après avis motivé et publié de la Commission nationale de l'informatique et des libertés, les traitements de données à caractère personnel mis en oeuvre pour le compte de l'État et :
1° Qui intéressent la sûreté de l'État, la défense ou la sécurité publique ;
2° Ou qui ont pour objet la prévention, la recherche, la constatation ou la poursuite des infractions pénales ou l'exécution des condamnations pénales ou des mesures de sûreté.
L'avis de la commission est publié avec l'arrêté autorisant le traitement.
[...]
IV. - Pour l'application du présent article, les traitements qui répondent à une même finalité, portent sur des catégories de données identiques et ont les mêmes destinataires ou catégories de destinataires peuvent être autorisés par un acte réglementaire unique. Dans ce cas, le responsable de chaque traitement adresse à la commission un engagement de conformité de celui-ci à la description figurant dans l'autorisation.

La CNIL a rendu son avis sur le projet de décret le 30 mars 2005 (délibération n° 2005-052). Cet avis a été publié au Journal Officiel en même temps que le décret. Sur trois points au moins le gouvernement n'a pas tenu compte de l'avis de la CNIL, ce qu'il avait juridiquement le droit de faire, compte tenu des dispositions de la loi du 6 janvier 1978 modifiée par la loi du 6 août 2004 - mais ce point mérite néanmoins d'être relevé : on y reviendra plus loin.

Les associations requérantes entendent montrer que, dans plusieurs de ses dispositions, le décret du 2 août 2005 ne respecte pas les obligations imposées par les différents textes de droit interne, de droit international et de droit communautaire relatifs à la protection de la vie privée et à la protection des personnes à l'égard du traitement des données à caractère personnel.

DISCUSSION

Sur la recevabilité : Sur le fond :

1/ Rappel des textes et des principes pertinents

Le recueil et le traitement des données personnelles comportent une série de risques pour les libertés - et notamment un risque d'ingérence dans la vie privée des personnes fichées. Il faut donc apprécier la légalité des mesures prises au regard, d'une part, des principes qui régissent les possibilités d'ingérence dans la vie privée et, d'autre part, des principes qui régissent la protection des personnes à l'égard du traitement des données à caractère personnel.

Les textes

Le rôle de la CNIL

Dans ce contexte, l'existence d'une autorité de contrôle indépendante est apparue suffisamment importante pour que le législateur français, dès 1978, crée l'institution qui allait devenir la première « autorité administrative indépendante », la CNIL. À son tour, la Directive 95/46/CE a obligé chaque État membre à prévoir que des autorités publiques exerçant en tout indépendance les missions dont elles sont investies seront chargées de surveiller l'application des dispositions législatives.

Jusqu'à l'intervention de la loi du 6 août 2004, la création d'un fichier public supposait l'avis de la CNIL, et en cas d'avis défavorable l'autorité administrative ne pouvait passer outre qu'en recourant à un décret pris après avis conforme du Conseil d'État. En pratique, le gouvernement n'a jamais fait ce choix, ce qui donnait à la CNIL, comme l'ont relevé les commentateurs, une forme de pouvoir de co-décision. C'est délibérément que, par la loi du 6 août 2004, le législateur a remplacé ce système par une simple obligation, dans le cas général, de publier l'avis de la CNIL en même temps que l'acte réglementaire autorisant la création du traitement. Ce choix a fait l'objet de critiques vigoureuses de la part de ceux qui craignaient qu'il en résulte un déficit de contrôle sur des fichiers potentiellement dangereux pour les libertés. Il a été répondu à ces craintes que la publication de l'avis de la CNIL assurerait à cet avis une certaine autorité, le gouvernement hésitant à contredire ouvertement ses recommandations. Ce premier exemple d'application de la nouvelle législation a montré qu'il n'en était rien.

Compte tenu de ce déficit de contrôle en amont, c'est sur le juge que repose désormais l'entière responsabilité du contrôle en aval ; et, sauf à dénier toute autorité aux avis rendus par la CNIL, il ne saurait négliger les observations de cette autorité administrative indépendante, même s'il n'est évidemment pas lié par elles.

*

C'est à la lumière de ces considérations générales qu'il convient d'examiner les dispositions du décret du 2 août 2005, et en particulier celles qui concernent les catégories de données collectées et traitées, la durée de conservation de ces données, les garanties de confidentialité des traitements.

