CONSEIL D'ETAT

Statuant au contentieux

N°s 317827, 317952, 318013, 318051

ASSOCIATION POUR LA PROMOTION DE L'IMAGE et autres

M. Gilles Pellissier, Rapporteur

M. Julien Boucher, Rapporteur public

Séance du 30 septembre 2011

Lecture du 26 octobre 2011

REPUBLIQUE FRANÇAISE

AU NOM DU PEUPLE FRANÇAIS

Le Conseil d'Etat statuant au contentieux

Sur le rapport de la 10ème sous-section de la Section du contentieux

Vu 1°), sous le n° 317827, la requête et le mémoire complémentaire, enregistrés le 30 juin 2008 et le 22 juillet 2008 au secrétariat du contentieux du Conseil d'Etat, présentés pour l'ASSOCIATION POUR LA PROMOTION DE L'IMAGE, dont le siège est 43-45 rue de Naples à Paris (75008), la CONFEDERATION FRANCAISE DE LA PHOTOGRAPHIE, dont le siège est 121, rue Vieille du Temple à Paris (75003), la SOCIETE PHOTOMATON, dont le siège est 4, rue Croix Faron à Saint-Denis (93210), la SOCIETE STUDIO PHOTO ELISABETH SARL, dont le siège est 10 ter, rue d'Alger à Le Mans (72000), la SOCIETE DUKA SARL, dont le siège est 8, rue des Etuves à Montpellier (34000) ; l'ASSOCIATION POUR LA PROMOTION DE L'IMAGE et autres demandent au Conseil d'Etat :

1° d'annuler pour excès de pouvoir le décret n° 2008-426 du 30 avril 2008 modifiant le décret n° 2005-1726 du 30 décembre 2005 relatif aux passeports électroniques, ainsi que la circulaire n° INT/1/08/00105/C du 7 mai 2008 relative au choix des deux mille communes appelées à recevoir des stations d'enregistrement des données personnelles pour le nouveau passeport ;

2° de mettre à la charge de l'Etat la somme de 5 000 euros au titre de l'article L. 761-1 du code de justice administrative ;

Vu 2°), sous le n° 317952, la requête, enregistrée le 2 juillet 2008 au secrétariat du contentieux du Conseil d'Etat, présentée par M. Didier CUJIVES, demeurant Place de l'Eglise à Paulhac (31380), Mme Agnès CASERO, demeurant 37, rue des Filatiers à Toulouse (31000), M. Clément MARECHAL, demeurant Appartement n° 206 25, rue de la Caravelle à Toulouse (31500), Mme Hélène MARCY, demeurant 2, rue de l'Est à Toulouse (31400), M. Richard CUARTERO, demeurant 10, allée du Pouliguen à Colomiers (31770), M. Thierry BREIL, demeurant 5, rue Marc Arcis à Toulouse (31000), M. Philippe VIGNOLES, demeurant 13, rue d'Assalit à Toulouse (31500), Mme Andrée PROST, demeurant 6, bis rue de la Balance à Toule (31100), Mme Valérie PEUGEOT, demeurant 5, rue Damrémont à Paris (75008), M. Joseph MARIN, demeurant 6, allées Franklin Roosevelt à Toulouse (31000) ; M. CUJIVES et autres demandent au Conseil d'Etat d'annuler pour excès de pouvoir le décret n° 2008-426 du 30 avril 2008 modifiant le décret n° 2005-1726 du 30 décembre 2005 relatif aux passeports électroniques ;

Vu 3°), sous le n° 318013, la requête, enregistrée le 4 juillet 2008 au secrétariat du contentieux du Conseil d'Etat, présentée par l'ASSOCIATION IMAGINONS UN RESEAU INTERNET SOLIDAIRE, dont le siège est 40, rue de la Justice à Paris (75020) et la LIGUE DES DROITS DE L'HOMME, dont le siège est 138, rue Marcadet à Paris (75018) ; l'ASSOCIATION IMAGINONS UN RESEAU INTERNET SOLIDAIRE et LA LIGUE DES DROITS DE L'HOMME demandent au Conseil d'Etat d'annuler pour excès de pouvoir le décret n° 2008-426 du 30 avril 2008 modifiant le décret n° 2005-1726 du 30 décembre 2005 relatif aux passeports électroniques ;

