Réf. : CE référé, 6 juillet 2021, n° 453505, inédit au recueil Lebon (N° Lexbase : A30174YE)
Lecture: 13 min
N8300BY3
Citer l'article
Créer un lien vers ce contenu
par Jean-Claude Zarka, Maître de conférences HDR, Université Toulouse 1 - Capitole
le 13 Juillet 2021
Mots clés : passe sanitaire • covid-19 • santé publique
Dans son ordonnance du 6 juillet 2021, le juge des référés du Conseil d’État, qui a été saisi par l’association La Quadrature du Net, a refusé de suspendre l'application du passe sanitaire. Le juge administratif a estimé que ce dispositif « répond à un motif d’intérêt public pour la préservation de la santé de la population et que les données collectées le sont de façon limitée et appropriée par rapport aux objectifs poursuivis ».
Le passe sanitaire dont la mise en œuvre est organisée par le décret n° 2021-724 du 7 juin 2021 (N° Lexbase : L7712L4E), consiste en la présentation d'une preuve sanitaire parmi les trois suivantes : le résultat négatif d'un examen de dépistage virologique, un justificatif de statut vaccinal ou un certificat de rétablissement à la suite d'une contamination par la Covid‐19. Il est utilisé depuis le 9 juin 2021 pour accéder à des rassemblements ou des événements.
L’association La Quadrature du Net qui a demandé au juge des référés d’ordonner au ministre des Solidarités et de la Santé de cesser immédiatement de délivrer des passes sanitaires, a estimé que le dispositif du passe sanitaire venait porter une atteinte disproportionnée à plusieurs libertés fondamentales.
Si le Conseil d’État s’est prononcé dans son ordonnance sur le moyen fondé sur l'atteinte à la vie privée et la protection des données personnelles, il n’a pas, en revanche, directement répondu aux autres moyens développés dans la requête qui affirmaient que le passe sanitaire portait également atteinte à la liberté d’aller et venir, à la liberté de manifestation et à la liberté d’expression [1].
Le juge des référés du Conseil d’État a souligné que le passe sanitaire permet « par la limitation des flux et croisements de personne qu’il implique, de réduire la circulation du virus de la Covid-19 dans le pays ». Il a considéré qu’il n’est pas de nature à entrainer une atteinte grave et illégale au droit à la protection des données personnelles et a rejeté la demande de suspension du passe sanitaire.
Après avoir évoqué le dispositif du passe sanitaire (I), nous verrons que le juge administratif a considéré que des dispositions ont été adoptées pour réduire le risque de divulgation de données personnelles sensibles (état civil, justificatifs de statut vaccinal ou de résultat de test) (II). Il s’est également attaché à mettre en exergue le champ d'application restreint du passe sanitaire (III). Il a par ailleurs jugé que le choix du Gouvernement de ne pas saisir la Commission nationale informatique et liberté (CNIL) de l’analyse d’impact préalable à la mise en œuvre d’un traitement de données personnelles n’entache la mise en œuvre du passe sanitaire d’aucune illégalité manifeste (IV).
I. Le dispositif du passe sanitaire
Dans son ordonnance du 6 juillet 2021 [2], le juge des référés du Conseil d’État, qui avait été saisi en juin 2021 par l’association La Quadrature du Net, a refusé de suspendre l'exécution du décret du 7 juin 2021 qui organise le dispositif du passe sanitaire [3]. Ce passe sanitaire a été institué par l’article 1er de la loi n° 2021-689 du 31 mai 2021, relative à la gestion de la sortie de crise sanitaire (N° Lexbase : L6718L4L) [4]. Les mesures le concernant ont été précisées par l'article 1er du décret n° 2021-724 du 7 juin 2021 (N° Lexbase : L7712L4E) [5] qui est venu modifier le décret n° 2021-699 du 1er juin 2021, prescrivant les mesures générales nécessaires à la gestion de la sortie de crise sanitaire (N° Lexbase : L7002L44) [6].
