CEDHCASELAW;DECISIONS;ADMISSIBILITY;FRA;FRE23
CEDH · CASELAW;DECISIONS;ADMISSIBILITY;FRA;FRE — 5 novembre 2024
- ECLI
- ECLI:CE:ECHR:2024:1105DEC005231922
- Date
- 5 novembre 2024
- Publication
- 5 novembre 2024
droits fondamentauxCEDH
Source : DILA / Judilibre · open data
Mes notes
privées · visibles par vous seulRésumé structuré
version préliminaireFaits
Non déterminable à partir du texte fourni.
Procédure
Non déterminable à partir du texte fourni.
Question juridique
Non déterminable à partir du texte fourni.
Solution
source officielleIrrecevable (Art. 35) Conditions de recevabilité;(Art. 35-3-a) Manifestement mal fondé
Résumé généré automatiquement — à vérifier avec la décision originale.
Analyse IA non disponible
Générez un résumé intelligent de cette décision
Texte intégral
.s800EAC49 { font-size:12pt } .s5E1364CA { margin-top:0pt; margin-bottom:12pt; text-align:center; page-break-inside:avoid; page-break-after:avoid; font-size:14pt } .sBB9EE52A { font-family:Arial } .s339D85E6 { margin-top:0pt; margin-bottom:14pt; text-align:center; page-break-inside:avoid; page-break-after:avoid } .s83BE5C30 { font-family:Arial; font-size:8pt; vertical-align:super } .s10950C61 { margin-top:0pt; margin-bottom:0pt; text-indent:14.2pt; text-align:justify } .s32563E28 { margin-top:0pt; margin-bottom:0pt } .sB9D5CABB { width:28.35pt; display:inline-block } .sA36B60A1 { font-family:Arial; font-style:italic } .s3AAE10DF { margin-top:14pt; margin-bottom:12pt; text-align:justify; page-break-inside:avoid; page-break-after:avoid; font-size:14pt } .s3CA22BA { font-family:Arial; text-transform:uppercase } .s6B505E72 { margin:0pt; padding-left:0pt } .s5E8F5A28 { margin-top:14pt; margin-left:25.5pt; margin-bottom:12pt; text-align:justify; page-break-inside:avoid; page-break-after:avoid; font-family:Arial; font-weight:bold } .s9D48DD53 { margin-top:6pt; margin-left:21.25pt; margin-bottom:6pt; text-indent:7.1pt; text-align:justify; font-size:10pt } .s8EB5F569 { font-family:Arial; font-size:6.67pt; vertical-align:super } .s6C5BED22 { margin-left:25.5pt; margin-bottom:12pt; text-align:justify; page-break-inside:avoid; page-break-after:avoid; font-family:Arial; font-weight:bold } .s743F3A55 { margin-right:0pt; margin-left:0pt; padding-left:0pt } .s2044A09A { margin-left:6.51pt; margin-bottom:6pt; page-break-inside:avoid; page-break-after:avoid; padding-left:1.99pt; font-weight:normal; font-style:italic } .s2D9C6089 { margin-top:12pt; margin-bottom:12pt; text-indent:14.2pt; text-align:justify; page-break-inside:avoid; page-break-after:avoid } .s3A692EA6 { margin-top:14pt; margin-bottom:6pt; text-align:center; page-break-after:avoid; font-size:10pt } .s29100277 { font-family:Arial; font-weight:bold } .sAE6FB95D { margin-top:14pt; margin-left:32.01pt; margin-bottom:6pt; text-align:justify; page-break-inside:avoid; page-break-after:avoid; padding-left:1.99pt; font-family:Arial; font-style:italic } .sD0489F03 { margin-top:6pt; margin-left:21.25pt; margin-bottom:6pt; text-indent:7.1pt; text-align:justify; page-break-inside:avoid; page-break-after:avoid; font-size:10pt } .s7ED160F0 { text-decoration:none } .s6DCE261A { font-family:Arial; font-size:6.67pt; font-weight:bold; vertical-align:super; color:#0069d6 } .sE5273FBD { margin-top:6pt; margin-left:21.25pt; margin-bottom:6pt; text-indent:7.1pt; text-align:center; font-size:10pt } .s434D37A9 { margin-top:0pt; margin-bottom:0pt; text-indent:14.2pt; text-align:justify; page-break-inside:avoid; page-break-after:avoid } .s99FFA883 { margin-top:14pt; margin-bottom:6pt; text-align:center; page-break-inside:avoid; page-break-after:avoid; font-size:10pt } .s653E6C45 { font-family:Arial; font-size:6.67pt; vertical-align:super; color:#0069d6 } .s1CD66D3F { margin-top:14pt; margin-left:25.5pt; margin-bottom:12pt; text-align:justify; page-break-inside:avoid; page-break-after:avoid; font-family:Arial; font-weight:bold; text-transform:uppercase } .s8B983D37 { text-transform:none } .sD7655959 { margin-left:6.51pt; margin-bottom:6pt; page-break-inside:avoid; page-break-after:avoid; padding-left:1.99pt; font-weight:normal; font-style:italic; text-transform:none } .s30C08A28 { margin-top:14pt; margin-bottom:0pt; text-align:center; page-break-inside:avoid; page-break-after:avoid; font-size:10pt } .sEC9B6AAF { margin-top:0pt; margin-bottom:6pt; text-align:center; page-break-inside:avoid; page-break-after:avoid; font-size:10pt } .sA2548810 { margin-top:14pt; margin-bottom:0pt; text-align:center; page-break-after:avoid; font-size:10pt } .s718D1C37 { margin-top:0pt; margin-bottom:6pt; text-align:center; page-break-after:avoid; font-size:10pt } .sF54F3725 { margin-top:0pt; margin-left:42.55pt; margin-bottom:6pt; text-indent:-17.05pt; text-align:justify; page-break-inside:avoid; page-break-after:avoid; font-size:10pt } .s6E092871 { width:8.16pt; font:7pt 'Times New Roman'; display:inline-block } .s65DDED6B { margin-top:14pt; margin-left:42.55pt; margin-bottom:6pt; text-indent:-17.05pt; text-align:justify; page-break-inside:avoid; page-break-after:avoid; font-size:10pt } .sDEA351A4 { width:7.61pt; font:7pt 'Times New Roman'; display:inline-block } .s4DDA3AA3 { font-family:Arial; font-weight:bold; font-style:italic } .s7B7C03AC { margin-left:44pt; margin-bottom:6pt; text-align:justify; page-break-inside:avoid; page-break-after:avoid; line-height:113%; padding-left:7.05pt; font-family:Arial; font-size:10pt; font-style:italic } .sC312A3C4 { margin-top:14pt; margin-left:46.22pt; margin-bottom:6pt; text-align:justify; page-break-inside:avoid; page-break-after:avoid; line-height:113%; padding-left:4.83pt; font-family:Arial; font-size:10pt; font-style:italic } .s695E2BCF { margin-top:0pt; margin-left:62.35pt; margin-bottom:6pt; text-indent:-19.8pt; text-align:justify; page-break-inside:avoid; page-break-after:avoid; font-size:10pt } .sF7FB7381 { width:11.23pt; font:7pt 'Times New Roman'; display:inline-block } .sFABD3260 { margin-top:14pt; margin-left:62.35pt; margin-bottom:6pt; text-indent:-19.8pt; text-align:justify; page-break-inside:avoid; page-break-after:avoid; font-size:10pt } .s9CBE824B { width:11.38pt; font:7pt 'Times New Roman'; display:inline-block } .sC36A6361 { font-family:Arial; color:#000000 } .sE7B07F49 { width:12.05pt; font:7pt 'Times New Roman'; display:inline-block } .s293FD77E { width:11.76pt; font:7pt 'Times New Roman'; display:inline-block } .s69DCC830 { margin-top:36pt; margin-bottom:0pt } .sC986E16F { font-family:Arial; color:#ffffff } .sBD1BE8CC { width:33.89pt; display:inline-block } .s25198F8F { width:149.77pt; display:inline-block } .sF4B1D9D5 { width:24.87pt; display:inline-block } .s7DABF6D6 { width:152.09pt; display:inline-block } .sF6A12959 { width:33%; height:1px; text-align:left } .s85226119 { margin-top:0pt; margin-bottom:0pt; text-align:justify; font-size:10pt } CINQUIÈME SECTION DÉCISION Requête n o 52319/22 Florian LE MARREC contre la France La Cour européenne des droits de l’homme (cinquième section), siégeant le 5 novembre 2024 en une chambre composée de   :   María Elósegui , présidente ,   Mattias Guyomar,   Stéphanie Mourou-Vikström,   Armen Harutyunyan,   Gilberto Felici,   Kateřina Šimáčková,   Mykola Gnatovskyy , juges , et de Martina Keller, greffière adjointe de section , Vu la requête susmentionnée introduite le 4 novembre 2022, Vu la décision de porter à la connaissance du gouvernement français («   le Gouvernement   ») les griefs tirés de l’article 8 (concernant le traitement des données de connexion du requérant) et de l’article 6 § 1 de la Convention de sauvegarde des droits de l’homme et des libertés fondamentales («   la Convention   »), et de déclarer la requête irrecevable pour le surplus, Vu les observations soumises par le gouvernement défendeur et celles présentées en réponse par le requérant, Après en avoir délibéré, rend la décision suivante   : INTRODUCTION 1.     La requête concerne une atteinte alléguée au droit du requérant au respect de sa vie privée en raison du traitement (collecte et utilisation), par le site web de la Caisse d’allocations familiales («   la Caf   »), de l’adresse IP de son ordinateur et de certaines «   données de connexion   », ce qui a permis aux agents de la Caf de le localiser. Le requérant invoque les articles 8 et 6   §   1 de la Convention. EN FAIT 2.     Le requérant, M. Florian Le Marrec, est un ressortissant français né en 1989 et résidant à Biencourt sur Orge. Il est représenté devant la Cour par M e   G. Thuan Dit Dieudonné, avocat. 3.     Le gouvernement français («   le Gouvernement   ») est représenté par son agent, M. D. Colas, directeur des affaires juridiques au ministère de l’Europe et des Affaires étrangères. 4.     Les faits de la cause, tels qu’ils ont été exposés par les parties, peuvent se résumer comme suit. Les faits à l’origine de l’affaire et le contentieux administratif en première instance 5.     Déclarant être sans ressources, le requérant fut admis au bénéfice de l’allocation de revenu de solidarité active (RSA). En début 2019, il s’authentifia sur le site web caf.fr de la Caisse d’allocations familiales (Caf), qui est édité et hébergé par la Caisse nationale d’allocations familiales (Cnaf), afin de mettre à jour sa situation d’allocataire. 6 .     L’adresse IP (internet protocol) de l’ordinateur du requérant se transforma en une indication géographique «   Autres [pays]   » sur le serveur hébergeant le site. Un contrôle de la situation du requérant s’ensuivit. Dans le cadre de ce contrôle, par un courrier du 9 avril 2019, le requérant expliqua que, lors de la connexion sur l’espace «   Mon compte   » du site web de la Caf, il avait utilisé un VPN (virtual private network), afin de brouiller l’adresse   IP, tout en demeurant en France. 7.     Les agents de la Caf sollicitèrent des informations à la banque du requérant. Ayant analysé ces informations, ils conclurent, dans un rapport d’enquête du 7 mai 2019, que l’intéressé avait omis de déclarer de nombreux virements et remises de chèques, ce qui le rendait inéligible au RSA. Les contrôleurs retinrent l’intention frauduleuse du requérant. Ce rapport, communiqué à l’intéressé, mentionnait également «   Motif   : résidence suite adresse IP   », ainsi que «   le contrôle fait suite au listing concernant des déclarations trimestrielles faites depuis une adresse IP à l’étranger   ». 8.     Par deux décisions des 14 et 20 juin 2019, la directrice de la Caf du département du Morbihan mit fin aux droits du requérant au RSA, avec effet rétroactif, tout en lui notifiant qu’un indu d’un montant total de 16   614 euros (EUR) lui avait été versé. 9.     En octobre 2019, le requérant fut réadmis au bénéfice du RSA. 10 .     Parallèlement, il forma un recours contre les décisions des 14 et   20   juin 2019 devant le tribunal administratif de Rennes. Dans son premier moyen, intitulé «   Sur le caractère irrégulier du contrôle de la Caf relatif à son déclenchement par l’utilisation de données de géolocalisation   », il cita les dispositions des articles L.   114-19 et L.   114-20 du code de la sécurité sociale (CSS), portant sur le droit de communication de certaines données personnelles aux agents de la Caf, ainsi que la décision du Conseil constitutionnel du 14 juin 2019, n o   2019-789 QPC ayant déclaré l’article   L.   114-20 contraire à la Constitution (paragraphes 20-23 et 31 ci ‑ dessous). Le requérant demanda au tribunal soit d’appliquer cette décision, soit de transmettre une question prioritaire de constitutionnalité (QPC) relative audit article dans sa nouvelle rédaction. 11 .     Le moyen du requérant fut ensuite développé en ces termes   : «   (...) il semblerait que le contrôle ait été déclenché suite à l’utilisation de données de géolocalisation des adresses IP et des connexions au site internet de la Caf (...). L’utilisation de donnée de connexion vicie la procédure de contrôle en ce qu’elle prive d’une garantie le requérant en exposant ses données personnelles. Surtout, les données de connexion ne révèlent aucun élément déterminant en l’espèce quant à la situation même de l’intéressé au sens du paragraphe 15 de la décision n o 2019-789 QPC (...). Dès lors, leur utilisation se révèle d’autant plus attentatoire à la vie privée de l’exposant.   » 12.     Par un jugement du 20 octobre 2020, le tribunal administratif rejeta le recours. Concernant la QPC, il observa que, dans sa décision du 14 juin 2019, le Conseil constitutionnel avait considéré que la remise en cause des mesures prises sur le fondement de l’article L.   114-20 du CSS méconnaîtrait l’objectif de valeur constitutionnelle de lutte contre la fraude en matière de protection sociale et entraînerait ainsi des conséquences manifestement excessives. Il conclut que le requérant ne pouvait utilement se prévaloir de l’inconstitutionnalité des dispositions dudit article, qu’elle que fût sa rédaction. 13 .     Sur le fond, le tribunal considéra que la décision de la Caf n’était pas fondée sur le seul traitement automatisé des données personnelles du requérant, au sens de l’article 47 de la loi «   Informatique et libertés   » (paragraphe 25 ci-dessous), et que le département du Morbihan n’était pas lié pas les résultats d’un tel traitement. 14.     Il considéra également que les aides financières apportées au requérant par sa famille devaient être prises en compte dans le calcul des ressources pour la détermination du montant du RSA. Il observa que l’indu de RSA résultait de l’omission du requérant de déclarer les revenus tirés de ses capitaux placés, les aides versées par ses proches, ainsi que ses rémunérations associatives. Le tribunal qualifia ses omissions de fausses déclarations, pour en déduire que le requérant n’était pas de bonne foi et rejeter son recours. La procédure devant le Conseil d’État 15.     Agissant par l’intermédiaire d’un avocat au Conseil d’État et à la Cour de cassation, le requérant se pourvut en cassation, invoquant neuf moyens. 16 .     Le premier moyen était relatif à une insuffisance de motivation du jugement au regard de la méconnaissance alléguée de l’article 47 de la loi «   Informatique et libertés   » (paragraphe 25 ci-dessous), ainsi que des dispositions du code des relations entre le public et l’administration (CRPA) imposant à peine de nullité certaines mentions obligatoires dans les décisions individuelles prise sur le fondement d’un traitement algorithmique («   décisions individuelles automatisées   »   ; paragraphe 30 ci-dessous). Selon le requérant, tant la décision de procéder au contrôle de sa situation que celle de supprimer le RSA constituaient de telles «   décisions individuelles automatisées   » fondées sur la technique de géolocalisation, manquant pourtant de ces mentions obligatoires, ce qui viciait la procédure suivie et «   caractéris[ait], en outre, une atteinte à la vie privée protégée par l’article   8 de la Convention   ». 17.     Le deuxième moyen reprochait au tribunal administratif d’avoir appliqué l’article L.   114-20 du CSS sans avoir tiré les conséquences de la décision du Conseil constitutionnel, alors que «   le contrôle s’était appuyé sur les données de connexion, dispositif dont le Conseil constitutionnel a[vait] jugé que le législateur ne l’avait pas entouré des garanties nécessaires   ». Le troisième moyen concernait la communication des données bancaires du requérant et le surplus portait sur l’appréciation des faits, la bonne foi du requérant, ses ressources, ainsi que sur son droit de recevoir le RSA. 18.     Après une audience publique du 2 juin 2022, la parole ayant été donnée au rapporteur public et à l’avocat du requérant, le Conseil d’État adopta, le 7 juillet 2022, une décision de non-admission du pourvoi. LE CADRE JURIDIQUE ET LA PRATIQUE INTERNES et internationales PERTINENTS Le droit et la pratique internes pertinents Le code de l’action sociale et des familles 19.     Les dispositions pertinentes du code de l’action sociale et des familles sont ainsi rédigées   : Article L. 262-2 «   Toute personne résidant en France de manière stable et effective, dont le foyer dispose de ressources inférieures à un montant forfaitaire, a droit au revenu de solidarité active dans les conditions définies au présent chapitre. (...)   » Article R. 262-37 «   Le bénéficiaire de l’allocation de revenu de solidarité active est tenu de faire connaître à l’organisme chargé du service de la prestation toutes informations relatives à sa résidence, à sa situation de famille, aux activités, aux ressources et aux biens des membres du foyer ; il doit faire connaître à cet organisme tout changement intervenu dans l’un ou l’autre de ces éléments.   » Article R. 262-25-5 «   (...) la demande de revenu de solidarité active est réalisée soit par téléservice, soit par le dépôt d’un formulaire. L’utilisation du téléservice dispense, le cas échéant, l’usager de la fourniture de pièces justificatives dès lors que ces organismes disposent des informations nécessaires ou qu’elles peuvent être obtenues auprès des administrations, collectivités et organismes (...).   » Le code de la sécurité sociale 20 .     Les dispositions pertinentes du code de la sécurité sociale (CSS) sont ainsi libellées   : Article L. 114-10 «   Les directeurs des organismes chargés de la gestion d’un régime obligatoire de sécurité sociale ou du service des allocations et prestations mentionnées au présent code confient à des agents chargés du contrôle, assermentés et agréés dans des conditions définies par arrêté du ministre chargé de la sécurité sociale ou par arrêté du ministre chargé de l’agriculture, le soin de procéder à toutes vérifications ou enquêtes administratives concernant l’attribution des prestations, le contrôle du respect des conditions de résidence (...).   » Article L. 114-19 «   Le droit de communication permet d’obtenir, sans que s’y oppose le secret professionnel, les documents et informations nécessaires   : 1 o Aux agents des organismes chargés de la gestion d’un régime obligatoire de sécurité sociale pour contrôler la sincérité et l’exactitude des déclarations souscrites ou l’authenticité des pièces produites en vue de l’attribution et du paiement des prestations servies par lesdits organismes   ; (...) 