Vu 4°), sous le n° 318051, la requête, enregistrée le 4 juillet 2008 au secrétariat du contentieux du Conseil d'Etat, présentée par M. Raymond AVRILLIER, demeurant 44 bis avenue Jeanne d'Arc à Grenoble (38100) ; M. AVRILLIER demande au Conseil d'Etat d'annuler pour excès de pouvoir le décret n° 2008-426 du 30 avril 2008 modifiant le décret n° 2005-1726 du 30 décembre 2005 relatif aux passeports électroniques ;

Vu les autres pièces des dossiers ;

Vu la Constitution, notamment son article 34 ;

Vu le traité instituant la Communauté européenne ;

Vu le traité sur l'Union européenne ;

Vu la convention européenne de sauvegarde des droits de l'homme et des libertés fondamentales, ainsi que son protocole additionnel n° 4 ;

Vu la convention relative aux droits de l'enfant signée à New York le 26 janvier 1990 ;

Vu le règlement CE n° 2252/2004 du 13 décembre 2004 ;

Vu le code général des collectivités territoriales ;

Vu la loi n° 78-17 du 6 janvier 1978, modifiée ;

Vu le décret n° 2005-850 du 27 juillet 2005 ;

Vu le décret n° 2005-1726 du 30 décembre 2005 ;

Vu le code de justice administrative ;

Vu les autres pièces du dossier ;

Vu le code de justice administrative ;

Après avoir entendu en séance publique :

- le rapport de M. Gilles Pellissier, Maître des requêtes-rapporteur ;

- les observations de la SCP Thouin-Palat, Boucard, avocat de l'ASSOCIATION POUR LA PROMOTION DE L'IMAGE et autres ;

- les conclusions de M. Julien Boucher, rapporteur public ;

La parole ayant été à nouveau donnée à la SCP Thouin-Palat, Boucard, avocat de l'ASSOCIATION POUR LA PROMOTION DE L'IMAGE et autres ;

Considérant que les requêtes visées ci-dessus sont dirigées contre les mêmes décisions ; qu'il y a lieu de les joindre pour statuer par une seule décision ;

Sur les conclusions tendant à l'annulation du décret du 30 avril 2008 :

En ce qui concerne la légalité externe :

S'agissant de la compétence du pouvoir réglementaire :

Considérant, en premier lieu, qu'aux termes de l'article 34 de la Constitution : " La loi fixe les règles concernant : les droits civiques et les garanties fondamentales accordées aux citoyens pour l'exercice des libertés publiques " ; qu'aux termes de l'article 4 du décret du 30 décembre 2005 que le décret attaqué modifie : " Le passeport est délivré, sans condition d'âge, à tout Français qui en fait la demande " ; que le décret attaqué qui ajoute le recueil, dans le composant électronique des passeports, de l'image numérisée des empreintes digitales de deux doigts et fixe la durée de validité des titres ainsi que leurs modalités de renouvellement, ne pose aucune condition à la délivrance de ceux-ci ; qu'il n'a, par conséquent, ni pour objet ni pour effet de fixer des règles relatives aux garanties fondamentales accordées aux citoyens pour l'exercice des libertés publiques ; que, par suite, les dispositions du décret attaqué relatives au passeport électronique pouvaient être adoptées par le pouvoir réglementaire sans méconnaître les dispositions précitées de l'article 34 de la Constitution ;

