Conseil d'État
N° 317827
ECLI:FR:CEASS:2011:317827.20111026
Publié au recueil Lebon
Assemblée
M. Gilles Pellissier, rapporteur
M. Julien Boucher, rapporteur public
SCP THOUIN-PALAT, BOUCARD, avocats
Lecture du mercredi 26 octobre 2011
Vu 1°), sous le n° 317827, la requête et le mémoire complémentaire, enregistrés le 30 juin 2008 et le 22 juillet 2008 au secrétariat du contentieux du Conseil d'Etat, présentés pour l'ASSOCIATION POUR LA PROMOTION DE L'IMAGE, dont le siège est 43-45 rue de Naples à Paris (75008), la CONFEDERATION FRANCAISE DE LA PHOTOGRAPHIE, dont le siège est 121, rue Vieille du Temple à Paris (75003), la SOCIETE PHOTOMATON, dont le siège est 4, rue Croix Faron à Saint-Denis (93210), la SOCIETE STUDIO PHOTO ELISABETH SARL, dont le siège est 10 ter, rue d'Alger à Le Mans (72000), la SOCIETE DUKA SARL, dont le siège est 8, rue des Etuves à Montpellier (34000) ; l'ASSOCIATION POUR LA PROMOTION DE L'IMAGE et autres demandent au Conseil d'Etat :
1° d'annuler pour excès de pouvoir le décret n° 2008-426 du 30 avril 2008 modifiant le décret n° 2005-1726 du 30 décembre 2005 relatif aux passeports électroniques, ainsi que la circulaire n° INT/1/08/00105/C du 7 mai 2008 relative au choix des deux mille communes appelées à recevoir des stations d'enregistrement des données personnelles pour le nouveau passeport ;
2° de mettre à la charge de l'Etat la somme de 5 000 euros au titre de l'article L. 761-1 du code de justice administrative ;
Vu 2°), sous le n° 317952, la requête, enregistrée le 2 juillet 2008 au secrétariat du contentieux du Conseil d'Etat, présentée par M. I... M..., demeurant..., Mme B...H..., demeurant..., M. L... U..., demeurant..., rue de la Caravelle à Toulouse (31500), Mme J...D..., demeurant..., M. Q...T..., demeurant..., M. R...C..., demeurant..., M. V...W..., demeurant..., Mme G...F..., demeurant..., Mme S...O..., demeurant..., M. K...E..., demeurant..., ; M. M...et autres demandent au Conseil d'Etat d'annuler pour excès de pouvoir le décret n° 2008-426 du 30 avril 2008 modifiant le décret n° 2005-1726 du 30 décembre 2005 relatif aux passeports électroniques ;
....................................................................................
Vu 3°), sous le n° 318013, la requête, enregistrée le 4 juillet 2008 au secrétariat du contentieux du Conseil d'Etat, présentée par l'ASSOCIATION IMAGINONS UN RESEAU INTERNET SOLIDAIRE, dont le siège est 40, rue de la Justice à Paris (75020) et la LIGUE DES DROITS DE L'HOMME, dont le siège est 138, rue Marcadet à Paris (75018) ; l'ASSOCIATION IMAGINONS UN RESEAU INTERNET SOLIDAIRE et LA LIGUE DES DROITS DE L'HOMME demandent au Conseil d'Etat d'annuler pour excès de pouvoir le décret n° 2008-426 du 30 avril 2008 modifiant le décret n° 2005-1726 du 30 décembre 2005 relatif aux passeports électroniques ;
....................................................................................
Vu 4°), sous le n° 318051, la requête, enregistrée le 4 juillet 2008 au secrétariat du contentieux du Conseil d'Etat, présentée par M. P... X..., demeurant... ; M. X...demande au Conseil d'Etat d'annuler pour excès de pouvoir le décret n° 2008-426 du 30 avril 2008 modifiant le décret n° 2005-1726 du 30 décembre 2005 relatif aux passeports électroniques ;
....................................................................................