3 o Aux agents des organismes de sécurité sociale pour recouvrer les prestations versées indûment (...).   » 21 .     L’article L.   114-20 du CSS, dans sa version initiale, se lisait ainsi   : «   Sans préjudice des autres dispositions législatives applicables en matière d’échanges d’informations, le droit de communication défini à l’article L. 114-19 est exercé dans les conditions prévues et auprès des personnes mentionnées à la section 1 du chapitre   II du titre II du livre des procédures fiscales [ s’agissant notamment des opérateurs de communications électroniques et des prestataires d’accès à des services de communication au public en ligne, ainsi que des établissements bancaires ] à l’exception [de certaines personnes].   » 22 .     Le libellé dudit article, dans sa version applicable depuis le 23   décembre 2018, est identique à sa version initiale, si ce n’est que la liste des personnes auprès desquelles les agents de la Caf ne peuvent exercer de droit de communication a été élargie. 23 .     Les dispositions pertinentes de l’article L.   114-21 sont ainsi libellées   : «   L’organisme ayant usé du droit de communication en application de l’article   L.   114 ‑ 19   est tenu d’informer la personne (...) à l’encontre de laquelle est prise la décision de supprimer le service d’une prestation ou de mettre des sommes en recouvrement, de la teneur et de l’origine des informations et documents obtenus auprès de tiers sur lesquels il s’est fondé pour prendre cette décision. Il communique, avant la mise en recouvrement ou la suppression du service de la prestation, une copie des documents susmentionnés à la personne qui en fait la demande.   » La loi relative à l’informatique, aux fichiers et aux libertés 24.     La loi n o 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés (loi «   Informatique et libertés   ») a été plusieurs fois modifiée. En particulier, elle a été mise en conformité avec le règlement (UE) n o   2016/679 (paragraphe 35 ci-dessous) par la loi n o   2018-493 du 20 juin 2018. 25 .     Les dispositions pertinentes de la loi «   Informatique et libertés   » se lisent ainsi   : Article 2 «   La présente loi s’applique aux traitements automatisés en tout ou partie de données à caractère personnel, ainsi qu’aux traitements non automatisés de données à caractère personnel contenues ou appelées à figurer dans des fichiers (...). Constitue un fichier de données à caractère personnel tout ensemble structuré de données à caractère personnel accessibles selon des critères déterminés, que cet ensemble soit centralisé, décentralisé ou réparti de manière fonctionnelle ou géographique. Sauf dispositions contraires, dans le cadre de la présente loi s’appliquent les définitions de l’article 4 du règlement (UE) 2016/679 du 27 avril 2016.   » Article 4 «   Les données à caractère personnel doivent être   : 1 o Traitées de manière licite, loyale et, pour les traitements relevant du titre II [ régime de protection des données à caractère personnel prévu par le règlement (UE) 2016/679 ], transparente au regard de la personne concernée   ; 2 o Collectées pour des finalités déterminées, explicites et légitimes, et ne pas être traitées ultérieurement d’une manière incompatible avec ces finalités. (...)   ; 3 o Adéquates, pertinentes et, au regard des finalités pour lesquelles elles sont traitées, limitées à ce qui est nécessaire ou, pour les traitements relevant des titres III [ traitement des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales ] et IV [ traitements intéressant la sûreté de l’État et la défense ], non excessives   ; 4 o Exactes et, si nécessaire, tenues à jour. Toutes les mesures raisonnables doivent être prises pour que les données à caractère personnel qui sont inexactes, eu égard aux finalités pour lesquelles elles sont traitées, soient effacées ou rectifiées sans tarder   ; 5 o Conservées sous une forme permettant l’identification des personnes concernées pendant une durée n’excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées. (...)   ; 6 o Traitées de façon à garantir une sécurité appropriée des données à caractère personnel, y compris la protection contre le traitement non autorisé ou illicite et contre la perte, la destruction ou les dégâts d’origine accidentelle, ou l’accès par des personnes non autorisées, à l’aide de mesures techniques ou organisationnelles appropriées.   » Article 7 «   Un traitement de données à caractère personnel doit avoir reçu le consentement de la personne concernée (...), ou satisfaire à l’une des conditions suivantes   : (...) 3 o L’exécution d’une mission de service public dont est investi le responsable ou le destinataire du traitement ; (...).   » Article 27 [version en vigueur du 09 octobre 2016 au 25 mai 2018] [1] «   (...) II. - Sont autorisés par arrêté ou, en cas de traitement opéré pour le compte d’un établissement public ou d’une personne morale de droit privé gérant un service public, par décision de l’organe délibérant chargé de leur organisation, pris après avis motivé et publié de la Commission nationale de l’informatique et des libertés   : (...) 4 o Les traitements mis en œuvre par l’État ou les personnes morales (...) aux fins de mettre à la disposition des usagers de l’administration un ou plusieurs téléservices de l’administration électronique, si ces traitements portent sur des données parmi lesquelles figurent le numéro d’inscription des personnes au répertoire national d’identification ou tout autre identifiant des personnes physiques.   » Article 47 «   (...) Aucune décision produisant des effets juridiques à l’égard d’une personne ou l’affectant de manière significative ne peut être prise sur le seul fondement d’un traitement automatisé de données à caractère personnel, y compris le profilage, à l’exception   : (...) 