2/ Certaines des données enregistrées (art. 2) sont excessives, non pertinentes et non adéquates

L'article 2 du décret du 2 août 2005 prévoit que les catégories de données enregistrées sont :

Art. 2. - Les catégories de données enregistrées sont les suivantes :
1° Données relatives à l'hébergeant :

2° Données relatives à la personne hébergée :
  • identité (nom, prénoms et sexe) ;
  • date et lieu de naissance ;
  • nationalité ;
  • numéro de passeport ;
  • adresse ;
  • identité et date de naissance du conjoint s'il est accompagné par celui-ci ;
  • identité et date de naissance des enfants mineurs, le cas échéant ;
  • données relatives au séjour (durée ainsi que dates d'arrivée et de départ) ;
  • éventuels liens de parenté avec le demandeur ;
  • avis de l'Agence nationale de l'accueil des étrangers et des migrations ou des services de la commune chargés des affaires sociales ou du logement, relatif aux conditions d'hébergement, à la demande du maire ;
  • suites données par l'autorité consulaire à la demande de visa formulée sur la base de l'attestation d'accueil validée ;
3° Données relatives au logement :
  • caractéristiques du logement (surface habitable, nombre de pièces habitables et nombre d'occupants) ;
  • droits de l'hébergeant sur le logement (propriétaire, locataire ou occupant).

L'article 5 de la Convention 108 du Conseil de l'Europe, l'article 6 de la directive 95/46/CE, et désormais l'article 6 de la loi du 6 janvier 1978 modifiée rappellent, en des termes similaires, que les données à caractère personnel doivent être collectées pour des finalités déterminées, explicites et légitimes, et ne pas être traitées ultérieurement de manière incompatible avec ces finalités, et qu'elles doivent être adéquates, pertinentes et non excessives au regard des finalités pour lesquelles elles sont collectées. L'article 6 de la loi de 1978 dispose :

Art. 6 - Un traitement ne peut porter que sur des données à caractère personnel qui satisfont aux conditions suivantes :
[...]
2° Elles sont collectées pour des finalités déterminées, explicites et légitimes et ne sont pas traitées ultérieurement de manière incompatible avec ces finalités. [...]
3° Elles sont adéquates, pertinentes et non excessives au regard des finalités pour lesquelles elles sont collectées et de leurs traitements ultérieurs ;

C'est donc par rapport à la finalité du traitement qu'on peut évaluer le caractère proportionné et adéquat des données et de leur utilisation, comme le rappelle également la CNIL dans sa délibération. En l'espèce, les dispositions du décret et les caractéristiques du traitement qu'il crée doivent être appréciées au regard de la finalité des traitements projetés qui est, aux termes de l'article L. 211-7 du code des étrangers, et comme le rappelle l'article 1er du décret qui autorise la création des traitements, de « lutter contre les détournements de procédure favorisant l'immigration irrégulière ».

Le maire peut en effet refuser de valider l'attestation lorsque « les attestations antérieurement signées par l'hébergeant ont fait apparaître, le cas échéant après enquête demandée par l'autorité chargée de valider l'attestation d'accueil aux services de police ou aux unités de gendarmerie, un détournement de la procédure » (art. L. 211-5, 4° du Code des étrangers). Le détournement de procédure consiste ici à utiliser la procédure de l'attestation d'accueil pour faciliter l'accès au territoire français d'étrangers qui, sous couvert d'une visite privée, entendent en réalité s'établir durablement en France.

Le fait que certaines informations puissent être légitimement demandées aux hébergeants ou aux personnes hébergées n'implique pas ipso facto qu'il est légitime de les collecter, de les mémoriser et de les traiter.

D'une façon générale, le passage du traitement manuel d'une procédure administrative à son traitement automatisé ne constitue pas une simple opération de numérisation « à traitement constant » (comme on dirait « à droit constant ») : cette transformation est susceptible d'entraîner des risques accrus pour les libertés, et notamment des risques d'ingérence dans la vie privée, qui nécessitent des aménagements de la procédure initiale (c'est la raison pour laquelle la CNIL a par exemple demandé que soient supprimés les noms des personnes parties à une procédure juridictionnelle lors de la numérisation et de la mise en ligne des décisions de justice). Le recours à une procédure automatisée peut également faciliter des extensions non prévues, non souhaitées, ou indues, des finalités du traitement, contre lesquelles il convient de se prémunir en reconsidérant la teneur des données recueillies lorsqu'on en envisage la mise en mémoire et le traitement informatique.

Mais surtout, s'agissant du cas précis des attestations d'accueil, alors que les informations recueillies lors de la demande de validation de l'attestation doivent permettre au maire de vérifier que l'hébergeant est effectivement en mesure d'accueillir le visiteur étranger, les informations mises en mémoire visent à permettre au maire de lutter contre les détournements de procédure. Ce sont donc deux objectifs différents, qui ne nécessitent pas les mêmes informations.

