par Sylvie Peyrou, CDRE
La protection des données à caractère personnel connaît manifestement des atteintes de plus en plus nombreuses ces dernières années, suite, notamment, à la multiplication des fichages mis en œuvre à des fins policières ou de lutte contre le terrorisme. Mais il est rassurant de constater que les bonnes fées du contrôle juridictionnel, aussi bien à Strasbourg qu’à Luxembourg, se penchent assidûment depuis quelques mois sur le berceau de ce droit aujourd’hui fondamental, et veillent activement à rétablir un certain équilibre. L’arrêt de la Cour européenne des droits de l’homme (Cour EDH) dans l’affaire Brunet rendu le 18 septembre 2014 qui condamne la France en est une illustration éclatante, bien que sans surprise.
C’est le très contesté fichier STIC de la police (système de traitement des infractions constatées) qui est ici passé à la loupe du juge de Strasbourg. Ce fichier, bien qu’utilisé dès les années 1990, ne fut officiellement créé par décret qu’en 2001. Il enregistre un certain nombre de données (identité, date et lieu de naissance, filiation, nationalité, adresse, photographie etc.) relatives aux personnes faisant l’objet d’enquêtes policières, afin de faciliter la constatation d’infractions à la loi pénale (crimes, délits, certaines contraventions), mais inscrit aussi, il convient de le remarquer, les données relatives aux victimes. Pour les premières, la durée de conservation est de vingt ans, pour les secondes de quinze ans.
Les faits remontent à 2008. C’est une querelle domestique quelque peu agitée semble t-il qui a conduit le requérant devant le juge, suite à un dépôt de plainte de sa compagne pour violences. Placé en garde à vue, il fut libéré et convoqué pour une médiation pénale. Suite à la rétractation de sa compagne, le requérant obtint un classement sans suite de la procédure. Mais du fait de sa mise en cause, le requérant fut inscrit dans le fichier STIC. Il saisit alors le Procureur de la République afin de demander l’effacement de ses données du fichier, mais sa demande fut rejetée au motif que les dispositions légales ne permettaient pas de procéder à l’effacement pour une décision de classement sans suite. Cette décision était en outre, à l’époque, insusceptible de recours.
C’est donc cet état du droit français, aujourd’hui pour partie obsolète, qu’était amené à examiner le juge de Strasbourg, sous l’angle de la violation de l’article 8 de la Convention européenne des droits de l’homme, qui garantit le droit au respect de la vie privée.
Le fait que l’inscription du requérant dans le STIC constitue une ingérence dans son droit au respect de sa vie privée ne fait pas l’ombre d’un doute, le gouvernement français ne l’a même pas contesté. La Cour EDH reconnaît en effet de longue date que « le simple fait de mémoriser des données relatives à la vie privée d’un individu constitue une ingérence au sens de l’article 8 » (arrêt Leander c. Suède, 26 mars 1987). Que cette ingérence était « prévue par la loi », comme l’exige le § 2 de l’article 8 de la CEDH, est également incontestable. Quant au « but légitime poursuivi », le juge voit dans la défense de l’ordre, la prévention des infractions pénales, et la protection des droits d’autrui, des buts légitimes au sens de la Convention. L’essentiel de l’argumentation de la Cour est donc centré sur le très important contrôle de proportionnalité.
1. Une ingérence disproportionnée
Face à l’examen de la nécessité de la mesure contestée, qui constitue une ingérence dans le droit au respect de la vie privée du requérant, la Cour situe tout d’abord le curseur de son analyse par rapport à la « marge d’appréciation » dont bénéficient les Etats. Elle se réfère abondamment à ses précédents arrêts S et Marper c. Royaume-Uni (4 décembre 2008) et M. K. c. France (18 avril 2013), qui fournissent une grille d’analyse qui laissait augurer de la décision adoptée.