2 o Des décisions administratives individuelles prises dans le respect de l’article   L.   311-3-1 (...) du code des relations entre le public et l’administration (...). Ces décisions comportent, à peine de nullité, la mention explicite prévue à l’article   L.   311 ‑ 3 ‑ 1 du code des relations entre le public et l’administration. Pour ces décisions, le responsable de traitement s’assure de la maîtrise du traitement algorithmique et de ses évolutions afin de pouvoir expliquer, en détail et sous une forme intelligible, à la personne concernée la manière dont le traitement a été mis en œuvre à son égard. (...)   » Le code des relations entre le public et l’administration 26.     Les dispositions pertinentes du code des relations entre le public et l’administration (CRPA) sont ainsi libellées   : Article L. 311-3-1 «   (...) une décision individuelle prise sur le fondement d’un traitement algorithmique comporte une mention explicite en informant l’intéressé. Les règles définissant ce traitement ainsi que les principales caractéristiques de sa mise en œuvre sont communiquées par l’administration à l’intéressé s’il en fait la demande.   » Article R. 311-3-1-1 «   La mention explicite prévue à l’article   L. 311-3-1 indique la finalité poursuivie par le traitement algorithmique. Elle rappelle le droit, garanti par cet article, d’obtenir la communication des règles définissant ce traitement et des principales caractéristiques de sa mise en œuvre, ainsi que les modalités d’exercice de ce droit à communication et de saisine, le cas échéant, de la commission d’accès aux documents administratifs, définies par le présent livre.   » La délibération de la CNIL, l’acte règlementaire du directeur de la Cnaf et les conditions générales d’utilisation du site web caf.fr 27 .     Par une délibération n o 2017-039 du 23 février 2017, la Commission nationale de l’informatique et des libertés (CNIL) a émis un Avis sur le projet de décision de la Cnaf relative au simulateur de droit au RSA et au téléservice de demande de RSA sur le site web caf.fr , en retenant les éléments suivants   : «   (...) Les finalités du traitement [des données personnelles] sont déterminées, explicites et légitimes dès lors que l’objet principal [du téléservice] est de permettre la réalisation d’une demande de RSA. (...) Les catégories de données [collectées dans le cadre des traitements mis en œuvre sur le site de la Cnaf] apparaissent adéquates, pertinentes et non excessives au regard de la finalité poursuivie par le responsable de traitement. (...) Les données enregistrées dans ce téléservice sont conservées pour une durée qui n’excède pas la durée nécessaire à la finalité pour laquelle elles sont collectées dès lors qu’elles sont supprimées lorsqu’elles sont transmises à l’outil de paiement des allocations et à l’outil d’instruction des demandes de RSA. (...) Les destinataires [du traitement, i.e. les Caf] présentent un intérêt légitime à accéder aux données du présent traitement, dans la limite de leurs attributions et sous réserve que les données effectivement accessibles présentent un lien direct et nécessaire avec leurs fonctions, dès lors qu’ils participent à la gestion du RSA. (...) Les personnes concernées [par le traitement] sont informées des mentions (...) de la loi du 6 janvier 1978 (...) notamment par les écrans du téléservice de demande du   RSA et le site web de la CNAF ». 28 .     Le 9 mars 2017, le directeur général de la Cnaf a adopté l’acte réglementaire relatif au site web caf.fr . Les dispositions pertinentes en sont libellées comme suit   : Article 1 «   La Caisse nationale des allocations familiales met à la disposition des usagers et des   Caf un site www. caf.fr dont l’objectif est d’améliorer le fonctionnement du service public. En plus d’un service d’informations générales et locales, le site offre des fonctionnalités interactives   : (...) - Téléservice   : demande de prestations gérées ou suivies par la branche Famille, signalement de tout changement à l’initiative de l’allocataire pour la gestion de son dossier, transmission des pièces justificatives dématérialisées.   » Article 2 «   Les catégories d’informations à caractère personnel traitées par le service sont les données nécessaires à la gestion de l’accès aux services proposés et les données relatives à l’accomplissement des démarches administratives, soit   : Les données à caractère personnel traitées par les fonctionnalités interactives et les téléservices proposées par le site www. caf.fr sont strictement nécessaires à la Cnaf et aux Caf pour rendre le service public dont elles ont la charge. Concernant spécifiquement les téléservices, les données traitées sont celles collectées dans le cadre des CERFA [documents administratifs réglementés par un arrêté qui fixe le modèle et qui permet d’obtenir des pièces administratives] correspondants. Les données traitées sont de quatre types   : (...) - Les données de connexion et les données techniques relatives aux traceurs et/ou témoins de connexion qui sont déposées sur l’ordinateur des personnes qui visitent le site web.   » Article 3 «   Les données ne sont conservées dans les téléservices mis en œuvre dans le site www. caf.fr que le temps nécessaire au transfert vers les traitements concernés. (...) S’agissant du téléservice de demande de RSA, une fois que les données ont été transmises par le téléservice aux autres applications (notamment l’outil Cristal – Conception relationnelle intégrée du système de traitement des allocations – qui est l’outil de paiement des allocations –, ou encore l’outil @Rsa), ces données ne figurent plus dans le téléservice. Cette transmission d’information est effectuée quotidiennement. Les informations ne sont alors conservées que dans les autres applications.   » Article 4 «   Ont accès aux données mentionnées à l’article 2 du présent acte réglementaire, dans la limite de leur besoin d’en connaître, les agents de la Cnaf, des Caf dont les missions le justifient, individuellement désignés et dûment habilités par le directeur de leur organisme. Les destinataires habilités à recevoir communication de ces données sont les usagers et allocataires du site.   » Article 7 «   Le droit d’accès prévu par (...) la loi n o 78-17 du 6 janvier 1978 modifiée s’exerce auprès du directeur de la Caf. Pour chaque téléservice, les internautes sont informés des finalités poursuivies, des données obligatoires et facultatives collectées pour rendre le service, des destinataires de ces données et des modalités pratiques pour utiliser la procédure alternative au téléservice. » 29 .     Le Gouvernement indique, sans être contesté par le requérant, que les conditions générales d’utilisation de l’Espace Mon Compte («   CGU   ») sont accessibles, sans authentification, sur la page «   Informatique et libertés   » du site web caf.fr . Les dispositions pertinentes des CGU se lisent ainsi   : Article 1 «   Chaque utilisateur doit prendre connaissance des présentes règles d’utilisation et les accepter pour pouvoir accéder à son espace numérique «   Mon Compte   ». En cochant la case proposée en fin de document, chaque utilisateur s’engage à respecter ces règles. En cas de modification desdites règles par la branche Famille, l’utilisateur doit à nouveau les valider pour continuer à accéder à son espace numérique. En refusant les règles d’utilisation de l’espace numérique «   Mon Compte   », l’utilisateur est informé qu’il ne peut plus accéder à ses données et aux services de «   Mon Compte   » disponible sur Caf.fr , l’application mobile Caf Mon Compte ou dans les espaces multiservices des Caf. À tout moment, l’utilisateur peut revenir sur son refus en accédant à l’Espace «   Mon Compte   » et en validant les règles d’utilisation (...)   » Article 5 «   La création et l’utilisation de l’espace numérique «   Mon Compte   » implique l’utilisation des données personnelles renseignées par l’utilisateur ou collectées auprès de tiers, couvertes à ce titre par les dispositions du RGPD et de la loi n o 78-17 du 6   janvier 1978 modifiée relative à l’informatique, aux fichiers et aux libertés. La Cnaf est responsable du traitement de ces données au sens de l’article 4.7 du   RGPD. À ce titre, elle s’engage à prendre toutes les précautions utiles au regard de la nature des données et des risques présentés par le traitement pour préserver la sécurité des données et, notamment, empêcher qu’elles soient déformées, endommagées ou que des personnes non autorisées y aient accès. (...) Aucune donnée de géolocalisation ne sera utilisée par la branche Famille pour un autre usage que ceux d’adapter le service attendu, de vérifier la condition de résidence, d’optimiser les modèles de contrôle et d’accès aux droits et de produire des statistiques de fréquentation du caf.fr . Aucune exploitation commerciale ou publicitaire, même partielle, des données recueillies ne sera effectuée par la Cnaf et les Caf. Un traitement de données personnelles est opéré par la Cnaf notamment pour vérifier, à partir d’informations issues de l’Espace Mon Compte, si l’usager réside sur le territoire français. Seuls les usagers résidant sur le territoire français peuvent bénéficier des prestations de la Caf. Ces informations restent internes à la branche Famille de la Sécurité sociale. Sur caf.fr , la rubrique «   Informatique et Libertés   » indique l’ensemble des informations relatives à la conformité des traitements de données à caractère personnel mis en œuvre par la Cnaf. En application de l’article 15 du RGPD et de l’article 49 de la loi n o 78-17 du 6   janvier 1978 modifiée, l’utilisateur bénéficie d’un droit d’accès (et de suite) aux informations qui le concernent. (...) Le traitement des données personnelles ainsi recueillies est réputé fondé sur le consentement ainsi obtenu par l’utilisateur.   » 30 .     A la date du 9 juillet 2024, le site web caf.fr comporte une page «   Informatique et libertés   », accessible sans authentification. En haut de la page, figure une énonciation, selon laquelle «   Pour remplir leurs missions, la Caisse nationale d’Allocations familiales et les caisses d’Allocations familiales disposent de moyens informatiques et mettent en œuvre des traitements de données à caractère personnel   ». La page contient les références (sous forme d’hyperliens) à la délibération de la CNIL et à l’acte réglementaire adopté en application de celle-ci (paragraphes 27 et 28 ci ‑ dessus). La présence, à l’époque pertinente pour la présente affaire, desdits hyperliens sur le site de la Caf n’est pas contestée par le requérant. La jurisprudence interne pertinente 31 .     Dans sa décision n o 2019-789 QPC   du 14 juin 2019 [Droit de communication des organismes de sécurité sociale], le Conseil constitutionnel s’est prononcé comme suit sur les dispositions de l’article   L.   114-20 du CSS dans sa version initiale (paragraphe 21 ci-dessus)   : «   8.   (...) [L]’article L. 114-20 du [CSS] étend à certains agents des organismes de sécurité sociale le droit de communication de certains documents et informations reconnu à l’administration fiscale. 9.   (...) [C]e droit de communication peut notamment s’exercer auprès des établissements bancaires afin d’obtenir d’eux, sans qu’ils puissent opposer le secret professionnel, les relevés de comptes et les autres documents bancaires relatifs au bénéficiaire d’une prestation sociale ou à son ayant droit ou à un cotisant. (...) [L]es agents des organismes de sécurité sociale disposent du droit de se faire communiquer les données de connexion détenues par les opérateurs de communications électroniques, les fournisseurs d’accès à un service de communication au public en ligne [2] ou les hébergeurs de contenu sur un tel service. La communication de telles données est de nature à porter atteinte au droit au respect de la vie privée de la personne intéressée. (...) 13.   (...) [L]a communication de données bancaires permet à titre principal aux organismes sociaux d’avoir connaissance des revenus, des dépenses et de la situation familiale de la personne objet de l’investigation. Elle présente un lien direct avec l’évaluation de la situation de l’intéressé au regard du droit à prestation ou de l’obligation de cotisation. 14.   