Vu les autres pièces des dossiers ;
Vu la Constitution, notamment son article 34 ;
Vu le traité instituant la Communauté européenne ;
Vu le traité sur l'Union européenne ;
Vu la convention européenne de sauvegarde des droits de l'homme et des libertés fondamentales, ainsi que son protocole additionnel n° 4 ;
Vu la convention relative aux droits de l'enfant signée à New York le 26 janvier 1990 ;
Vu le règlement CE n° 2252/2004 du 13 décembre 2004 ;
Vu le code général des collectivités territoriales ;
Vu la loi n° 78-17 du 6 janvier 1978, modifiée ;
Vu le décret n° 2005-850 du 27 juillet 2005 ;
Vu le décret n° 2005-1726 du 30 décembre 2005 ;
Vu le code de justice administrative ;
Vu les autres pièces du dossier ;
Vu le code de justice administrative ;
Après avoir entendu en séance publique :
- le rapport de M. Gilles Pellissier, Maître des requêtes-rapporteur ;
- les observations de la SCP Thouin-Palat, Boucard, avocat de l'ASSOCIATION POUR LA PROMOTION DE L'IMAGE et autres ;
- les conclusions de M. Julien Boucher, rapporteur public ;
La parole ayant été à nouveau donnée à la SCP Thouin-Palat, Boucard, avocat de l'ASSOCIATION POUR LA PROMOTION DE L'IMAGE et autres ;
Considérant que les requêtes visées ci-dessus sont dirigées contre les mêmes décisions ; qu'il y a lieu de les joindre pour statuer par une seule décision ;
Sur les conclusions tendant à l'annulation du décret du 30 avril 2008 :
En ce qui concerne la légalité externe :
S'agissant de la compétence du pouvoir réglementaire :
Considérant, en premier lieu, qu'aux termes de l'article 34 de la Constitution : " La loi fixe les règles concernant : les droits civiques et les garanties fondamentales accordées aux citoyens pour l'exercice des libertés publiques " ; qu'aux termes de l'article 4 du décret du 30 décembre 2005 que le décret attaqué modifie : " Le passeport est délivré, sans condition d'âge, à tout Français qui en fait la demande " ; que le décret attaqué qui ajoute le recueil, dans le composant électronique des passeports, de l'image numérisée des empreintes digitales de deux doigts et fixe la durée de validité des titres ainsi que leurs modalités de renouvellement, ne pose aucune condition à la délivrance de ceux-ci ; qu'il n'a, par conséquent, ni pour objet ni pour effet de fixer des règles relatives aux garanties fondamentales accordées aux citoyens pour l'exercice des libertés publiques ; que, par suite, les dispositions du décret attaqué relatives au passeport électronique pouvaient être adoptées par le pouvoir réglementaire sans méconnaître les dispositions précitées de l'article 34 de la Constitution ;
Considérant, en deuxième lieu, qu'aux termes de l'article 27 de la loi du 6 janvier 1978 : " I. - Sont autorisés par décret en Conseil d'Etat, pris après avis motivé et publié de la Commission nationale de l'informatique et des libertés : ... 2° Les traitements de données à caractère personnel mis en oeuvre pour le compte de l'Etat qui portent sur des données biométriques nécessaires à l'authentification des personnes physiques " ; qu'en application de ces dispositions, le pouvoir réglementaire était compétent pour créer, par le décret attaqué, pris en Conseil d'Etat, le traitement automatisé relatif à la délivrance des passeports ;
Considérant, en troisième lieu, que si en vertu des stipulations de l'article 8-2 de la convention européenne de sauvegarde des droits de l'homme et des libertés fondamentales et de l'article 2-3 de son quatrième protocole additionnel les restrictions apportées respectivement à la protection de la vie privée et à la liberté d'aller et venir doivent être " prévues par la loi ", ces mots doivent s'entendre des conditions prévues par des textes généraux, le cas échéant de valeur réglementaire, pris en conformité avec les dispositions constitutionnelles ; que les requérants ne sont, par suite et en tout état de cause, pas fondés à soutenir que ces stipulations faisaient obstacle à ce que le pouvoir réglementaire pût compétemment déterminer les modalités d'établissement des passeports et créer le traitement automatisé contenant les données relatives aux titulaires de ces documents ;
S'agissant de la régularité de la procédure suivie :
Considérant, en premier lieu, qu'aux termes de l'article 26 de la loi du 6 janvier 1978 " I. - Sont autorisés par arrêté du ou des ministres compétents, pris après avis motivé et publié de la Commission nationale de l'informatique et des libertés, les traitements de données à caractère personnel mis en oeuvre pour le compte de l'Etat et : 1° Qui intéressent la sûreté de l'Etat, la défense ou la sécurité publique ; (...) " ; qu'aux termes de l'article 27 de la même loi : " I. - Sont autorisés par décret en Conseil d'Etat, pris après avis motivé et publié de la Commission nationale de l'informatique et des libertés : (...) 