En application de la loi du 31 mai 2021, le Premier ministre a imposé depuis le 9 juin 2021, la présentation d’un passe sanitaire, en format papier ou numérique (via l'application TousAntiCovid), dans certaines situations.
Ce dispositif du passe sanitaire, qui est entré en vigueur après un avis de la CNIL sur son utilisation [7], s’appliquera jusqu’au 30 septembre 2021 inclus. Il doit permettre de vérifier que le porteur remplit l’une des conditions requises - test négatif à la covid-19, justificatif de vaccination ou de rétablissement à la suite d'une contamination par la covid-19 - sans pouvoir identifier quelle est la condition remplie. Il permet d’assister à des événements réunissant 1 000 personnes et plus. Il a été présenté par le secrétaire d'État chargé de la Transition numérique et des Communications électroniques, Cédric O, comme « un sésame vers la liberté » : « il va nous permettre de retrouver une vie normale de manière progressive et sécurisée » [8]. Le passe sanitaire est aussi utile afin de faciliter les passages aux frontières. Il intègre deux volets : le passe sanitaire « activités » utilisé depuis le 9 juin 2021 dans le cadre du plan national de réouverture et le passe sanitaire « frontières » qui lui est mis en œuvre dans le cadre du certificat vert européen et du contrôle sanitaire aux frontières.
On rappellera que la mise en place d'un passe sanitaire a été le principal motif de saisine du Conseil constitutionnel par des parlementaires de l'opposition contre le projet de loi encadrant la sortie graduelle de l’état d’urgence sanitaire. Les saisissants ont critiqué les modalités du passe sanitaire et ont dénoncé le fait qu’il ait été adopté par le biais d’un amendement du gouvernement à l’Assemblée nationale, échappant ainsi à toute étude d’impact et avis du Conseil d’État [9]. Dans sa décision du 31 mai 2021 [10], le juge constitutionnel, qui a été saisi par soixante-dix députés, a validé le principe du passe sanitaire. Il a rejeté en particulier des griefs tirés de la méconnaissance de l'objectif de valeur constitutionnelle d'accessibilité et d'intelligibilité de la loi et de la méconnaissance par le législateur de l’étendue de sa compétence.
II. Le passe sanitaire et la protection des données personnelles
Le juge des référés n’a pas suivi l’association requérante qui soutenait que le décret n° 2021-724 du 7 juin 2021, portait une atteinte grave et manifestement illégale au droit au respect de la vie privée et au droit à la protection des données personnelles [11]. Il a rappelé que la version numérique du passe sanitaire est facultative et que « les informations collectées sont conservées sur les téléphones mobiles des personnes, limitant ainsi leur traitement ou leur conservation sur des bases nationales » [12].
Pour le juge administratif, « le risque de captation illégale des données de santé figurant sur le téléphone mobile, qui suppose que le QR code soit présenté par le propriétaire du téléphone à un individu doté d’un logiciel malveillant capable de lire les données de santé qui y figurent, semble peu élevé ».
De plus, le traitement TousAntiCovid Vérif repose sur « un contrôle local des données contenues par les justificatifs (mode off-line) ». Le Gouvernement « a renoncé à tout échange de données avec le serveur central de la société prestataire lors de la vérification des justificatifs présentés sur le téléphone mobile de la personne entendant se prévaloir du passe sanitaire ».
L’association requérante qui est une association active dans le domaine de la protection des données personnelles, a critiqué le fait que le passe sanitaire puisse contenir des données d’identité civile telles que le nom, le prénom et la date de naissance de la personne. Mais le Conseil d’État a fait valoir que ces données sont indispensables « pour contrôler que le passe présenté est bien celui de la personne qui s'en prévaut ».
Le Conseil d’État a également fait observer que les dispositions de l’article 1er de la loi n° 2021-689 du 31 mai 2021 imposent que la forme des justificatifs exigibles pour certains déplacements ou pour l’accès à certains lieux, établissement ou évènements ne permette pas aux personnes habilitées ou aux services autorisés à en assurer le contrôle et de connaître la nature du document ni les données qu'il contient. Il s’agit d’ « empêcher les tiers de savoir si la personne est vaccinée, rétablie ou non-contaminée ».