En d'autres termes, ce n'est pas parce que le recueil de certaines informations est justifiée au moment de l'instruction de la demande de validation de l'attestation d'accueil que la mise en mémoire de ces informations l'est. La licéité des informations mises en mémoire doit être appréciée non pas en fonction de la finalité générale du système des attestations d'accueil mais uniquement au regard de la finalité spécifique du traitement automatisé, qui est la lutte contre les détournements de procédure. Car les fichiers que les maires sont autorisés à créer ne sont pas des systèmes d'aide à la décision ; ils ont pour unique finalité de leur permettre de lutter contre les détournements de procédure.

Or certaines données dont le décret prévoit l'enregistrement excèdent manifestement cette finalité et leur recueil constitue une ingérence disproportionnés dans la vie privée des individus.

1° Données relatives à l'hébergeant

En ce qui concerne les données relatives à l'hébergeant, le décret prévoit de mettre en mémoire « les données relatives à la situation financière, nécessaires pour apprécier la capacité de prise en charge des frais de séjour et d'hébergement de l'étranger » (art. 2-1° al. 7). Cette disposition encourt la censure pour deux raisons : les maires ne tirent pas de la loi le droit d'exiger des hébergeants de informations sur leur situation financière (1) ; et à supposer même qu'on leur reconnaisse cette possibilité, la mise en mémoire de ces données excèderait en tout état de cause la finalité du traitement, car elles ne sont d'aucune utilité pour lutter contre les détournements de procédure (2).

1. Les maires ne sont pas habilités par la loi à procéder à la vérification des ressources de l'hébergeant.

L'article 5 du décret du 17 novembre 2004 modifiant l'article 2-1 du décret du 27 mai 1982 prévoit au point 4 que « le signataire de l'attestation d'accueil doit, pour en obtenir la validation par le maire, se présenter personnellement en mairie, muni [...] de tout document permettant d'apprécier ses ressources ».

L'annulation de cette disposition a été demandée par le Gisti au Conseil d'État dans un recours actuellement pendant devant lui (requête n° 276777).

En effet, l'obligation pour le signataire d'une attestation d'accueil de présenter au maire des documents permettant d'apprécier ses ressources revient à introduire par voie réglementaire une condition de ressources qui n'est pas prévue par les articles L. 211-3 et s. du Code des étrangers (art. 5-3 de l'ordonnance du 2 novembre 1945).

L'article L. 211-4 prévoit certes que l'hébergeant s'engage à « prendre en charge, pendant toute la durée de validité du visa ou pendant une durée de trois mois à compter de l'entrée de l'étranger [dans l'espace Schengen], et au cas où l'étranger n'y pourvoirait pas, les frais de séjour en France de celui-ci, limités au montant des ressources exigées de la part de l'étranger pour son entée sur le territoire en l'absence d'une attestation d'accueil ».

Mais cet engagement n'implique pas que le maire puisse se livrer à la vérification des ressources du demandeur, qui n'est ni nécessaire, ni adapté à cette fin. Cette vérification est inadaptée car, s'agissant d'une somme limitée à 47,80 euros par jour de présence autorisé en France, dans la limite de 90 jours, soit 4 302 euros (comme le rappelle la circulaire NOR/INT/D/04/0006/C du 20 janvier 2004 du ministre de l'Intérieur), un hébergeant peut avoir des ressources mensuelles modestes sur la période contrôlée par l'administration et être néanmoins en mesure de rembourser les quelques centaines ou milliers d'euros de frais de séjour (par exemple s'il dispose d'une épargne suffisante ou si ses ressources sont fluctuantes d'un mois ou d'une année sur l'autre) ; inversement, un hébergeant ayant des ressources importantes peut très bien être surendetté et donc non solvable.

Mais surtout, la vérification des ressources de l'hébergeant est inutile, car on voit mal concrètement quels sont les frais dont il devrait s'acquitter. En effet, les frais de séjour dans un pays sont entendus dans le sens commun comme les frais d'hébergement et de nourriture, et éventuellement les frais de transport. Or, à supposer qu'un hébergeant, après s'être engagé à prendre en charge les frais de séjour d'un étranger, c'est à dire à le loger et le nourrir, refuse de remplir cet engagement, l'étranger, par hypothèse titulaire au mieux d'un visa court séjour, même sans logement et sans ressources sur le territoire français, ne peut espérer bénéficier d'aucune prestation versée par un organisme public dont le remboursement pourrait être ensuite exigé de la part du signataire d'une attestation d'accueil. Le remboursement d'une éventuelle aide matérielle apportée par une association caritative ne pourrait pas davantage être mis à la charge de celui-ci. Quant aux frais de santé (qui ne peuvent du reste être considérés comme des « frais de séjour »), ils ne peuvent pas non plus être réclamés à l'hébergeant puisque l'étranger doit justifier d'une assurance médicale et d'aide sociale pour entrer en France :

La vérification des ressources du signataire d'une attestation d'accueil, qui n'a aucun fondement direct dans la loi, ne peut donc pas non plus se déduire de la logique de ses dispositions. Dans ces conditions, cette vérification aboutit en pratique à imposer, sans aucun fondement légal, une condition supplémentaire de ressources à la personne qui souhaite héberger un étranger.