2° Les traitements de données à caractère personnel mis en oeuvre pour le compte de l'Etat qui portent sur des données biométriques nécessaires à l'authentification ou au contrôle de l'identité des personnes. " ; qu'en prévoyant que les traitements qu'il vise sont autorisés par décret en Conseil d'Etat, pris après avis motivé et publié de la Commission nationale de l'informatique et des libertés (CNIL), l'article 27 assure des garanties supérieures à celles de l'article 26 ; que, par suite, dès lors qu'un traitement automatisé a été créé selon la procédure de l'article 27, la circonstance que l'une de ses caractéristiques soit mentionnée à l'article 26 est en tout état de cause sans incidence sur la régularité de sa création ; que, par suite, les associations requérantes ne peuvent utilement soutenir qu'en instituant le traitement " TES " suivant la procédure de l'article 27 alors que, selon elles, l'une de ses caractéristiques aurait pu le faire entrer dans le champ d'application de l'article 26, l'auteur du décret attaqué aurait commis un détournement de procédure ;
Considérant, en deuxième lieu, que si l'article 18 du décret du 20 octobre 2005 pris pour l'application de la loi du 6 janvier 1978 prévoit que " Les avis motivés de la commission émis en application des articles 26 et 27 de la loi du 6 janvier 1978 susvisée et les actes sur lesquels ils portent sont publiés à la même date par le responsable du traitement ", ces dispositions, qui sont relatives aux modalités de publication du décret, sont sans incidence sur sa légalité ; que, par suite, les requérants ne peuvent utilement soutenir que la circonstance, pour irrégulière qu'elle soit par elle-même, que l'avis de la CNIL aurait été publié quelques jours après le décret, entache ce dernier d'irrégularité ;
Considérant, en troisième et dernier lieu, que le moyen tiré de ce que la CNIL n'avait pu émettre son avis en toute connaissance de cause faute d'avoir " obtenu les éléments qui permettent de justifier la création de la banque de données dénommée " Delphine " ni les éléments permettant d'en assurer la sécurité " est en tout état de cause dépourvu de toute précision permettant d'en apprécier le bien fondé ;
En ce qui concerne la légalité interne :
S'agissant du moyen tiré de la violation du règlement (CE) n° 2252/2004 du 13 décembre 2004 :
Considérant, d'une part, qu'à la date à laquelle le décret attaqué a été pris, aucune disposition du Traité sur l'Union européenne ou du Traité instituant la Communauté européenne ne conférait à l'Union ou à la Communauté européenne une compétence exclusive pour fixer les règles relatives aux traitements automatisés de données à caractère personnel des citoyens des Etats membres ; que, d'autre part, il ressort clairement des dispositions du règlement du Conseil du 13 décembre 2004 établissant des normes pour les éléments de sécurité et les éléments biométriques intégrés dans les passeports et les documents de voyage délivrés par les Etats membres, que le décret attaqué a notamment pour objet d'appliquer, qu'il n'a pas pour objet de fixer les conditions auxquelles les Etats membres peuvent recueillir au sein de traitements automatisés les données à caractère personnel relatives à leur ressortissants ; que, par suite, la circonstance que ce règlement ne prévoie pas la création d'un traitement automatisé des données à caractère personnel figurant sur le passeport, n'interdit pas aux Etats membres de créer de tels fichiers ; que les moyens tirés de ce que les dispositions du décret attaqué relatives à ce fichier méconnaîtraient les dispositions de ce règlement ne peuvent donc qu'être écartés ;
S'agissant des moyens tirés de la méconnaissance des stipulations de l'article 8 de la convention européenne des droits de l'homme et des libertés fondamentales, de l'article 16 de la convention relative aux droits de l'enfant signée à New York le 26 janvier 1990 et des dispositions des articles 1er et 6-3° de la loi du 6 janvier 1978 ;
Considérant qu'aux termes de l'article 8 de la convention européenne de sauvegarde des droits de l'homme et des libertés fondamentales : " 1. Toute personne a droit au respect de sa vie privée et familiale, de son domicile et de sa correspondance. 2. Il ne peut y avoir ingérence d'une autorité publique dans l'exercice de ce droit que pour autant que cette ingérence est prévue par la loi et qu'elle constitue une mesure qui, dans une société démocratique, est nécessaire à la sécurité nationale, à la sûreté publique, au bien-être économique du pays, à la défense de l'ordre et à la prévention des infractions pénales, à la protection de la santé ou de la morale, ou à la protection des droits et libertés d'autrui " ; qu'aux termes de l'article 16 de la convention relative aux droits de l'enfant signée à New York le 26 janvier 1990 : " 1. Nul enfant ne fera l'objet d'immixtions arbitraires ou illégales dans sa vie privée, sa famille, son domicile ou sa correspondance, ni d'atteintes illégales à son honneur et à sa réputation. / 2. L'enfant a droit à la protection de la loi contre de telles immixtions ou de telles atteintes " ; qu'aux termes de l'article 1er de la loi du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés : " L'informatique doit être au service de chaque citoyen. Son développement doit s'opérer dans le cadre de la coopération internationale. Elle ne doit porter atteinte ni à l'identité humaine, ni aux droits de l'homme, ni à la vie privée, ni aux libertés individuelles ou publiques. " ; qu'aux termes de l'article 6 de la même loi : " Un traitement ne peut porter que sur des données à caractère personnel qui satisfont aux conditions suivantes : / (...) 3° Elles sont adéquates, pertinentes et non excessives au regard des finalités pour lesquelles elles sont collectées et de leurs traitements ultérieurs " ;