Par ailleurs, le Conseil d’État a souligné que le dispositif du passe sanitaire ne porte pas atteinte au principe de « minimisation des données » prévu par l'article 5 du « RGPD » (Règlement n° 2016/679 du 27 avril 2016 N° Lexbase : L0189K8I) [13] et l'article 4 de la loi « Informatique et Libertés » du 6 janvier 1978 [14]. Il a cité l’avis de la CNIL du 7 juin 2021 (CNIL, 7 juin 2021, délibération n° 2021-067 N° Lexbase : Z241781I) qui indique que le passe sanitaire « est de nature à assurer le respect du principe de minimisation des données, en limitant strictement la divulgation d’informations privées aux personnes habilitées à procéder aux vérifications ».
III. Le domaine d’application limité du passe sanitaire
Pour rejeter le référé-liberté déposé par l’association La Quadrature du Net, le juge administratif a également mis en évidence le champ d’application limité du passe sanitaire en relevant que son usage a été restreint « aux déplacements à destination ou en provenance de l’étranger, de Corse ou des Outre-mer et à l’accès à certains lieux, établissements ou événements impliquant de grands rassemblements de personnes (loisirs, foires, salons professionnels…) » [15]. Il a ajouté que le passe sanitaire n’est pas nécessaire à l’exercice de certaines libertés fondamentales comme les libertés de culte, de réunion ou de manifestation. Enfin, il a noté que le dispositif n'est pas non plus requis pour toutes « les activités du quotidien » (travail, magasins, restaurants…) [16].
IV. L’analyse d'impact relative à la protection des données
L’association requérante a fait valoir que la décision du ministre des Solidarités et de la Santé de délivrer des passes sanitaires était illégale dans la mesure où elle n’a été précédée d’aucune analyse d’impact sur la protection des données et qu’elle n’a donné lieu à aucune consultation préalable de l’autorité de contrôle.
Mais, selon le Conseil d’État, le choix du Gouvernement de ne pas saisir la CNIL de l’analyse d’impact préalable à l’instauration du traitement de données personnelles n’entache la mise en œuvre du passe sanitaire d’aucune illégalité manifeste.
Aux termes de l'article 35-1 du « RGPD », qui est entré en application le 25 mai 2018, « lorsqu'un type de traitement, en particulier par le recours à de nouvelles technologies, et compte tenu de la nature, de la portée, du contexte et des finalités du traitement, est susceptible d'engendrer un risque élevé pour les droits et libertés des personnes physiques, le responsable du traitement effectue, avant le traitement, une analyse de l'impact des opérations de traitement envisagées sur la protection des données à caractère personnel […] ».
L’article 63 de la loi « Informatique et Libertés » du 6 janvier 1978 indique quant à lui que le responsable de traitement, en l’espèce le ministère des Solidarités et de la Santé, est « tenu de consulter la Commission nationale de l'informatique et des libertés préalablement à la mise en œuvre du traitement lorsqu'il ressort de l'analyse d'impact […] que le traitement présenterait un risque élevé si le responsable du traitement ne prenait pas de mesures pour atténuer le risque ».
Dans son ordonnance du 6 juillet 2021, le Conseil d’État relève que lorsqu'il ressort de l’analyse d’impact que les opérations de traitement des données comportent un risque élevé que le responsable du traitement ne peut atténuer en prenant des mesures appropriées, il convient que l'autorité de contrôle soit consultée avant que le traitement n'ait lieu.
Si le Conseil d’État considère que l’absence de consultation de l’autorité de contrôle sur l’analyse d’impact d’un traitement présentant un risque résiduel fort est « sans incidence sur la légalité de l'acte créant le traitement », il précise qu’il revient, toutefois, au juge des référés « saisi d’un moyen en ce sens, de vérifier s’il y avait lieu de saisir l’autorité de contrôle de l’analyse d’impact [...] ».