C’est une marge restreinte qui s’impose ici, eu égard au « rôle fondamental pour l’exercice du droit au respect de la vie privée et familiale consacré par l’article 8 de la Convention » (§ 35) que joue la protection des données à caractère personnel. La nécessité de la restriction au droit garanti est appréciée en outre d’autant plus strictement que les données dont il s’agit sont utilisées à des fins policières.
Si la Cour admet que les données enregistrées dans le STIC ne comprennent ni les empreintes digitales (à la différence du Fichier National des Empreintes Digitales, FNAED qui posait problème dans l’affaire M.K. c. France), ni le profil ADN (comme dans l’affaire Marper c. Royaume-Uni) des personnes concernées, elle souligne néanmoins leur « caractère intrusif non négligeable », eu égard au lien établi entre les éléments détaillés d’identité et une infraction constatée.
Un point particulièrement important de l’analyse est celui selon lequel (comme dans l’affaire Marper encore une fois), le requérant avait bénéficié d’un classement sans suite de sa procédure, ce qui justifierait un traitement différent par rapport à une personne condamnée, « afin d’éviter tout risque de stigmatisation ». Il est intéressant de remarquer au passage, dans le même ordre d’idées, qu’un point très discuté de la future directive de l’UE relative à la protection des données en matière de coopération policière et judiciaire pénale (voir COM 2012/10 final, du 25 janvier 2012), est justement celui de l’absence de catégories entre les personnes (témoin, suspect…).
De plus, même si le classement sans suite de l’affaire fait l’objet d’une mention dans le fichier STIC, cela ne modifie pas la durée de conservation de la fiche, qui est de vingt ans. Le cœur du contrôle de proportionnalité effectué par la Cour consiste donc à s’interroger sur le caractère proportionné de ce délai, eu égard au contexte de l’affaire.
Comme dans un jeu de poupées russes, répondre à cette question oblige d’abord le juge à s’interroger sur les possibilités d’effacement des données offertes aux personnes concernées, ces deux questions étant inévitablement emboîtées l’une dans l’autre.
Selon le droit alors en vigueur, il n’était possible au Procureur de la République d’ordonner l’effacement d’une fiche que dans l’hypothèse d’un non lieu ou d’un classement sans suite motivé par une insuffisance des charges (outre les hypothèses de relaxe ou d’acquittement). C’est donc « à bon droit » que le Procureur de la République avait rejeté la demande du requérant, car le classement sans suite était fondé sur une autre cause que l’absence d’infraction, à savoir la réussite de la médiation pénale qui avait entraîné le retrait de la plainte, hypothèse qui n’entrait pas par conséquent dans le champ d’application de la disposition de la loi posant problème.
Bien plus, la Cour note que, à l’époque des faits toujours, la décision du Procureur n’était susceptible d’aucun recours. Partant, en l’absence de « possibilité réelle de demander l’effacement des données le concernant » (§ 43), la question du délai de conservation revient au premier plan. Le point de vue adopté à cet égard par la Cour ici ne surprend guère, car en tous points identique à celui de l’affaire M. K. c. France précité. La durée de conservation, vingt ans ici (vingt cinq ans pour le FNAED) « est assimilable, sinon à une conservation indéfinie, du moins à une norme plutôt qu’à un maximum », note la Cour, exactement dans les mêmes termes dans les deux arrêts. C’est au demeurant la durée de conservation des données – indéfinie en revanche – qui avait également motivé la censure de la Cour dans l’affaire Marper précitée.
La Cour conclut donc logiquement que l’Etat défendeur a outrepassé sa marge d’appréciation, et qu’un « juste équilibre » entre les intérêts publics et ceux du requérant fait défaut. « L’atteinte disproportionnée au droit du requérant ne peut passer pour nécessaire dans une société démocratique « (§ 44). La violation de l’article 8 de la Convention est reconnue, à l’unanimité.
2. Une condamnation prévisible, assortie d’une mise en garde
Plusieurs réflexions peuvent être menées et divers enseignements tirés de cet arrêt.
