CE, 10e et 9e ch., 22 juillet 2022, association La Quadrature du Net, n°451653.
Le Conseil d’État avait été saisi par l’association La Quadrature du Net d’une requête visant à obtenir l’annulation, pour excès de pouvoir, du décret n°2021-148, du 11 février 2021, déterminant les modalités de mise en œuvre par la direction générale des finances publiques et la direction générale des douanes, de traitements informatisés et automatisés permettant la collecte et l’exploitation de données personnelles rendues publiques sur les sites internet des opérateurs de plateforme en ligne ; qu’il soit enjoint au ministre de l’économie et des finances de procéder, sous astreinte, à la suppression des données traitées ; et la saisine de la Cour de justice de l’Union européenne d’une question préjudicielle relative à la compatibilité des mesures en cause avec le règlement 2016/679, la directive 2016/680 et la Charte des droits fondamentaux de l’UE. Par un arrêt du 22 juillet 2022, ledit Conseil a conclu au rejet de la requête.
Après avoir fait mention des dispositions en cause, le Conseil d’État a procédé à l’analyse et à l’appréciation de leur contenu et de leur portée.
Mention des dispositions en cause
Le décret contesté, en date du 11 février 2021, a été pris en application de l’article 154 de la loi du 28 décembre 2019 de finances pour 2020, qui a autorisé, à titre expérimental et pour une durée de trois ans, la mise en œuvre par l’administration fiscale et l’administration des douanes, pour les besoins de la recherche de certaines infractions pénales et de manquements susceptibles de donner lieu au prononcé de sanctions administratives, d’un dispositif de collecte et d’exploitation automatisé de contenus librement accessibles sur les sites internet des opérateurs de plateforme en ligne.
Référence est, par ailleurs, faite aux dispositions de la loi du 6 janvier 1978, relative à l’informatique, aux fichiers et aux libertés, selon lesquelles « les traitements de données à caractère personnel mis en œuvre pour le compte de l’État, ayant pour objet la prévention, la recherche, la constatation ou la poursuite des infractions pénales […] et qui portent sur des données sensibles […] doivent être autorisés par décret en Conseil d’État pris après avis […] de la Commission nationale de l’informatique et des libertés » (Cnil) et à celles, de la même loi, aux termes desquelles « les traitements de données à caractère personnel mis en œuvre, à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière, par toute autorité publique compétente relèvent non des dispositions du règlement 2016/679 du Parlement européen et du Conseil, du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données » (dit RGPD), mais des dispositions de cette loi prises pour assurer la transposition de la directive (UE) 2016/680, du 27 avril 2016, « relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales, et à la libre circulation de ces données ».
Appréciation du contenu et de la portée de ces dispositions
Se livrant à l’appréciation du contenu et de la portée des dispositions réglementaires contestées, le Conseil d’État relève que « les traitements mis en œuvre lors de la phase d’apprentissage et de conception ont seulement pour finalité le développement d’outils de collecte et d’analyse, et que les données recueillies et exploitées lors de cette phase ne donnent lieu », en application du décret attaqué, « à aucun envoi d’informations à un service de contrôle ou de gestion en vue de poursuivre des infractions ou des manquements » ; que, « par suite, ces traitements relèvent, eu égard à leur finalité, du champ d’application du titre III de la loi du 6 janvier 1978 » (loi n°78-17, du 6 janvier 1978, relative à l’informatique, aux fichiers et aux libertés) ; et qu’il « en va de même des traitements mis en œuvre lors de la phase d’exploitation, consistant à déployer les outils de collecte précédemment conçus aux fins de rechercher, sur les plateformes en ligne, les mêmes infractions ».
Saisi de l’argument tiré de ce que, selon l’association requérante, « le décret attaqué autoriserait une collecte généralisée de données à caractère personnel » sur les plateformes et réseaux sociaux, et méconnaîtrait ainsi les dispositions de la directive du 27 avril 2016 et de la loi du 6 janvier 1978, le Conseil d’État relève notamment qu’il « résulte des dispositions de l’article 154 de la loi du 28 décembre 2019, telles qu’interprétées par le Conseil constitutionnel dans sa décision n°2019-796 DC, du 27 décembre 2019, que la collecte de données autorisée ne peut porter que sur les contenus qui, d’une part, sont librement accessibles sur les sites internet des opérateurs de plateforme de mise en relation de plusieurs parties en vue de la vente d’un bien, de la fourniture d’un service ou de l’échange ou du partage d’un contenu, d’un bien ou d’un service, à l’exclusion de contenus accessibles après saisie d’un mot de passe ou inscription sur le site, et, d’autre part, se rapportent à la personne qui les a délibérément divulgués, ainsi que le rappelle » le décret attaqué ; que ledit décret interdit, en outre, « toute exploitation de commentaires et autres formes d’interactions qui peuvent figurer sur la page personnelle d’un utilisateur » ; et que « l’article 154 de la loi du 28 décembre 2019 fait obstacle à l’utilisation d’un dispositif de reconnaissance faciale ». Il en conclut qu’« il en résulte que la collecte autorisée par le décret attaqué ne porte pas sur l’intégralité des contenus mis en ligne par un utilisateur, mais fait l’objet de plusieurs restrictions ».
Le Conseil d’État relève encore qu’il résulte « du décret attaqué que les traitements mis en œuvre lors de la phase d’apprentissage et de conception consistent, dans un premier temps, à sélectionner des échantillons de données de taille limitée […] dont l’ampleur ne doit pas dépasser ce qui est strictement nécessaire aux fins de développer les outils de collecte et d’analyse, puis, dans un deuxième temps, à recueillir, sur les plateformes, les seules données d’identification et de contenus précisément énumérées par le décret se rapportant aux personnes ou aux pages relevant de ces échantillons pour, dans un troisième temps, en tirer des « indicateurs » ou des « critères de pertinence », comme des mots clés, des ratios, ou des indications de dates et de lieux, qui sont susceptibles de caractériser l’un des manquements ou l’une des infractions […] sans être eux-mêmes des données à caractère personnel » ; et que les dispositions dudit décret « n’autorisent en aucun cas, contrairement à ce qui est soutenu, une collecte généralisée et indifférenciée de données à caractère personnel lors de la phase d’apprentissage et de conception ».
Pour le Conseil d’État, « il résulte de tout ce qui précède, et sans qu’il y ait lieu […] de saisir la Cour de justice de l’Union européenne à titre préjudiciel, que la requête de l’association La Quadrature du Net doit être rejetée ».
Chacun des participants à des échanges au travers des réseaux sociaux laisse ainsi, plus ou moins consciemment et imprudemment, des informations personnelles le concernant et qu’il rend alors publiques. Il est cependant nécessaire d’en encadrer la collecte et l’exploitation par les autorités publiques, y compris à des fins, parfaitement justifiées, de recherche d’infractions pénales et de manquements susceptibles de sanctions administratives, en matière fiscale et douanière. Le décret contesté du 11 février 2021 est, par cet arrêt du 22 juillet 2022, considéré par le Conseil d’État comme assurant, conformément aux exigences européennes et à la législation nationale, un juste équilibre des droits et une protection suffisante et proportionnée des données personnelles.