[1] L’association requérante a notamment soutenu que le dispositif du passe sanitaire, qui « constitue un traitement de données personnelles relatives à l’état civil et à l’état de santé des personnes », vient restreindre la liberté d’aller et venir, puisque « l’étendue des données divulguées de manière obligatoire ne peut qu’inciter les personnes voulant se protéger contre cette atteinte à limiter leur droit d’aller et venir ».
[2] Arrêt rapporté.
[3] Il est à noter que juge des référés du Conseil d’État a attendu trois semaines pour se prononcer alors qu'un référé-liberté doit être examiné dans un délai de 48 heures selon l’article L. 521-2 du Code de justice administrative (N° Lexbase : L3058ALT).
[4] JO n° 0125, 1er juin 2021.
[5] JO n°0131, 8 juin 2021, texte n° 7.
[6] JO n° 0126, 2 juin 2021, texte n° 16.
[7] Dans un avis du 7 juin 2021 (N° Lexbase : X9103CM4), la CNIL a validé le dispositif du passe sanitaire. Elle a relevé que plusieurs des garanties complémentaires demandées dans son avis du 12 mai 2021 ont été prévues par la loi n° 2021-689 du 31 mai 2021 : « il en est ainsi, notamment, de la limitation de la divulgation des informations contenues dans les justificatifs, aux personnes habilitées à procéder aux vérifications, dans le respect du principe de minimisation des données ainsi que de l’absence de conservation des données dans le cadre du processus de vérification ». Selon l’article 1er, II, C de la loi n° 2021-689 du 31 mai 2021, les personnes habilitées et les services autorisés à contrôler les documents ne seront pas autorisés à les conserver ou à les réutiliser à d'autres fins, sous peine d'un an d'emprisonnement et 45 000 euros d'amende.
[9] Dans son avis n° 21-06 du 17 mai 2021 (N° Lexbase : X9365CMS), la Défenseure des droits Claire Hédon a regretté « qu’une disposition aussi importante que celle prévoyant la mise en oeuvre du 'passe sanitaire' ait été présentée par le Gouvernement sous forme d’amendement au texte en commission des lois saisie au fond ».
[10] Cons. const., décision n° 2021-819 DC, du 31 mai 2021 (N° Lexbase : A57504T7).
[11] L’article 4 du « RGPD » (Règlement n° 2016/679 du 27 avril 2016 N° Lexbase : L0189K8I) définit les données « à caractère personnel » comme celles « se rapportant à une personne physique identifiée ou identifiable ».
[12] CE, communiqué de presse, 6 juillet 2021.
[13] Aux termes de l’article 5 du « RGPD », les données à caractère personnel doivent être « adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées ».
[14] Loi n° 78-17, du 6 janvier 1978, relative à l’informatique, aux fichiers et aux libertés (N° Lexbase : L8794AGS).
[15] CE, communiqué de presse, 6 juillet 2021.
[16] Ibid.
© Reproduction interdite, sauf autorisation écrite préalable
newsid:478300
Utilisation des cookies sur Lexbase
Notre site utilise des cookies à des fins statistiques, communicatives et commerciales. Vous pouvez paramétrer chaque cookie de façon individuelle, accepter l'ensemble des cookies ou n'accepter que les cookies fonctionnels.
Parcours utilisateur
Lexbase, via la solution Salesforce, utilisée uniquement pour des besoins internes, peut être amené à suivre une partie du parcours utilisateur afin d’améliorer l’expérience utilisateur et l’éventuelle relation commerciale. Il s’agit d’information uniquement dédiée à l’usage de Lexbase et elles ne sont communiquées à aucun tiers, autre que Salesforce qui s’est engagée à ne pas utiliser lesdites données.
Données analytiques
Nous attachons la plus grande importance au confort d'utilisation de notre site. Des informations essentielles fournies par Google Tag Manager comme le temps de lecture d'une revue, la facilité d'accès aux textes de loi ou encore la robustesse de nos readers nous permettent d'améliorer quotidiennement votre expérience utilisateur. Ces données sont exclusivement à usage interne.