Dans son mémoire en réponse à la requête du Gisti, déposé le 30 août 2005, le ministre fait valoir que le décret « ne fixe en aucun cas un plancher de ressources » mais impose seulement « un niveau de ressources suffisantes compte tenu de la situation (familiale, financière, fiscale et des conditions d'habitation) de l'hébergeant ». Outre que cette distinction est trop subtile pour être véritablement convaincante, on vient de démontrer que, même reformulée en ces termes, la vérification d'un niveau de ressources suffisantes n'a pas de raison d'être. L'affirmation du ministre est de surcroît démentie par les faits : un rapide pointage effectué auprès d'un certain nombre de mairies de Paris et de l'Ile-de-France fait apparaître que dans la plupart d'entre elles cette disposition du décret a été interprétée comme permettant d'imposer un minimum de ressources, qui varie entre le SMIC et 1260 euros brut par mois selon les arrondissements, les moyens de preuve exigés étant le plus souvent les trois dernières feuilles de paie et l'avis d'imposition.

Non seulement l'argumentation du ministre méconnaît la pratique qui s'est instaurée, mais elle est plus inquiétante que rassurante : il y est expliqué que le maire « doit appliquer la méthode du faisceau d'indices en s'appuyant sur tous les éléments d'appréciation disponibles, tels que les revenus financiers, les pensions de retraite ou d'invalidité, le capital, les biens immobiliers éventuels, les déclarations fiscales, la qualité de propriétaire ou de locataire de l'hébergeant, les personnes à charge, la situation de l'intéressé par rapport aux services sociaux de la mairie ». Si vraiment l'hébergeant doit fournir au maire l'ensemble de ces renseignement, le spectre de Big Brother n'est plus très loin et l'immixtion dans la vie privée manifestement disproportionnée. Si de surcroît ces informations devaient être mémorisées et traitées, il ne fait aucun doute qu'elles excèderaient largement ce qu'autorise l'article 8 de la Convention européenne des droits de l'homme. A fortiori ne sont-elles ni pertinentes, ni adéquates pour permettre au maire de veiller à l'absence de détournement de procédure.

2/ Les données relatives à la situation financière de l'hébergeant ne sont ni adéquates, ni pertinentes, et sont donc excessives eu égard à la finalité du traitement.

À supposer même que le Conseil d'État, actuellement saisi du recours contre le décret du 17 novembre 2004, estime finalement que le maire est en droit, pour apprécier la capacité de l'hébergeant à subvenir aux frais de séjour de l'étranger, d'exiger qu'il produise les documents permettant d'apprécier ses ressources, il n'en résulterait pas pour autant la possibilité de mettre en mémoire ces données.

Comme on l'a rappelé plus haut, le fait de conserver en mémoire et de traiter certaines informations accroît les risques d'ingérence dans la vie privée - or les informations relatives aux ressources d'un individus constituent bel et bien des données qui mettent en cause sa vie privée. De plus, ce ne sont pas les mêmes informations qui sont utiles pour vérifier la capacité de l'hébergeant à accueillir le visiteur étranger et pour lutter contre les détournements de procédure. En l'espèce, on a du mal à apercevoir en quoi les données relatives aux ressources de l'hébergeant pourraient constituer des informations pertinentes permettant de lutter contre les détournements de procédure. La connaissance du niveau de ressources de l'hébergeant ou de la nature de ses ressources ne sont d'aucune utilité pour déceler un éventuel détournement de procédure.

La CNIL avait pointé dans son avis l'absence de pertinence de la collecte des données relatives aux ressources de l'hébergeant, soulignant par ailleurs les risques de détournement de finalité des informations ainsi collectées.

La commission considère en revanche que la pertinence de la collecte des données relatives aux ressources de l'hébergeant, qui n'est prévue expressément ni par la loi, ni par la disposition réglementaire précitée, et qui ne correspond à aucune rubrique du formulaire d'attestation d'accueil, n'est pas justifiée au regard de la finalité du modèle de traitement envisagé ; que la prise en compte des ressources de l'hébergeant peut être effectuée de façon suffisamment efficace, conformément à l'article 2-1 du décret précité, lors du dépôt de la demande d'attestation par la présentation des justificatifs correspondants ; qu'en outre cette information, une fois collectée et enregistrée, est susceptible d'être utilisée à d'autres fins.
Elle demande en conséquence que l'article 2 du projet de décret soit modifié afin de ne pas permettre la collecte de cette information.