Considérant, en deuxième lieu, qu'aux termes de l'article 27 de la loi du 6 janvier 1978 : " I. - Sont autorisés par décret en Conseil d'Etat, pris après avis motivé et publié de la Commission nationale de l'informatique et des libertés : . 2° Les traitements de données à caractère personnel mis en œuvre pour le compte de l'Etat qui portent sur des données biométriques nécessaires à l'authentification des personnes physiques " ; qu'en application de ces dispositions, le pouvoir réglementaire était compétent pour créer, par le décret attaqué, pris en Conseil d'Etat, le traitement automatisé relatif à la délivrance des passeports ;

Considérant, en troisième lieu, que si en vertu des stipulations de l'article 8-2 de la convention européenne de sauvegarde des droits de l'homme et des libertés fondamentales et de l'article 2-3 de son quatrième protocole additionnel les restrictions apportées respectivement à la protection de la vie privée et à la liberté d'aller et venir doivent être " prévues par la loi ", ces mots doivent s'entendre des conditions prévues par des textes généraux, le cas échéant de valeur réglementaire, pris en conformité avec les dispositions constitutionnelles ; que les requérants ne sont, par suite et en tout état de cause, pas fondés à soutenir que ces stipulations faisaient obstacle à ce que le pouvoir réglementaire pût compétemment déterminer les modalités d'établissement des passeports et créer le traitement automatisé contenant les données relatives aux titulaires de ces documents ;

S'agissant de la régularité de la procédure suivie :

Considérant, en premier lieu, qu'aux termes de l'article 26 de la loi du 6 janvier 1978 " I. - Sont autorisés par arrêté du ou des ministres compétents, pris après avis motivé et publié de la Commission nationale de l'informatique et des libertés, les traitements de données à caractère personnel mis en œuvre pour le compte de l'Etat et : 1° Qui intéressent la sûreté de l'Etat, la défense ou la sécurité publique ; (.) " ; qu'aux termes de l'article 27 de la même loi : " I. - Sont autorisés par décret en Conseil d'Etat, pris après avis motivé et publié de la Commission nationale de l'informatique et des libertés : (.) 2° Les traitements de données à caractère personnel mis en œuvre pour le compte de l'Etat qui portent sur des données biométriques nécessaires à l'authentification ou au contrôle de l'identité des personnes. " ; qu'en prévoyant que les traitements qu'il vise sont autorisés par décret en Conseil d'Etat, pris après avis motivé et publié de la Commission nationale de l'informatique et des libertés (CNIL), l'article 27 assure des garanties supérieures à celles de l'article 26 ; que, par suite, dès lors qu'un traitement automatisé a été créé selon la procédure de l'article 27, la circonstance que l'une de ses caractéristiques soit mentionnée à l'article 26 est en tout état de cause sans incidence sur la régularité de sa création ; que, par suite, les associations requérantes ne peuvent utilement soutenir qu'en instituant le traitement " TES " suivant la procédure de l'article 27 alors que, selon elles, l'une de ses caractéristiques aurait pu le faire entrer dans le champ d'application de l'article 26, l'auteur du décret attaqué aurait commis un détournement de procédure ;

Considérant, en deuxième lieu, que si l'article 18 du décret du 20 octobre 2005 pris pour l'application de la loi du 6 janvier 1978 prévoit que " Les avis motivés de la commission émis en application des articles 26 et 27 de la loi du 6 janvier 1978 susvisée et les actes sur lesquels ils portent sont publiés à la même date par le responsable du traitement ", ces dispositions, qui sont relatives aux modalités de publication du décret, sont sans incidence sur sa légalité ; que, par suite, les requérants ne peuvent utilement soutenir que la circonstance, pour irrégulière qu'elle soit par elle-même, que l'avis de la CNIL aurait été publié quelques jours après le décret, entache ce dernier d'irrégularité ;

Considérant, en troisième et dernier lieu, que le moyen tiré de ce que la CNIL n'avait pu émettre son avis en toute connaissance de cause faute d'avoir " obtenu les éléments qui permettent de justifier la création de la banque de données dénommée " Delphine " ni les éléments permettant d'en assurer la sécurité " est en tout état de cause dépourvu de toute précision permettant d'en apprécier le bien fondé ;