Considérant qu'il résulte de l'ensemble de ces dispositions que l'ingérence dans l'exercice du droit de toute personne au respect de sa vie privée que constituent la collecte, la conservation et le traitement, par une autorité publique, d'informations personnelles nominatives, ne peut être légalement autorisée que si elle répond à des finalités légitimes et que le choix, la collecte et le traitement des données sont effectués de manière adéquate et proportionnée au regard de ces finalités ;
Considérant que l'article 7 du décret attaqué autorise le ministre de l'intérieur à créer un système de traitement automatisé centralisé des données à caractère personnel recueillies auprès des personnes âgées d'au moins six ans, lors de l'établissement ou du renouvellement des passeports ; qu'il ressort tant des dispositions des articles 7 et 8 du décret attaqué que des écritures du ministre et du procès-verbal de l'audience d'instruction que ce traitement n'a pour finalité que de permettre l'instruction des demandes relatives à ces titres et de prévenir et détecter leur falsification et leur contrefaçon ; que l'article 8 du décret attaqué précise à cette fin que " le traitement ne comporte ni dispositif de reconnaissance faciale à partir de l'image numérisée du visage ni dispositif de recherche permettant l'identification à partir de l'image numérisée des empreintes digitales enregistrées dans ce traitement. " ; qu'en vertu de l'article 5 de ce décret, les données à caractère personnel recueillies à l'occasion de l'établissement du passeport et enregistrées dans le traitement automatisé sont, outre celles relatives à l'état civil du titulaire du passeport, l'image numérisée de son visage et celle des empreintes de huit de ses doigts ;
Considérant, en premier lieu, que, conformément à sa finalité d'authentification, l'accès à ce traitement ne peut se faire que par l'identité du porteur du passeport, à l'exclusion, en raison des modalités mêmes de fonctionnement du traitement, de toute recherche à partir des données biométriques elles-mêmes ; qu'il ressort des dispositions des articles 20 et suivants du décret du 30 décembre 2005, dans sa rédaction issue du décret attaqué, que seuls les personnels chargés de l'instruction des demandes de passeports sont destinataires des données contenues dans le traitement automatisé ; que les agents chargés des missions de recherche et de contrôle de l'identité des personnes au sein des services de la police nationale, de la gendarmerie nationale et des douanes - dont il ressort d'ailleurs des pièces du dossier, et notamment du procès-verbal de l'audience d'instruction, qu'ils ne peuvent, à ce jour, consulter directement les données à caractère personnel contenues dans le traitement - ne pourraient légalement y accéder qu'aux fins de vérifier, en cas de doute, la validité ou l'authenticité d'un passeport ; que si des agents chargés de la prévention et de la répression des actes de terrorisme ont également accès, sous certaines conditions, à ces données, l'article 9 du décret attaqué prévoit qu'ils ne pourront accéder aux images numérisées des empreintes digitales ; que, dans ces conditions, la consultation des empreintes digitales contenues dans le traitement informatisé ne peut servir qu'à confirmer que la personne présentant une demande de renouvellement d'un passeport est bien celle à laquelle le passeport a été initialement délivré ou à s'assurer de l'absence de falsification des données contenues dans le composant électronique du passeport ; qu'une telle finalité peut être atteinte de manière suffisamment efficace en comparant les empreintes figurant dans le composant électronique du passeport avec celles conservées dans le traitement, sans qu'il soit nécessaire que ce dernier en contienne davantage ; que si le ministre soutient que la conservation dans le traitement automatisé des empreintes digitales de huit doigts, alors que le composant électronique du passeport n'en contient que deux, permettrait de réduire significativement les risques d'erreurs d'identification, cette assertion générale n'a été ni justifiée par une description précise des modalités d'utilisation du traitement dans les productions du ministre, ni explicitée lors de l'audience d'instruction à laquelle il a été procédé ; que, par suite, l'utilité du recueil des empreintes de huit doigts et non des deux seuls figurant sur le passeport n'étant pas établie, la collecte et la conservation d'un plus grand nombre d'empreintes digitales que celles figurant dans le composant électronique ne sont ni adéquates, ni pertinentes et apparaissent excessives au regard des finalités du traitement informatisé ; qu'ainsi, les requérants sont fondés à soutenir que les mesures prescrites par le décret attaqué ne sont pas adaptées, nécessaires et proportionnées et à demander par suite l'annulation de l'article 5 de ce décret en tant qu'il prévoit la collecte et la conservation des empreintes digitales ne figurant pas dans le composant électronique du passeport ;