La CNIL n'a pas été suivie sur ce point par le gouvernement. Il revient donc au juge de censurer une disposition qui n'aurait pas dû figurer dans le décret. Car, outre que le maire n'est pas habilité par la loi à vérifier les ressources de l'hébergeant, la collecte et le traitement de ces données constituent une ingérence disproportionnée dans la vie privée des personnes concernées et violent les principes de finalité, d'adéquation et de proportionnalité, posés en particulier par l'article 6 de la loi du 6 janvier 1978 qui met en oeuvre les dispositions de la Convention n° 108 du Conseil de l'Europe et de la Directive 95/46/CE.

On peut également rappeler les termes de l'avis émis à propos des données concernant les hébergeants par le groupe « Article 29 ». Ce groupe, établi en vertu de l'article 29 de la directive 95/46/CE, est un organe consultatif européen indépendant en matière de protection des données et de vie privée. Il a notamment pour mission de donner à la Commission des avis sur les questions relatives à la protection des données, de conseiller la Commission sur toute mesure communautaire ayant une incidence sur les droits et libertés des personnes physiques à l'égard du traitement des données à caractère personnel et de la protection de la vie privée, et d'émettre des recommandations sur toute question de ce type.

Saisi du projet de règlement du Parlement européen et du Conseil concernant le système d'information sur les visas (VIS) et l'échange de données entre les États membres sur les visas de court séjour, il a rendu un avis le 23 juin 2005 dans lequel il demande la suppression de la collecte et du traitement de toute donnée concernant les hébergeants (l'article 6 du projet de règlement prévoit notamment l'enregistrement des « coordonnées de la personne adressant l'invitation ou prenant en charge les frais de subsistance durant le séjour ». Selon le groupe de travail, les informations collectées et conservées (ici, par les autorités consulaires) sur l'hébergeant pourraient être jugées pertinentes ou nécessaires dans le cas où une enquête précise est en cours concernant des personnes identifiées et des violations concrètes de dispositions légales. En revanche, selon le groupe, le traitement des données relatives à l'hébergeant est excessif et disproportionné s'agissant de la mise en oeuvre routinière d'une politique d'attribution des visas.

2.5. c) Data on persons issuing invitations
Article 6 of the proposal provides that the visa authority should enter « details of the person issuing an invitation or liable to pay the costs of living during the stay » in the application file. The Working Party notes that such categories of data may be relevant or necessary in case a precise enquiry is launched with regard to specific individuals and concrete violations of legal provisions. Their processing would be, however, excessive and disproportionate with regard to the routine implementation of the visa policy, which can be expected to require the sets of data listed under Article 6. Therefore, the Working Party calls for the deletion of this category of data or at least for it to be moved from Article 6 to Article 7 (categories of data to be entered into the VIS in case of consultation between central authorities), except where is a justified need[1].

Bien qu'il porte sur un traitement concernant les visas et non les attestations d'accueil, on peut retenir de cet avis l'incitation à considérer avec circonspection toute collecte systématique des données concernant les hébergeants en raison des risques que cette collecte comporte. Certes, les fichiers mis en place par les maires, par la force des choses, comporteront des données relatives aux hébergeants ; mais il faut veiller de façon particulièrement rigoureuse à ce que soit respecté le principe de proportionnalité.

2° Données relatives à la personne hébergée (art. 2, 2°)

Les données énumérées à l'article 2, 2° du décret du 2 août 2005 concernant la personne hébergée sont les suivantes :

Ces informations excèdent la liste des informations qui doivent être fournies à l'appui de la demande d'attestation d'accueil, telle qu'elle est prévue à l'article 2-1 du décret du 27 mai 1982 modifié. Celui-ci prévoit seulement, concernant la personne hébergée, d'indiquer son identité et sa nationalité, les dates d'arrivée et de départ prévues et le lien de parenté, s'il y a lieu, du signataire de l'attestation d'accueil avec la personne accueillie.

3° Données relatives au logement (art. 2, 2° et 3°) Aux termes de l'article 2, 3° du décret attaqué, sont enregistrés dans le traitement :

ainsi que (art. 2, 2°) : Ces dispositions sont illégales tant au regard des principes d'adéquation et de pertinence qui régissent la collecte des données personnelles qu'au regard de principes qui régissent la protection de la vie privée.

1. Au regard de la finalité du traitement automatisé qui est de lutter contre les détournements de procédure favorisant l'immigration irrégulière, la collecte et la conservation des données relatives au logement ne sont ni adéquates, ni pertinentes.

