Quelques médias s’en sont fait récemment l’écho : le gouvernement a très récemment étendu les possibilités de collecte d’informations ayant trait aux opinions politiques et mêmes religieuses dans le cadre de certains fichiers de police. Cette modification résulte de plusieurs décrets du 2 décembre dernier et concerne trois fichiers déjà contestés et relatifs aux troubles à la sécurité publique : PASP, GIPASP et EASP.
La critique contre les fichiers de police n’est pas nouvelle, et revient régulièrement sur le devant de l’actualité. Que ce soit suite à la mise en place du confinement, suite à des événements ayant mobilisé l’opinion publique, ou dans le cadre de la lutte antiterroriste, le fichage policier semble prendre de plus en plus de place dans la boite à outils des gouvernements.
Un régime de fichiers de police original
Pourtant, le fichage est en France relativement encadré. Si les fichiers de police échappent au Règlement Général sur la Protection des Données (RGPD), ils ne sont pas hors de contrôle. Au niveau européen, c’est la directive police – justice qui en fixe les contours généraux.
À l’échelle nationale, les fichiers de police entrent dans le cadre législatif de tout traitement de données à caractère personnel : la loi Informatique et Libertés du 6 janvier 1978, régulièrement modifiée et amendée.
Pour autant, le régime des fichiers de police est original en plusieurs points.
Si les droits accordés aux individus fichés sont nécessairement moindres que ceux qui bénéficient aux utilisateurs de services commerciaux (ne serait-ce que quant à l’éventualité d’un droit de retrait par exemple), c’est surtout quant à leur processus d’édiction (établissement d'un acte de loi) et de contrôle que l’étude précise devient intéressante.
Naissance et évolution des fichiers de police
Tout d’abord, comment naissent ou évoluent les fichiers de police ? Les articles 31 et 32 de la loi Informatique et Libertés imposent un processus clair : les fichiers de police sont « autorisés par arrêté du ou des ministres compétents », ou, lorsque le fichier porte sur des données particulièrement sensibles, par « décret en Conseil d’État », c’est-à-dire par le Premier ministre, après avis du Conseil d’État.
Juridiquement, les arrêtés ou les décrets sont des textes réglementaires : ils sont pris par le pouvoir exécutif, sans consultation, ni débat, ni vote du Parlement.
Bien que cette compétence soit régulièrement contestée (ici compris par un rapport parlementaire), au nom de l’impact que peuvent avoir ces fichiers sur les libertés fondamentales et de la nécessité d’un débat démocratique sur ces questions, la très grande majorité des fichiers de police est ainsi issue de textes réglementaires. La récente extension n’échappe pas à la règle puisqu’il s’agit de trois décrets.
Peu de contraintes
Pour autant, le gouvernement n’est pas seul à la barre. Les mêmes articles 31 et 32 précisent ainsi que, dans tous les cas, les projets d’institution ou de modification des fichiers de police doivent être soumis, pour avis, à la Commission Nationale Informatique et Libertés (CNIL). L’avis rendu doit également être publié.
Ce contrôle, en apparence rassurant puisque la CNIL est une autorité administrative parfaitement indépendante et garante des libertés, n’en est pourtant pas un. L’avis rendu n’a en effet aucune portée contraignante pour le gouvernement : comme elle le souligne elle-même, « cet avis ne constitue pas une « autorisation » ou un « refus » de la CNIL ».
Cette absence de contrainte résulte d’une modification législative de 2004, puisque avant cette date, l’autorité disposait d’un véritable droit de veto, dont elle est désormais privée.
L’exemple de l’extension récente des trois fichiers de police est sur ce point éclairant. Dans son avis, si la CNIL validait certains points rendus nécessaires, elle mettait en garde le gouvernement sur de nombreux autres, notamment sur le périmètre très étendu de certaines données ou sur leur caractère automatisé.
Les décrets finalement publiés n’ont tenu aucun compte de ces critiques. Plus encore, des ajouts ont été faits après la consultation de la CNIL, notamment sur les données relatives aux opinions politiques, comme le souligne l'autorité dans un récent communiqué de presse.
Il faut rappeler d’ailleurs que le projet transmis à la CNIL est souvent incomplet, ou très différent de celui finalement publié. Le délai est également très court : la CNIL ne dispose que de huit semaines, pour étudier parfois des centaines de pages lors de la mise en place d’un nouveau fichier.
La CNIL contrôle mais pour quels résultats ?