Si ces données peuvent révéler des informations relatives aux circonstances dans lesquelles la personne a dépensé ou perçu ses revenus, l’atteinte ainsi portée au droit au respect de la vie privée n’est pas disproportionnée au regard de l’objectif poursuivi. Il résulte de ce qui précède que le législateur a assorti le droit de communication contesté de garanties propres à assurer, entre le respect de la vie privée et l’objectif de valeur constitutionnelle de lutte contre la fraude en matière de protection sociale, une conciliation qui n’est pas déséquilibrée. 15.   En revanche, compte tenu de leur nature et des traitements dont elles peuvent faire l’objet, les données de connexion fournissent sur les personnes en cause des informations nombreuses et précises, particulièrement attentatoires à leur vie privée. Par ailleurs, elles ne présentent pas de lien direct avec l’évaluation de la situation de l’intéressé au regard du droit à prestation (...). Dans ces conditions, le législateur n’a pas entouré la procédure prévue par les dispositions contestées de garanties propres à assurer une conciliation équilibrée entre le droit au respect de la vie privée et la lutte contre la fraude en matière de protection sociale. 16.   Par conséquent, l’article L. 114-20 du [CSS], qui concerne notamment les données bancaires et les données de connexion, doit être déclaré contraire à la Constitution. (...) 22.   La remise en cause des mesures prises sur le fondement des dispositions déclarées contraires à la Constitution méconnaîtrait l’objectif de valeur constitutionnelle de lutte contre la fraude en matière de protection sociale et aurait ainsi des conséquences manifestement excessives. Par suite, ces mesures ne peuvent être contestées sur le fondement de cette inconstitutionnalité.   » 32 .     Le Conseil constitutionnel a publié un commentaire officiel à sa décision, dont les parties pertinentes se lisent ainsi   : «   L’expression «   droit de communication   » désigne la faculté reconnue à certains organismes ou administrations d’exiger d’une personne ou de tiers la communication d’informations ou de documents qu’ils détiennent, nécessaires à l’exercice, par ces organismes ou administrations, de leurs missions. (...) Ce droit, qui recouvre en réalité un véritable pouvoir de réquisition en faveur de ces agents, a été directement puisé dans le répertoire des pouvoirs conférés aux services fiscaux pour le contrôle de l’impôt. Il concourt ainsi au contrôle du droit à prestation et à la découverte d’agissements frauduleux qui peuvent être constitutifs d’infractions pénales, ce qui le rapproche du pouvoir de réquisition dont disposent plus généralement les services de police judiciaire. Le droit de communication dont bénéficient les agents compétents des organismes de sécurité sociale s’étend par ailleurs aux données de connexion conservées par les opérateurs de télécommunication et les prestataires d’accès à internet (fournisseurs d’accès à internet et hébergeurs de contenu sur les réseaux de communications électroniques) (...). L’article L.   34-1 du code des postes et des communications électroniques (...) impose aux opérateurs de communications électroniques, et notamment aux personnes dont l’activité est d’offrir un accès à des services de communication au public en ligne, d’effacer ou de rendre anonyme toute donnée relative à une communication [3] dès que celle-ci est achevée. Ce même article prévoit toutefois un certain nombre d’exceptions à cette règle (conservation des données en cas d’enquête, conservation le temps nécessaire à la facturation ou au paiement, conservation avec le consentement de l’abonné, notamment pour bénéficier d’autres services). Le droit de communication prévu par les dispositions contestées peut ainsi porter sur ces catégories de données conservées, par exception, par ces différents opérateurs. Les données ainsi susceptibles d’être collectées sont donc les «   métadonnées   » de connexion, i.e. celles qui portent la trace d’une connexion ou d’un appel téléphonique, à l’exclusion du contenu de cet appel ou de cette connexion. Il peut s’agir du numéro d’abonnement de l’émetteur de l’appel ou de son destinataire, de la date ou de la durée de la correspondance, de la facture détaillée («   fadette   ») du premier ou bien encore de la localisation de l’utilisateur ou du terminal de communication. (...) S’agissant de la sensibilité des données, [le Conseil constitutionnel] a considéré que «   la communication de données bancaires permet à titre principal aux organismes sociaux d’avoir connaissance des revenus, des dépenses et de la situation familiale de la personne objet de l’investigation   » (paragr. 13). Sur la question de l’adéquation entre l’accès à ces données et la finalité poursuivie, le Conseil a observé que, ce faisant, leur communication «   présente un lien direct avec l’évaluation de la situation de l’intéressé au regard du droit à prestation ou de l’obligation de cotisation   » (même paragr.). Aussi, alors même que «   ces données peuvent révéler des informations relatives aux circonstances dans lesquelles la personne a dépensé ou perçu ses revenus   », ce qui leur confère une sensibilité accrue, le Conseil a considéré que l’atteinte ainsi portée au droit au respect de la vie privée n’était pas disproportionnée au regard de l’objectif poursuivi (paragr. 14). Dans ces conditions, il a jugé que le législateur avait assorti le droit de communication contesté «   de garanties propres à assurer, entre le respect de la vie privée et l’objectif de valeur constitutionnelle de lutte contre la fraude en matière de protection sociale, une conciliation qui n’est pas déséquilibrée   » (même paragr.). En revanche, et de façon prévisible au regard de sa jurisprudence antérieure, telle n’a pas été la position du Conseil constitutionnel concernant les données de connexion. (...) [L]e Conseil a en effet considéré que le législateur n’avait pas entouré, pour ces dernières, la procédure prévue par les dispositions contestées de garanties propres à assurer une conciliation équilibrée entre le droit au respect de la vie privée et la lutte contre la fraude en matière de protection sociale (paragr. 