Les informations relatives au logement doivent permettre au maire d'apprécier la capacité de l'hébergeant à recevoir la ou les personnes qu'il se propose d'héberger, et elles ne lui sont utiles qu'au moment où la demande de validation de l'attestation d'accueil est déposée. La mise en mémoire de ces informations est à cet égard inutile puisque, entre deux demandes de validation déposées par la même personne, ses conditions de logement pourront avoir changé.

Mais surtout, cet objectif - savoir si l'hébergeant est capable de recevoir les personnes qu'il souhaite héberger - ne fait pas partie de la finalité du traitement automatisé. Or les données relative au logement ne sont ni pertinentes ni adéquates au regard de la finalité du traitement : en effet, la connaissance des conditions de logement de l'hébergeant pas plus que la connaissance de son statut de propriétaire ou de locataire ne sont d'une quelconque utilité pour repérer d'éventuels détournements de procédure.

Et dans la mesure où les données ainsi recueillies ne constituent pas des éléments d'information pertinents pour lutter contre les détournements de procédure, la collecte de ces données viole les principes de finalité, d'adéquation et de proportionnalité, posés en particulier par l'article 6 de la loi du 6 janvier 1978 qui met elle-même en oeuvre les dispositions de la Convention n° 108 du Conseil de l'Europe et de la Directive 95/46/CE.

2. Inadéquate au regard de la finalité du fichier, la collecte de ces données est de surcroît attentatoire au droit au respect de la vie privée. La liste des informations collectées est en effet longue : outre l'adresse, le formulaire à remplir pour l'instruction de la demande d'attestation d'accueil (formulaire CERFA n° 10798*02 annexé à la circulaire du 23 novembre 2004 : NOR/INT/D/04/00135/C) prévoit d'indiquer la surface du logement, le nombre de pièces, l'état sanitaire, le nombre d'occupants habituels (avec indication de l'âge et du lien de parenté), le nombre d'occupants permanents et d'occupants temporaire, enfin le statut de l'hébergeant : propriétaire, locataire ou autre. Et la circulaire du 12 août 2005 (NOR/INT/D/25/00079/C) du ministre de l'Intérieur relative à la mise en oeuvre du décret du 2 août 2005 prévoit effectivement la mémorisation de l'ensemble de ces informations, ainsi que de l'avis de l'Agence nationale de l'accueil des étrangers et des migrations (ANAEM) ou des services de la commune chargés des affaires sociales ou du logement lorsque le mairie a sollicité une telle visite domiciliaire.

La collecte et le traitement de ces informations constituent une ingérence caractérisée et disproportionnée au regard des objectifs poursuivis dans le droit au respect de la vie privée des individus protégé par l'article 8 CEDH, d'autant plus grave et réelle qu'ils peuvent aisément ouvrir la voie à une utilisation des informations ainsi collectées pour d'autres finalités.

3/ La durée de conservation des données est excessive au regard de la finalité du fichier (art. 3)

L'article 3 du décret attaqué prévoit que « la durée de conservation des données contenues dans le traitement mentionné à l'article 1er est de cinq ans à compter de la date de validation ou du refus de validation par le maire de l'attestation d'accueil ».

La durée de conservation des données est une question capitale au regard de la protection des libertés individuelles et de la vie privée, comme l'atteste l'insistance mise par les textes sur l'importance de limiter cette durée de conservation à ce qui est réellement nécessaire compte tenu de la finalité du traitement. L'article 5 de la Convention 108 du Conseil de l'Europe, l'article 6 de la directive 95/46/CE, et désormais l'article 6-5° de la loi du 6 janvier 1978 modifiée rappellent, en des termes similaires, que les données à caractère personnel « sont conservées sous une forme permettant l'identification des personnes concernées pendant une durée qui n'excède pas la durée nécessaire aux finalités pour lesquelles elles sont collectées et traitées ».

Or la durée de cinq ans prévue par le décret du 2 août 2005 excède la durée nécessaire pour remplir les objectifs du traitement.

On peut faire référence ici l'avis de la CNIL, qui estimait qu'une durée de deux ans était suffisante pour détecter un éventuel détournement de procédure.

S'agissant de la durée de conservation des informations collectées et traitées par les mairies, l'article 3 du projet de décret prévoit que les données seront conservées cinq années à compter de la date de validation ou de refus de l'attestation d'accueil par le maire. Le choix de cette durée n'est justifié que par la mise en oeuvre, dans le futur, de la base européenne des visas VIS qui a une portée et une finalité différentes et à laquelle les applications ne seront, aux termes de l'article 7 du projet de décret, ni interconnectées, ni mises en relation quand bien même certaines données à caractère personnel, notamment celles concernant l'hébergeant, pourraient être communes aux deux types de traitements.

