Les faits à l’origine de l’affaire Ayçaguer c. France (Req. 8806/12) pourraient prêter à sourire s’ils ne révélaient pas un exemple de plus de législations sécuritaires qui érodent lentement mais sûrement les libertés individuelles. La Cour européenne des droits de l’homme (CEDH) qui en a été saisie en profite opportunément pour rappeler, avec constance et clarté, la place éminente qu’occupe le droit à la protection des données personnelles aujourd’hui. Elle formule ce faisant, de façon réitérée, l’interdiction d’un fichage généralisé et indifférencié des personnes, rappel plus que nécessaire semble t-il à l’heure où de nombreuses lois antiterroristes, notamment, mettent en danger partout en Europe ce nouveau droit fondamental.
Le requérant, Jean-Michel Ayçaguer, participait le 17 janvier 2008 à un rassemblement organisé dans les Pyrénées atlantiques, par un syndicat agricole basque. Dans un contexte politique difficile, une bousculade s’ensuivit entre manifestants et forces de l’ordre. Le requérant, lors d’une procédure de comparution immédiate le 13 mars 2008 devant le tribunal correctionnel de Bayonne, fut condamné à deux mois d’emprisonnement avec sursis pour avoir donné des coups de parapluie aux gendarmes, sans entraîner d’incapacité de travail chez ces derniers (qui n’ont même pas été identifiés), ce qui fut analysé comme violences sur personnes dépositaires de l’autorité publique avec usage ou menace d’une arme, en l’occurrence le susdit parapluie…Convoqué le 24 décembre 2008, à la demande du Parquet de Bayonne, afin d’effectuer un prélèvement ADN aux fins de conservation dans le fichier FNAEG, sur la base des articles 706-55 et 706-56 du code de procédure pénale (CPP), le requérant, refusant de se soumettre à ce prélèvement, fut alors convoqué puis condamné par le tribunal de grande instance de Bayonne le 27 octobre 2009 à une amende de cinq cents euros. Ce jugement fut confirmé par la Cour d’Appel de Pau le 3 février 2011 et le pourvoi en cassation du requérant rejeté le 3 septembre 2011. Le requérant a alors dénoncé devant la Cour EDH une atteinte à son droit au respect de la vie privée, garanti par l’article 8 de la Convention européenne de sauvegarde des droits de l’homme et des libertés fondamentales, en raison de l’ordre reçu de se soumettre à un prélèvement biologique en vue de son inscription au FNAEG, son refus d’obtempérer lui ayant valu une condamnation pénale.
A l’heure où les nécessités sécuritaires, notamment de lutte contre le terrorisme, poussent les Etats européens à se doter d’arsenaux législatifs liberticides, s’appuyant pour bon nombre d’entre eux sur des fichages d’ampleur de délinquants, réels ou supposés, la Cour EDH vient rappeler une fois encore l’indispensable respect du droit fondamental à la protection des données à caractère personnel. Si cette dernière est nécessairement mise en balance avec les exigences de la sécurité publique, cet équilibre reste toutefois sous le contrôle du juge (I). Celui-ci réaffirme ainsi ici, et avec à propos, sa jurisprudence antérieure, interdisant le fichage généralisé et indifférencié (II).
1. Le nécessaire équilibre entre protection des données et sécurité publique sous le contrôle du juge européen
C’est un argumentaire sans surprise que déroule ici le juge européen, illustrant le très classique principe de proportionnalité.
A la première question, relative à l’ingérence dans le droit fondamental considéré, le juge répond sans surprise de façon affirmative. Déjà en 1987 dans l’affaire Leander c. Suède (26 mars 1987), il avait en effet constaté que le simple fait de mémoriser des données relatives à la vie privée d’un individu constituait une ingérence au sens de l’article 8. Cette jurisprudence fut d’ailleurs rappelée dans son célèbre arrêt S. et Marper c. Royaume-Uni du 4 décembre 2008, pertinemment cité ici par le juge, puisque se rapportant à des profils ADN, contenant « une quantité importante de données à caractère personnel » (§ 33 de l’arrêt). A l’image de son homologue luxembourgeois (dans l’arrêt Digital Rights Ireland par exemple, aff. C-293/12 et C-594/12, 8 avril 2014), le juge de Strasbourg ne manque pas de reconnaître la légitimité des missions sécuritaires des Etats, dont les autorités nationales, « pour protéger leur population comme elles en ont le devoir, (…) sont amenées à constituer des fichiers contribuant efficacement à la répression et à la prévention de certaines infractions, notamment les plus graves, comme celles de nature sexuelle pour lesquelles le FNAEG a été créé » (§ 34 de l’arrêt). L’équilibre entre protection des données et sécurité publique exige cependant le contrôle de la proportionnalité des mesures contestées au regard des objectifs, fussent-ils légitimes, qui leur sont attribués.
A la deuxième question, tout aussi classique, relative au point de savoir si l’ingérence contestée était prévue par la loi, la réponse est également affirmative, la Cour se référant aux articles 706-54 à 706-56 CPP, organisant le prélèvement de données ADN pour le fichier FNAEG, dans le but légitime de détection et de prévention des infractions pénales. Rappelons que la condamnation du requérant, suite à son refus de se soumettre au prélèvement ADN imposé par la loi, constitue une ingérence dans son droit au respect de sa vie privée.
