Arrêt rendu le 18 octobre 2018 :
Dans un arrêt rendu le 18 octobre 2018 (N° 404996 ; P. Sirinelli, Méga-fichiers, Méga-Law, Dalloz IP/IT 2018, p.569 ; Vie privée : le Conseil d’Etat valide le fichier rassemblant les informations de 60 millions de Français, Le Monde, 18 octobre 2018), le Conseil d’Etat a rejeté le recours en annulation pour excès de pouvoir du décret du 28 octobre 2016 qui autorise la création d’un traitement de données à caractère personnel relatif aux passeports et aux cartes nationales d’identité.
Il estime que la collecte des usages numérisées du visage et des empreintes digitales des titulaires de passeports ou de cartes nationales d’identité, sans que soit requis le consentement des intéressés, ainsi que la centralisation de leur traitement informatisé, eu égard aux restrictions et précautions prévues, « sont en adéquation avec les finalités légitimes du traitement ainsi institué et ne portent pas au droit des individus au respect de leur vie privée une atteinte disproportionnée aux buts de protection de l’ordre public en vue desquels ce traitement a été créé ».
Les finalités légitimes qu’il poursuit consistent, d’une part, dans une sécurisation des titres d’identité et de voyage et une amélioration de l’efficacité de la lutte contre la fraude (finalité d’authentification) et, d’autre part, dans une facilitation des démarches des usagers (grâce à la centralisation des données).
Le Conseil d’Etat relève qu’il est exclu qu’elles puissent servir à identifier une personne à partir de ses données biométriques ou faciales, dans la mesure où le traitement n’est assorti d’aucun dispositif de recherche permettant l’identification d’une personne à partir de l’image numérisée du visage ou des empreintes digitales enregistrées.
Il estime en conséquence que les finalités poursuivies « sont au nombre de celles qui justifient qu’il puisse être porté (…) atteinte au droit des individus au respect de leur vie privée ».
Quant aux garanties apportées afin que l’atteinte aux droits des individus ne soit pas « disproportionnée », elles résident, en dépit de l’absence de droit d’opposition, dans les éléments suivants :
- la restriction des personnes pouvant accéder à ces données ainsi que la limitation des interconnexions avec les seuls systèmes d’information Schengen et INTERPOL (et uniquement pour des informations non nominatives relatives aux numéros des passeports perdus ou volés, au pays émetteur ainsi qu’au caractère vierge ou personnalisé du document) ;
- la limitation de la durée de conservation des données à 15 ans à l’égard des majeurs, et 10 ans à l’égard des mineurs ;
- l’information des personnes concernées ainsi que la reconnaissance de droits d’accès et de rectification.
D’une part, on peut être surpris de cette motivation dans la mesure où la protection des droits des personnes physiques se justifie du seul fait de la collecte des données, indépendamment de l’existence ou de l’absence de dispositif de recherche sur celles-ci.
Autant dire que le Conseil d’Etat ne dissout pas les craintes d’une reconnaissance faciale de masse (Le fichier TES, prémisse à la reconnaissance faciale de masse, arrive devant le Conseil d’Etat, La Quadrature du Net, 26 septembre 2018), sur le modèle de ce qui s’observe en Chine (F. Schaeffer, Comment la reconnaissance faciale s’immisce dans la vie des Chinois, Les Echos, 5 juin 2018), certes dans une culture bien différente de la nôtre.
D’autre part, on peut penser que la sécurité de ces méga-fichiers centralisés devrait être une condition de leur légalité, dans la mesure où elle constitue une garantie apportée aux individus et permet d’apprécier si les atteintes à leurs droits sont « proportionnées ».
Or, le Conseil d’Etat écarte cette objection au motif que la sécurité relève des obligations imposées au responsable de traitement au cours du fonctionnement du fichier, et ne peuvent pas être invoquées contre l’acte réglementaire portant création dudit traitement.
Voilà une distinction bien inopportune, même s’il faut reconnaître que le concept de « security by design » n’est pas aisé à intégrer (R. de Temmerman, Security by Design, un concept à réinventer face aux problématiques des véhicules connectés, Les Echos, 15 mai 2017).
Annabel QUIN,
Maître de conférences à l’Université de Bretagne-Sud
Ancienne avocat au Barreau de Paris
Mise en ligne: 14/01/2019