15). Si le raisonnement suivi en l’espèce est, sur le fond, similaire à celui qui avait guidé les précédentes décisions rendues à l’égard des données de connexion, il s’en distingue dans sa teneur dans la mesure où le Conseil a explicitement indiqué en quoi le recueil de ces données ne pouvait, compte tenu de leur nature et des traitements dont elles peuvent faire l’objet, être admis selon les mêmes conditions que les données bancaires collectées par les agents compétents des organismes de sécurité sociale. À la différence des données bancaires examinées plus haut, le Conseil a constaté que «   compte tenu de leur nature et des traitements dont elles peuvent faire l’objet   », les données de connexion fournissaient sur les personnes en cause «   des informations nombreuses et précises, particulièrement attentatoires à leur vie privée   » (même paragr.), ce qui en fait des données particulièrement sensibles. Il a également constaté qu’elles ne présentaient, par ailleurs, «   pas de lien direct avec l’évaluation de la situation de l’intéressé au regard du droit à prestation ou de l’obligation de cotisation   » (même paragr.)   : si l’accès à ces données peut être utile pour certaines enquêtes relatives à des faits de fraude, il ne l’est pas nécessairement dans l’exercice habituel du contrôle du droit à prestation ou de l’obligation de cotisation, contrairement à l’accès à des données bancaires retraçant les revenus sur lesquels se fondent ces derniers. Pour ces raisons, il a donc considéré que le législateur n’avait pas entouré la procédure prévue par les dispositions contestées de garanties propres à assurer une conciliation équilibrée entre le droit au respect de la vie privée et la lutte contre la fraude en matière de protection sociale.   » 33 .     Dans un arrêt du 3 novembre 2016 (n o   15-22.595), la Cour de cassation a considéré que les adresses IP, qui permettent d’identifier indirectement une personne physique, sont des données à caractère personnel, au sens de l’article 2 de la loi n o 78-17 du 6 janvier 1978 (paragraphe 25 ci ‑ dessus). Les dispositions et jurisprudences internationales pertinentes Le droit du Conseil de l’Europe 34 .     La Convention du Conseil de l’Europe pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel («   Convention 108   ») a été ratifiée par la France le 24 mars 1983 et est entrée en vigueur le 1 er octobre 1985. Ses dispositions pertinentes sont exposées dans l’arrêt L.B. c. Hongrie ([GC], n o 36345/16, § 42, 9 mars 2023). Le droit et la jurisprudence de l’Union Européenne 35 .     Le règlement (UE) n o 2016/679 du Parlement européen et du Conseil du   27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE, JO 2016 L 119, p. 1 (règlement général sur la protection des données, RGPD) est applicable depuis le 25   mai 2018. 36 .     Les dispositions pertinentes de ce règlement sont ainsi libellées   : Article 4 Définitions «   Aux fins du présent règlement, on entend par   : 1) «   données à caractère personnel   », toute information se rapportant à une personne physique identifiée ou identifiable (...)   ; est réputée être une «personne physique identifiable» une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale   ; 2) «   traitement   », toute opération ou tout ensemble d’opérations effectuées ou non à l’aide de procédés automatisés et appliquées à des données ou des ensembles de données à caractère personnel, telles que la collecte, l’enregistrement, l’organisation, la structuration, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, la limitation, l’effacement ou la destruction; (...) 4) «   profilage   », toute forme de traitement automatisé de données à caractère personnel consistant à utiliser ces données à caractère personnel pour évaluer certains aspects personnels relatifs à une personne physique, notamment pour analyser ou prédire des éléments concernant le rendement au travail, la situation économique, la santé, les préférences personnelles, les intérêts, la fiabilité, le comportement, la localisation ou les déplacements de cette personne physique   ;   » Article 6 Licéité du traitement «   1.     Le traitement n’est licite que si, et dans la mesure où, au moins une des conditions suivantes est remplie   : (...) e) le traitement est nécessaire à l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique dont est investi le responsable du traitement   ; (...) 3.     Le fondement du traitement visé au paragraphe 1, points c) et e), est défini par   : a) le droit de l’Union   ; ou b) le droit de l’État membre auquel le responsable du traitement est soumis. Les finalités du traitement sont définies dans cette base juridique ou, en ce qui concerne le traitement visé au paragraphe 1, point e), sont nécessaires à l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique dont est investi le responsable du traitement. Cette base juridique peut contenir des dispositions spécifiques pour adapter l’application des règles du présent règlement, entre autres   : les conditions générales régissant la licéité du traitement par le responsable du traitement   ; les types de données qui font l’objet du traitement   ; les personnes concernées; les entités auxquelles les données à caractère personnel peuvent être communiquées et les finalités pour lesquelles elles peuvent l’être   ; la limitation des finalités   ; les durées de conservation   ; et les opérations et procédures de traitement, y compris les mesures visant à garantir un traitement licite et loyal, telles que celles prévues dans d’autres situations particulières de traitement comme le prévoit le chapitre IX. Le droit de l’Union ou le droit des États membres répond à un objectif d’intérêt public et est proportionné à l’objectif légitime poursuivi.   » Article 22 DécisioCitations
Aucune citation répertoriée pour cette décision.
Décisions connexes
Aucune décision similaire identifiée pour le moment.
Synthèse
- Juridiction
- CEDH
- Chambre
- CASELAW;DECISIONS;ADMISSIBILITY;FRA;FRE
- Formation
- 23
- Date
- 5 novembre 2024
- Matière
- droits fondamentaux
Référence
ECLI:CE:ECHR:2024:1105DEC005231922
Données disponibles
- Texte intégral