La CNIL n’est pas la seule à intervenir lors du processus d’édiction ou de modification des fichiers. Le Conseil d’État, organe napoléonien de conseil et de contrôle du gouvernement, doit également donner son avis avant la publication des décrets qui portent sur des données particulièrement sensibles : ce sont les « décrets en Conseil d’État » mentionnés plus haut. Les avis rendus sont tenus secrets, sauf volonté explicite du gouvernement, et l’avis ne contraint pas non plus le gouvernement.
Le gouvernement n’a donc les mains liées par aucun acteur, et peut librement prendre tout arrêté ou tout décret en matière de fichiers de police. Quid alors du contrôle, a posteriori, de ces textes ? Là encore, ce sont les mêmes acteurs que l’on retrouve : la CNIL et le Conseil d’État.
La CNIL, en tant qu’autorité indépendante, a en effet aussi en charge le contrôle et le suivi des fichiers en activité, dont les fichiers de police. Ce pouvoir permet à la CNIL de se déplacer dans les lieux de stockage et de consultation des données, et d’accéder au fichier pour faire une vérification précise et rigoureuse.
Néanmoins, ces contrôles nécessitent des moyens humains importants, alors que la CNIL est l’une des autorités de régulation des données les moins dotées de l’Union Européenne. La CNIL ne dispose en outre d’aucun pouvoir de sanction face à l’État, comme elle en a pourtant en matière commerciale : elle peut seulement ici adresser un avertissement, là encore non contraignant, à l’autorité publique, en cas de défaillances, qui sont pourtant régulières. Les rapports issus de ces visites ne sont en outre pas rendus publics.
Certains décrets à l’origine de fichiers de police excluent même tout contrôle de la CNIL, ce que l’article 19 paragraphe IV de la loi de 1978 permet, mais ce n’est pas le cas pour les fichiers concernés par les modifications du 2 décembre dernier.
Le rôle du Conseil d'Etat
Le Conseil d’État, en tant cette fois qu’organe de contrôle des actes administratifs, apparaît alors comme le seul véritable vecteur d’un contrôle contraignant. En effet peut être attaqué directement devant lui tout acte réglementaire de portée nationale. Les arrêtés ou décrets instituant ou modifiant des fichiers de police peuvent donc faire l’objet d’un recours par ce biais.
C’est alors la « section du contentieux » du Conseil d’État qui se prononce, qui est statutairement étanche de la « section de l’intérieur » qui joue le rôle de conseil du gouvernement. Dit autrement, ce ne sont pas les mêmes conseillers que ceux qui avaient rendu l’avis. Le Conseil d’État a ici le rôle d’une juridiction de contrôle des actes réglementaires, à la fois de leur légalité (conformité à la loi), de leur constitutionnalité (conformité à la constitution, dans une certaine mesure) et de leur conventionnalité (conformité aux textes internationaux, comme la Convention Européenne des Droits de l’Homme).
Les modifications des fichiers PASP, GIPASP et EASP issus des décrets du 2 décembre pourront donc être portées devant le Conseil d’État. Un recours est d’ailleurs en préparation par plusieurs associations, dont la Quadrature du Net. Néanmoins, les procédures judiciaires sont longues, et les résultats en matière de fichage souvent décevants. Par ailleurs, en attendant ce recours et son résultat, les fichiers ainsi modifiés sont d’ores et déjà en activité, puisque les textes réglementaires sont d’application immédiate.
Le Conseil constitutionnel impuissant
D’aucuns pourraient ici penser à une intervention du Conseil constitutionnel, dont les censures sont souvent médiatiques (comme par exemple lors de la récente loi Avia sur les contenus haineux sur Internet). Il n’en est pas question ici. En effet, le Conseil constitutionnel ne contrôle que la constitutionnalité des lois, et non des règlements.
Il est d’ailleurs intéressant de noter ici que le fichier PASP prévoit une durée de conservation des données de « dix ans après l'intervention du dernier événement » alors même que ce type de limitation potentiellement infinie avait été déclaré inconstitutionnel(§72) par le Conseil constitutionnel lors du contrôle d’un des rares textes législatifs en matière de fichiers de police. Mais ici, pas de Conseil constitutionnel donc.
Avec une CNIL relativement impuissante, un Conseil d’État souvent peu protecteur et des textes réglementaires qui semblent prévoir une collecte de données toujours plus importante, les fichiers de police ont un bel avenir devant eux, sans, pour le moment, de débat démocratique ni de limites véritables. L'application des décrets du 2 décembre 2020 devra donc être particulièrement surveillée.
L'auteur de l'article effectue sa thèse sous la direction de Virginie Peltier.