La commission considère en conséquence que la durée de conservation arrêtée en l'espèce est excessive au regard de la finalité du traitement rappelée ci-dessus et demande qu'elle soit réduite à deux années à compter de la validation ou de refus de validation de l'attestation d'accueil par le maire, ce délai, qui laisse à chaque maire vingt-quatre mois en cas de refus ou vingt et un mois en cas de validation, apparaissant suffisant pour détecter un éventuel détournement de procédure.

On peut ajouter aux arguments mis en avant par la CNIL que le fait de prévoir une durée de conservation de cinq ans pour toutes les données et dans toutes les hypothèses, de manière indifférenciée, caractérise par lui même une atteinte au principe de proportionnalité qui impose d'ajuster rigoureusement la durée de conservation des données à la nécessité de pouvoir les consulter pendant la durée prévue.

On peut également faire valoir que le fait de se référer, pour fixer la durée de conservation des données dans les fichiers mis en place par les maires, aux conditions d'opérationnalité du futur Système d'information sur les visas (VIS), revient en pratique à avaliser un détournement de finalité du fichier des attestations d'accueil.

Par ailleurs, cette durée de conservation excessive des données est d'autant plus critiquable qu'elles risquent, sans raison valable, aussi longtemps qu'elles sont présentes dans le système, d'influencer une décision ultérieure. C'est ce que rappelle le contrôleur européen de la protection des données à propos du Système d'information sur les visas (VIS) (JOUE 23 juillet 2005, C 181/13)dans un raisonnement qui est transposable aux attestations d'accueil : certains motifs de refus de visas (telles les raisons de santé publique), fait-il observer, ont une durée de validité limitée, et le fait qu'il ait été légitime de refuser l'entrée à un moment donné ne devrait pas influencer les décisions suivantes. Le même raisonnement vaut pour les attestations d'accueil : il est à craindre que le demandeur qui s'est vu refuser la validation d'une attestation d'accueil quatre ou cinq ans auparavant, pour des raisons conjoncturelles, ne voie une demande ultérieure traitée avec circonspection et finalement rejetée.

Enfin, il faut tenir compte, dans l'appréciation de la durée raisonnable de conservation des données, du fait qu'il s'agit de données touchant à la vie privée des individus.

De l'ensemble de ces éléments, il résulte que la conservation pendant cinq ans de données qui contiennent de nombreuses informations sur la vie privée des personnes fichées apparaît excessive au regard de la finalité du traitement et donc contraire à la fois à l'article 8 de la CEDH et à l'article 6-5° de la loi du 6 janvier 1978 qui met elle-même en oeuvre les dispositions de la Convention n° 108 du Conseil de l'Europe et de la Directive 95/46/CE.

4/ Les garanties de sécurité et de confidentialité des données sont insuffisantes (art. 8)

Un certain nombre de garanties ont été prévues par le décret du 2 août 2005. Elles concernent le droit d'accès (art. 5), l'interdiction des interconnexions (art. 7) et les modalités de déclaration des fichiers à la CNIL ainsi que le contenu des engagements pris par les maires pour assurer la sécurité et la confidentialité des données (art. 8).

Art. 8. - La mise en oeuvre du traitement mentionné à l'article 1er par le maire de la commune du lieu d'hébergement ou, à Paris, Lyon et Marseille, par le maire d'arrondissement est subordonnée à l'envoi préalable à la Commission nationale de l'informatique et des libertés, en application du IV de l'article 26 de la loi du 6 janvier 1978 susvisée, d'une déclaration faisant référence au présent décret et précisant le lieu exact d'implantation du traitement automatisé, les modalités d'exercice du droit d'accès ainsi que l'engagement spécifique du maire qu'ont été mises en oeuvre des mesures de sécurité et de confidentialité des données et des modalités d'habilitation individuelle des personnels communaux ayant accès au fichier.

Ces dispositions visent à répondre aux exigences des articles 26-IV et 34 de la loi du 6 janvier 1978 modifiée, qui disposent :

Art. 26. IV. - Pour l'application du présent article, les traitements qui répondent à une même finalité, portent sur des catégories de données identiques et ont les mêmes destinataires ou catégories de destinataires peuvent être autorisés par un acte réglementaire unique. Dans ce cas, le responsable de chaque traitement adresse à la commission un engagement de conformité de celui-ci à la description figurant dans l'autorisation.
Art. 34 - Le responsable du traitement est tenu de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu'elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès.

Dans l'ensemble, le gouvernement a suivi les recommandations de la CNIL et introduit dans le décret un certain nombre des garanties qui, semble-t-il, faisaient défaut dans le projet initial.