En ce qui concerne la légalité interne :

S'agissant du moyen tiré de la violation du règlement (CE) n° 2252/2004 du 13 décembre 2004 :

Considérant, d'une part, qu'à la date à laquelle le décret attaqué a été pris, aucune disposition du Traité sur l'Union européenne ou du Traité instituant la Communauté européenne ne conférait à l'Union ou à la Communauté européenne une compétence exclusive pour fixer les règles relatives aux traitements automatisés de données à caractère personnel des citoyens des Etats membres ; que, d'autre part, il ressort clairement des dispositions du règlement du Conseil du 13 décembre 2004 établissant des normes pour les éléments de sécurité et les éléments biométriques intégrés dans les passeports et les documents de voyage délivrés par les Etats membres, que le décret attaqué a notamment pour objet d'appliquer, qu'il n'a pas pour objet de fixer les conditions auxquelles les Etats membres peuvent recueillir au sein de traitements automatisés les données à caractère personnel relatives à leur ressortissants ; que, par suite, la circonstance que ce règlement ne prévoie pas la création d'un traitement automatisé des données à caractère personnel figurant sur le passeport, n'interdit pas aux Etats membres de créer de tels fichiers ; que les moyens tirés de ce que les dispositions du décret attaqué relatives à ce fichier méconnaîtraient les dispositions de ce règlement ne peuvent donc qu'être écartés ;

S'agissant des moyens tirés de la méconnaissance des stipulations de l'article 8 de la convention européenne des droits de l'homme et des libertés fondamentales, de l'article 16 de la convention relative aux droits de l'enfant signée à New York le 26 janvier 1990 et des dispositions des articles 1er et 6-3° de la loi du 6 janvier 1978 ;

Considérant qu'aux termes de l'article 8 de la convention européenne de sauvegarde des droits de l'homme et des libertés fondamentales : " 1. Toute personne a droit au respect de sa vie privée et familiale, de son domicile et de sa correspondance. 2. Il ne peut y avoir ingérence d'une autorité publique dans l'exercice de ce droit que pour autant que cette ingérence est prévue par la loi et qu'elle constitue une mesure qui, dans une société démocratique, est nécessaire à la sécurité nationale, à la sûreté publique, au bien-être économique du pays, à la défense de l'ordre et à la prévention des infractions pénales, à la protection de la santé ou de la morale, ou à la protection des droits et libertés d'autrui " ; qu'aux termes de l'article 16 de la convention relative aux droits de l'enfant signée à New York le 26 janvier 1990 : " 1. Nul enfant ne fera l'objet d'immixtions arbitraires ou illégales dans sa vie privée, sa famille, son domicile ou sa correspondance, ni d'atteintes illégales à son honneur et à sa réputation. / 2. L'enfant a droit à la protection de la loi contre de telles immixtions ou de telles atteintes " ; qu'aux termes de l'article 1er de la loi du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés : " L'informatique doit être au service de chaque citoyen. Son développement doit s'opérer dans le cadre de la coopération internationale. Elle ne doit porter atteinte ni à l'identité humaine, ni aux droits de l'homme, ni à la vie privée, ni aux libertés individuelles ou publiques. " ; qu'aux termes de l'article 6 de la même loi : " Un traitement ne peut porter que sur des données à caractère personnel qui satisfont aux conditions suivantes : / (.) 3° Elles sont adéquates, pertinentes et non excessives au regard des finalités pour lesquelles elles sont collectées et de leurs traitements ultérieurs " ;

Considérant qu'il résulte de l'ensemble de ces dispositions que l'ingérence dans l'exercice du droit de toute personne au respect de sa vie privée que constituent la collecte, la conservation et le traitement, par une autorité publique, d'informations personnelles nominatives, ne peut être légalement autorisée que si elle répond à des finalités légitimes et que le choix, la collecte et le traitement des données sont effectués de manière adéquate et proportionnée au regard de ces finalités ;