Considérant, en second lieu, d'une part, qu'il ressort des pièces du dossier, notamment des écritures non contestées du ministre sur ce point ainsi que du procès-verbal de l'audience d'instruction, que le traitement centralisé des données recueillies lors de l'établissement des passeports facilite les démarches des usagers, en ne les obligeant plus à déposer leur demande de renouvellement du titre auprès du bureau qui le leur a initialement délivré, renforce l'efficacité de la lutte contre la fraude documentaire, en faisant obstacle aux demandes déposées successivement auprès de bureaux différents et garantit une meilleure protection des données recueillies, en limitant le nombre de personnes y ayant accès ainsi que les manipulations dont elles pourraient faire l'objet ; que les finalités ainsi poursuivies sont au nombre de celles qui justifient qu'il puisse être porté, par la création d'un traitement centralisé de données à caractère personnel, atteinte au droit des individus au respect de leur vie privée ; qu'il ressort, d'autre part, des dispositions du décret attaqué que les données biométriques ne pourront être utilisées à d'autres fins que la gestion des demandes de passeports et la vérification de leur validité ; qu'ainsi qu'il a été dit ci-dessus, le traitement ne comportera ni dispositif de reconnaissance faciale à partir de l'image numérisée du visage ni dispositif de recherche permettant l'identification à partir de l'image numérisée des empreintes digitales enregistrées ; que les personnes ayant accès à ces données, aux seules fins d'authentification du titulaire du passeport, sont limitativement déterminées ; que l'interconnexion du système de traitement n'est prévue qu'avec les systèmes d'information Schengen et INTERPOL et ne porte que sur des informations non nominatives relatives aux numéros des passeports perdus ou volés, au pays émetteur et au caractère vierge ou personnalisé du document ; que la durée de conservation des données à caractère personnel est limitée à quinze ans lorsque le passeport est délivré à un majeur et à dix ans lorsqu'il est délivré à un mineur ; que le demandeur est informé des données nominatives qui ont été recueillies et peut exercer un droit de rectification ;
Considérant qu'il résulte de ce qui précède, que la collecte des images numérisées du visage et des empreintes digitales des titulaires de passeports âgés d'au moins six ans et la centralisation de leur traitement informatisé, compte tenu des restrictions et précautions dont ce traitement est assorti, est en adéquation avec les finalités légitimes du traitement ainsi institué et ne porte pas au droit des individus au respect de leur vie privée une atteinte disproportionnée aux buts de protection de l'ordre public en vue desquels il a été créé ; qu'il en va ainsi quel que soit l'âge des personnes, dès lors que la prise de deux empreintes, nécessaires à l'établissement d'un passeport personnel, ne porte aucune atteinte aux droits spécifiques des mineurs ; qu'enfin, les requérants ne peuvent utilement soutenir que le décret attaqué méconnaîtrait un avis du Comité national d'éthique, qui ne s'imposait pas au pouvoir réglementaire ;
S'agissant des moyens tirés de l'insuffisante sécurisation des données et de l'illégale interconnexion des fichiers :
Considérant, d'une part, qu'aux termes de l'article 34 de la loi du 6 janvier 1978 : " Le responsable du traitement est tenu de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu'elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès " ; que ces dispositions, qui sont relatives aux obligations du responsable du traitement dans le fonctionnement de ce dernier, ne peuvent être utilement invoquées à l'appui de conclusions dirigées contre l'acte portant création du traitement automatisé ;
Considérant, d'autre part, que les requérants ne peuvent davantage utilement soutenir que le traitement " TES " ne pourrait être régulièrement interconnecté avec les systèmes d'information Schengen et INTERPOL, dès lors que ces interconnexions ne résultent pas du décret attaqué mais du décret du 30 décembre 2005 ;
S'agissant des moyens tirés de la violation du principe de la liberté du commerce et de l'industrie et de l'atteinte à la libre concurrence :