S'agissant des modalités d'habilitation des personnels communaux susceptibles d'avoir accès à ces traitements, l'article 8 du décret indique qu'elles seront décrites dans les déclarations que les maires seront amenés à effectuer auprès de la CNIL. La commission estime nécessaire de modifier ces dispositions afin d'indiquer que, conformément aux dispositions de l'article 26-IV de la loi modifiée, les engagements de conformité qui seront effectués par les maires devront comporter, outre le lieu exact d'implantation du traitement et les modalités d'exercice du droit d'accès, l'engagement spécifique du maire qu'ont été mises en place des mesures de sécurité et de confidentialité des données et des modalités d'habilitation et de désignation des personnels communaux ayant accès au fichier. A cet effet, une liste nominative des personnes ainsi habilitées devra être établie et mise à jour par le maire et tenue à la disposition de la CNIL.

On relève, en revanche, qu'une des garanties souhaitées par la CNIL : l'établissement d'une liste nominative des personnes habilitées à avoir accès au ficher, tenue à la disposition de la CNIL, n'a pas été incluse dans le décret.

Et si, dans sa circulaire du 12 août 2005 (NOR/INT/D/25/00079/C) le ministre rappelle que le maire doit, par une décision individuelle, habiliter chaque agent appelé à accéder aux données dans le cadre de ses missions relatives à l'instruction des dossiers de demande de validation d'attestation d'accueil, et que la même obligation s'applique aux préfets s'agissant de l'accès aux données nominatives par les fonctionnaires du service des étrangers de la préfecture qui examineront les recours hiérarchiques contre les décisions du maire, comme le permet l'article 4 du décret du 2 août 2005, il n'est nulle part fait mention de l'établissement d'une liste nominative des personnes habilitées par le maire ou par le préfet et qui serait tenue à la disposition de la CNIL.

Compte tenu du contenu des informations contenues dans les fichiers concernés et des risques d'utilisation détournée qui pourrait en être faite, il apparaît que la recommandation de la CNIL sur ce point aurait dû être suivie, dans la mesure où il s'agit d'une garantie importante pour assurer la sécurité et la confidentialité des données recueillies et empêcher l'accès de tiers non autorisés. Garantie d'autant plus nécessaire que la circulaire précitée prévoit la possibilité d'installer des terminaux d'accès dans les préfectures pour permettre au préfet mais aussi aux agents qu'il aura habilités, d'accéder directement aux données enregistrées lorsqu'ils auront à statuer sur des recours hiérarchiques.

Par conséquent, l'article 8 du décret, tel qu'il est rédigé, ne respecte pas les obligations découlant de l'article 34 de la loi du 6 janvier 1978.

*

En conclusion,

Les dispositions du décret soumis à la censure du Conseil d'État, et notamment ses articles 2, 3 et 8, violent :

***

PAR CES MOTIFS, et tous autres à produire, déduire ou suppléer, les associations exposante conclut à ce qu'il plaise au Conseil d'État :

ANNULER :

Le décret n° 2005-937 du 2 août 2005, et notamment ses articles 2, 3 et 8.

Pour le Gisti, La Présidente, Nathalie FERRÉ

Pour IRIS, La Présidente, Meryem MARZOUKI

Pour la Ligue des droits de l'Homme, Le Président, Jean-Pierre DUBOIS

Liste des pièces jointes :

  1. décret n° 2005-937 du 2 août 2005
  2. décret n° 2004-1237 du 17 novembre 2004
  3. délibération de la CNIL n° 2005-052 en date du 30 mars 2005
  4. extrait des délibérations du bureau du Gisti autorisant sa présidente à former le présent recours.
  5. statuts du GISTI.
  6. extrait des délibération du bureau de la LDH autorisant son président à former le présent recours.
  7. statuts de la LDH
  8. extrait des délibérations du bureau de IRIS autorisant sa présidente à former le présent recours
  9. statuts de IRIS

Note

Source : Commission européenne, DG Justice, Liberté, Sécurité, Unité protection des données. Groupe de travail Art.29 sur la protection des données. Avis sur la proposition de Règlement du Parlement européen et du Conseil concernant le système d'information sur les visas (VIS) et l'échange de données entre les États membres sur les visas de court séjour (COM (2004) 835 final). Date d'adoption : 23.06.2005. Référence : WP 110. Consultable sur http://www.europa.eu.int/comm/justice_home/fsj/privacy/docs/wpdocs/2005/wp110_en.pdf. On trouve sur le site de la CNIL une analyse en français de ce document : http://www.cnil.fr/index.php?id=1872.

(dernière mise à jour le ) - webmestre@iris.sgdg.org