La condamnation, tout d’abord, était prévisible, on l’a dit, tant la jurisprudence de la Cour de Strasbourg a largement balisé le terrain de la protection des données, notamment avec les arrêts M. K c. France et S. et Marper c. Royaume-Uni précités, qui présentaient une grande proximité avec les problèmes soulevés ici.
Une chose est sûre, si l’intérêt public à disposer d’outils performants pour lutter contre la criminalité ou le terrorisme n’est pas contesté, les autorités n’en sont pas moins soumises à des règles très strictes, afin de respecter le droit à la protection des données, dont le caractère fondamental est rappelé et construit pas à pas par les juges européens (de Strasbourg à Luxembourg). La question de la durée de la conservation des données apparaît en particulier comme un élément majeur du statut protecteur construit par le juge. Ce paramètre ne pourra donc plus à l’avenir être négligé par le législateur, sauf à encourir de nouvelles censures juridictionnelles.
Il convient de remarquer ensuite que la Cour de Strasbourg fait œuvre pédagogique dans son arrêt, en intégrant dans son analyse le changement législatif intervenu dans la matière étudiée.
En effet, elle ne manque pas de noter que si, à l’époque des faits, la décision du Procureur de la République (relative à une demande d’effacement du fichier STIC) n’était susceptible d’aucun recours, il est possible aujourd’hui de formuler une demande à un « magistrat référent ». Toutefois, la Cour prend soin d’expliquer que le magistrat en question dispose des mêmes pouvoirs que le Procureur de la République en la matière, et par conséquent qu’un recours formé auprès de lui ne présente « pas le caractère d’effectivité nécessaire, l’autorité décisionnaire ne disposant d’aucune marge d’appréciation » (§ 42). C’est là un avertissement à peine voilé à destination du Gouvernement et du législateur français…Toutefois, la Cour prend acte également de la jurisprudence récente du Conseil d’Etat, qui permet d’exercer un recours pour excès de pouvoir contre les décisions du Procureur en matière d’effacement ou de rectification de données figurant dans le STIC (voir Conseil d’Etat, 17 juillet 2013, M. B.A. et M. A., Req. N° 359417).
Pour finir, l’intérêt de l’arrêt Brunet pourrait n’être qu’anecdotique, dans la mesure où le fichier STIC a disparu en 2012, pour laisser place à un nouveau dispositif, le « Traitement des Antécédents Judiciaires » (TAJ, voir le décret du 4 mai 2012, pris en application de la loi d’orientation et de programmation pour la performance de la sécurité intérieure LOPPSI du 14 mars 2011), opérant une fusion entre les anciens fichiers STIC et JUDEX (système Judiciaire de Documentation et d’Exploitation, équivalent pour la gendarmerie du fichier STIC).
Toutefois, le nouveau dispositif reprend la disposition qui posait problème ici, à savoir les hypothèses permettant au Procureur de procéder à l’effacement d’une fiche (avec la même lacune s’agissant du classement sans suite d’une procédure comme dans le cas d’espèce). Il reste à savoir si le contrôle juridictionnel évoqué du Conseil d’Etat suffira à éviter le « naufrage du fichier TAJ sur les récifs conventionnels » (N. Hervieu, RDH, 19 septembre 2014,« Le fichage policier sous les fourches caudines européennes »).
Au total, la solution retenue par la Cour EDH dans l’affaire étudiée, ne peut que satisfaire dans son principe, apportant une pierre supplémentaire à l’édifice de la protection des données à caractère personnel. Toutefois, l’arrêt peut paraître dérisoire au regard des dizaines de millions de données désormais rassemblées dans le fichier TAJ, dont un nombre considérable, selon une étude de la CNIL, seraient erronées et auraient dû être supprimées (Voir Le Monde, 19 septembre 2014, Franck Johannès, « Fichier de police STIC : la Cour européenne des droits de l’homme condamne la France »). Il reste à espérer que le législateur tirera les conséquences de cette condamnation, en souhaitant que l’épée de Damoclès d’une nouvelle condamnation juridictionnelle soit plus qu’un simple sabre de bois…