Considérant qu'il résulte des dispositions de l'article 5 du décret attaqué, aux termes desquelles " A moins que le demandeur ne fournisse deux photographies d'identité de format 35 x 45 mm identiques, récentes et parfaitement ressemblantes, le représentant de face et tête nue, l'image numérisée de son visage est recueillie par la mise en oeuvre de dispositifs techniques appropriés ", que l'image numérisée du visage du demandeur qui ne fournit pas de photographies d'identité est recueillie par les services de l'administration lors de la demande de passeport ;
Considérant que les personnes publiques ont toujours la possibilité d'accomplir les missions de service public qui leur incombent par leurs propres moyens ; qu'il leur appartient en conséquence de déterminer si la satisfaction des besoins résultant des missions qui leur sont confiées appellent le recours aux prestations et fournitures de tiers plutôt que la réalisation, par elles-mêmes, de celles-ci ; que ni la liberté du commerce et de l'industrie, ni le droit de la concurrence ne font obstacle à ce qu'elles décident d'exercer elles-mêmes, dès lors qu'elles le font exclusivement à cette fin, les activités qui découlent de la satisfaction de ces besoins, alors même que cette décision est susceptible d'affecter les activités privées de même nature ; que, par suite, l'ASSOCIATION POUR LA PROMOTION DE L'IMAGE et autres ne peuvent utilement soutenir qu'en prévoyant la prise directe par les agents chargés de l'instruction de la demande de passeport d'une image numérisée du visage du demandeur qui ne fournirait pas des photographies d'identité, sans que cette opération donne lieu à la remise au demandeur de ces clichés, exclusivement destinés à la collecte des données devant figurer dans le composant électronique du passeport, lequel demeure la propriété de l'Etat qui le délivre, et dans le traitement automatisé, le décret attaqué aurait porté atteinte à la liberté du commerce et de l'industrie et au droit de la concurrence, quand bien même ce dispositif aurait pour conséquence de priver les professionnels de la photographie d'une partie de leur activité liée à la réalisation des photographies d'identité exigées pour l'établissement des passeports ;
S'agissant du moyen tiré de la méconnaissance de l'article L. 1611-11 du code général des collectivités territoriales :
Considérant qu'aux termes de l'article L. 1611-1 du code général des collectivités territoriales : " Aucune dépense à la charge de l'Etat ou d'un établissement public à caractère national ne peut être imposée directement ou indirectement aux collectivités territoriales ou à leurs groupements qu'en vertu de la loi " ;
Considérant que le décret attaqué n'a pas pour objet ni pour effet de mettre à la charge d'une collectivité territoriale une dépense à la charge de l'Etat ; que, par suite, les requérants ne peuvent utilement soutenir que le décret méconnaîtrait les dispositions précitées du code général des collectivités territoriales ;
Considérant qu'il résulte de tout ce qui précède que l'ASSOCIATION POUR LA PROMOTION DE L'IMAGE et autres, MM. M...et autres, qui n'établissent pas le détournement de pouvoir qu'ils allèguent, l'ASSOCIATION IMAGINONS UN RESEAU INTERNET SOLIDAIRE, LA LIGUE DES DROITS DE L'HOMME et M. X...ne sont fondés qu'à demander l'annulation de l'article 5 du décret en tant qu'il prévoit la collecte et la conservation des empreintes digitales des doigts ne figurant pas dans le composant électronique du passeport ;
Sur les conclusions tendant à l'annulation de la circulaire du ministre de l'intérieur :
Considérant, en premier lieu, que le ministre de l'intérieur était compétent, au titre de son pouvoir d'organisation des services, pour prévoir par circulaire que les demandes de délivrance de passeports pourraient être faites dans 2 000 communes et préfectures dans lesquelles seront installées, par l'Agence nationale des titres sécurisés, des stations d'enregistrement des données biométriques nécessaires à leur réalisation ;
Considérant, en deuxième lieu, qu'aux termes de l'article 1er du décret du 27 juillet 2005 relatif aux délégations de signature des membres du Gouvernement : " A compter du jour suivant la publication au Journal officiel de la République française de l'acte les nommant dans leurs fonctions ou à compter du jour où cet acte prend effet, si ce jour est postérieur, peuvent signer, au nom du ministre ou du secrétaire d'Etat et par délégation, l'ensemble des actes, à l'exception des décrets, relatifs aux affaires des services placés sous leur autorité : 1° Les secrétaires généraux des ministères, les directeurs d'administration centrale, les chefs des services à compétence nationale mentionnés au premier alinéa de l'article 2 du décret du 9 mai 1997 susvisé et les chefs des services que le décret d'organisation du ministère rattache directement au ministre ou au secrétaire d'Etat ; (...) " ; qu'ainsi, Mme Y...N..., qui avait été nommée, par décret du 20 juillet 2006, publié le 22 juillet, secrétaire générale du ministère de l'intérieur et de l'aménagement du territoire à compter du 28 août 2006, avait compétence pour signer la circulaire contestée ;