Quant à la troisième question, relative à la nécessité de cette ingérence « dans une société démocratique » (aux termes du § 2 de l’article 8 Conv EDH), la Cour, utilisant l’outil classique de la « marge d’appréciation », rappelle que celle-ci est variable et « dépend d’un certain nombre d’éléments, notamment de la nature des activités en jeu et des buts des restrictions » (§ 37 de l’arrêt). Soulignant toutefois le caractère fondamental que revêt la protection des données à caractère personnel dans l’exercice du droit au respect de la vie privée garanti par l’article 8 de la Convention, la Cour impose au législateur la mise en œuvre de garanties appropriées, afin d’éviter que l’utilisation de données à caractère personnel ne viole cet article. C’est exactement la même démarche qu’avait eue la CJUE dans l’affaire Digital Rights Ireland évoquée, estimant qu’un certain nombre de garde-fous devaient être dressés pour éviter un usage abusif des données (métadonnées) de communications électroniques. Ces garanties sont nombreuses, et formulées de façon tout à fait semblable par les juges de Strasbourg et de Luxembourg (données pertinentes, non excessives par rapport aux finalités pour lesquelles elles sont enregistrées, durée de conservation n’excédant pas celle nécessaire aux finalités pour lesquelles elles sont collectées, possibilité d’obtenir l’effacement des données etc.), en reflet des divers textes européens en matière de protection des données (Convention 108 pour le Conseil de l’Europe, directive 95/46/CE, aujourd’hui remplacée par le nouveau règlement 2016/679 pour l’UE).
L’examen de ces indispensables garanties permet dès lors au juge de confirmer sa jurisprudence antérieure, très protectrice du droit à la protection des données.
2. L’interdiction d’un fichage généralisé et indifférencié
Un problème récurrent en matière de protection des données est celui relatif à la durée de conservation de celles-ci. Déjà évoqué dans les arrêts M.K. c. France, à propos du fichier FNAEG également (18 avril 2013) ou Brunet c. France à propos du fichier STIC de la police (18 septembre 2014), la durée de quarante ans prévue par la loi pour la conservation des données en question est assimilée par la Cour, faute d’aménagements par décret, « sinon à une conservation indéfinie, du moins à une norme plutôt qu’à un maximum ».
Il est intéressant de remarquer, pour illustrer le très commenté dialogue des juges notamment, que la Cour EDH se réfère dans son argumentation à une décision du Conseil constitutionnel (sur QPC) du 16 septembre 2010 qui avait déclaré les dispositions du CPP relatives au fichier FNAEG conformes à la Constitution, sous réserve notamment « de proportionner la durée de conservation de ces données personnelles, compte tenu de l’objet du fichier, à la nature ou à la gravité des infractions concernées » (§ 43 arrêt CEDH). Force est de constater que le législateur n’a pas répondu à l’injonction du juge constitutionnel, ce qui permet à la Cour de noter l’absence de différenciation en fonction de la nature et de la gravité de l’infraction commise « nonobstant l’importante disparité des situations susceptibles de se présenter dans le champ d’application » des articles incriminés du CPP. Il paraît difficile en effet de mettre sur le même plan coups de parapluie (basque, et non bulgare…) et infractions sexuelles, terroristes, crimes contre l’humanité ou traite des êtres humains…
S’agissant de la procédure d’effacement des données, il est loisible de constater la différence de contexte avec l’affaire S. et Marper c. Royaume-Uni, où la Cour avait condamné la rétention infinie de données (ADN et empreintes digitales) pour deux requérants, dont l’un avait été relaxé et l’autre avait vu son affaire classée sans suite. La Cour cependant ici, allant au-delà de ses conclusions dans l’affaire Marper, estime que même les personnes condamnées devraient pouvoir bénéficier d’une procédure leur permettant de solliciter l’effacement de leurs données, comme elle l’avait déjà signalé néanmoins dans l’affaire Brunet précitée. Cette possibilité faisant défaut dans le cadre des dispositions du CPP qui régissent le FNAEG, la Cour en vient à la conclusion majeure selon laquelle « le régime actuel de conservation des profils ADN dans le FNAEG, auquel le requérant s’est opposé en refusant le prélèvement, n’offre pas, en raison tant de sa durée que de l’absence de possibilité d’effacement, une protection suffisante à l’intéressé. Elle ne traduit donc pas un juste équilibre entre les intérêts publics et privés concurrents en jeu » (45 de l’arrêt). L’atteinte au droit du requérant au respect de sa vie privée étant ainsi jugée disproportionnée, elle ne peut passer pour nécessaire dans une société démocratique. La Cour conclut à l’unanimité à la violation de l’article 8.
Une telle solution s’inscrit dans le droit fil de la jurisprudence de la Cour de Strasbourg, qui déjà dans ses arrêts Zakharov c. Russie (4 décembre 2015) et Szabo et Vissy c. Hongrie (12 janvier 2016) avait posé un net coup d’arrêt aux surveillances de masse arbitraires. La Cour de Justice de l’Union européenne est au demeurant sur la même longueur d’onde, condamnant également sans relâche tout fichage généralisé de façon indifférenciée (voir les arrêts Digital Rights Ireland, déjà évoqué, Schrems 6 octobre 2015, Tele2Sverige 21 décembre 2016). Face aux tentations sécuritaires des Etats européens, le juge veille de façon sourcilleuse au respect des droits fondamentaux. L’arrêt Ayçaguer en est un nouvel et brillant exemple.