Considérant, en troisième et dernier lieu, qu'ainsi qu'il a été dit ci-dessus les requérants ne peuvent utilement soutenir que la mise en place d'un système de prise de vue de l'image numérisée du visage du demandeur de passeport par l'Etat porterait atteinte à la liberté du commerce et de l'industrie et au droit de la concurrence ;
Considérant qu'il résulte de ce qui précède, et sans qu'il soit besoin de statuer sur la fin de non recevoir opposée par le ministre de l'intérieur, de l'outre-mer et des collectivités territoriales, que les conclusions de l'ASSOCIATION POUR LA PROMOTION DE L'IMAGE et autres tendant à l'annulation de la circulaire du ministre de l'intérieur et de l'aménagement du territoire du 7 mai 2008 ne peuvent qu'être rejetées ;
Sur les conclusions de l'ASSOCIATION POUR LA PROMOTION DE L'IMAGE et autres tendant à l'application des dispositions de l'article L. 761-1 du code de justice administrative :
Considérant qu'il n'y a pas lieu, dans les circonstances de l'espèce, de faire droit aux conclusions présentées par l'ASSOCIATION POUR LA PROMOTION DE L'IMAGE et autres au titre des dispositions de l'article L. 761-1 du code de justice administrative ;
D E C I D E :
--------------
Article 1er : L'article 5 du décret du 30 avril 2008 est annulé en tant qu'il prévoit la collecte et la conservation des empreintes digitales ne figurant pas dans le composant électronique du passeport.
Article 2 : Le surplus des conclusions des requêtes de l'ASSOCIATION POUR LA PROMOTION DE L'IMAGE, de la CONFEDERATION FRANCAISE DE LA PHOTOGRAPHIE, de la SOCIETE PHOTOMATON, de la SARL STUDIO PHOTO ELISABETH, de la SARL DUKA, de MM. et A...M..., H..., U..., D..., T..., C..., W..., F..., O..., E..., de l'ASSOCIATION IMAGINONS UN RESEAU INTERNET SOLIDAIRE, de LA LIGUE DES DROITS DE L'HOMME et de M. X...est rejeté.
Article 3 : La présente décision sera notifiée à l'ASSOCIATION POUR LA PROMOTION DE L'IMAGE, premier requérant dénommé de la requête n° 317827, à M. I... M..., à Mme B...H..., à M. L...U..., à Mme J...D..., à M. Q...T..., à M. R...C..., à M. V...W..., à Mme G...F..., à Mme S...O..., à M. K...E..., à l'ASSOCIATION IMAGINONS UN RESEAU INTERNET SOLIDAIRE, à LA LIGUE DES DROITS DE L'HOMME, à M. P... X..., au Premier ministre, au ministre de l'intérieur, de l'outre-mer et des collectivités territoriales, et au ministre des affaires étrangères et européennes.
Les autres requérants de la requête n° 317827 seront informés de la présente décision par la SCP Thouin-Palat, Boucard, avocat au Conseil d'Etat et à la Cour de cassation, qui les représente devant le Conseil d'Etat.
N° 317827
ECLI:FR:CEASS:2011:317827.20111026
Publié au recueil Lebon
Assemblée
M. Gilles Pellissier, rapporteur
M. Julien Boucher, rapporteur public
SCP THOUIN-PALAT, BOUCARD, avocats
Lecture du mercredi 26 octobre 2011
REPUBLIQUE FRANCAISE
AU NOM DU PEUPLE FRANCAIS
AU NOM DU PEUPLE FRANCAIS
Vu 1°), sous le n° 317827, la requête et le mémoire complémentaire, enregistrés le 30 juin 2008 et le 22 juillet 2008 au secrétariat du contentieux du Conseil d'Etat, présentés pour l'ASSOCIATION POUR LA PROMOTION DE L'IMAGE, dont le siège est 43-45 rue de Naples à Paris (75008), la CONFEDERATION FRANCAISE DE LA PHOTOGRAPHIE, dont le siège est 121, rue Vieille du Temple à Paris (75003), la SOCIETE PHOTOMATON, dont le siège est 4, rue Croix Faron à Saint-Denis (93210), la SOCIETE STUDIO PHOTO ELISABETH SARL, dont le siège est 10 ter, rue d'Alger à Le Mans (72000), la SOCIETE DUKA SARL, dont le siège est 8, rue des Etuves à Montpellier (34000) ; l'ASSOCIATION POUR LA PROMOTION DE L'IMAGE et autres demandent au Conseil d'Etat :
1° d'annuler pour excès de pouvoir le décret n° 2008-426 du 30 avril 2008 modifiant le décret n° 2005-1726 du 30 décembre 2005 relatif aux passeports électroniques, ainsi que la circulaire n° INT/1/08/00105/C du 7 mai 2008 relative au choix des deux mille communes appelées à recevoir des stations d'enregistrement des données personnelles pour le nouveau passeport ;
2° de mettre à la charge de l'Etat la somme de 5 000 euros au titre de l'article L. 761-1 du code de justice administrative ;
Vu 2°), sous le n° 317952, la requête, enregistrée le 2 juillet 2008 au secrétariat du contentieux du Conseil d'Etat, présentée par M. I... M..., demeurant..., Mme B...H..., demeurant..., M. L... U..., demeurant..., rue de la Caravelle à Toulouse (31500), Mme J...D..., demeurant..., M. Q...T..., demeurant..., M. R...C..., demeurant..., M. V...W..., demeurant..., Mme G...F..., demeurant..., Mme S...O..., demeurant..., M. K...E..., demeurant..., ; M. M...et autres demandent au Conseil d'Etat d'annuler pour excès de pouvoir le décret n° 2008-426 du 30 avril 2008 modifiant le décret n° 2005-1726 du 30 décembre 2005 relatif aux passeports électroniques ;
....................................................................................
Vu 3°), sous le n° 318013, la requête, enregistrée le 4 juillet 2008 au secrétariat du contentieux du Conseil d'Etat, présentée par l'ASSOCIATION IMAGINONS UN RESEAU INTERNET SOLIDAIRE, dont le siège est 40, rue de la Justice à Paris (75020) et la LIGUE DES DROITS DE L'HOMME, dont le siège est 138, rue Marcadet à Paris (75018) ; l'ASSOCIATION IMAGINONS UN RESEAU INTERNET SOLIDAIRE et LA LIGUE DES DROITS DE L'HOMME demandent au Conseil d'Etat d'annuler pour excès de pouvoir le décret n° 2008-426 du 30 avril 2008 modifiant le décret n° 2005-1726 du 30 décembre 2005 relatif aux passeports électroniques ;
....................................................................................
Vu 4°), sous le n° 318051, la requête, enregistrée le 4 juillet 2008 au secrétariat du contentieux du Conseil d'Etat, présentée par M. P... X..., demeurant... ; M. X...demande au Conseil d'Etat d'annuler pour excès de pouvoir le décret n° 2008-426 du 30 avril 2008 modifiant le décret n° 2005-1726 du 30 décembre 2005 relatif aux passeports électroniques ;
....................................................................................
Vu les autres pièces des dossiers ;
Vu la Constitution, notamment son article 34 ;
Vu le traité instituant la Communauté européenne ;
Vu le traité sur l'Union européenne ;
Vu la convention européenne de sauvegarde des droits de l'homme et des libertés fondamentales, ainsi que son protocole additionnel n° 4 ;
Vu la convention relative aux droits de l'enfant signée à New York le 26 janvier 1990 ;
Vu le règlement CE n° 2252/2004 du 13 décembre 2004 ;
Vu le code général des collectivités territoriales ;
Vu la loi n° 78-17 du 6 janvier 1978, modifiée ;
Vu le décret n° 2005-850 du 27 juillet 2005 ;
Vu le décret n° 2005-1726 du 30 décembre 2005 ;
Vu le code de justice administrative ;
Vu les autres pièces du dossier ;
Vu le code de justice administrative ;
Après avoir entendu en séance publique :
- le rapport de M. Gilles Pellissier, Maître des requêtes-rapporteur ;
- les observations de la SCP Thouin-Palat, Boucard, avocat de l'ASSOCIATION POUR LA PROMOTION DE L'IMAGE et autres ;
- les conclusions de M. Julien Boucher, rapporteur public ;
La parole ayant été à nouveau donnée à la SCP Thouin-Palat, Boucard, avocat de l'ASSOCIATION POUR LA PROMOTION DE L'IMAGE et autres ;
Considérant que les requêtes visées ci-dessus sont dirigées contre les mêmes décisions ; qu'il y a lieu de les joindre pour statuer par une seule décision ;
Sur les conclusions tendant à l'annulation du décret du 30 avril 2008 :
En ce qui concerne la légalité externe :
S'agissant de la compétence du pouvoir réglementaire :
Considérant, en premier lieu, qu'aux termes de l'article 34 de la Constitution : " La loi fixe les règles concernant : les droits civiques et les garanties fondamentales accordées aux citoyens pour l'exercice des libertés publiques " ; qu'aux termes de l'article 4 du décret du 30 décembre 2005 que le décret attaqué modifie : " Le passeport est délivré, sans condition d'âge, à tout Français qui en fait la demande " ; que le décret attaqué qui ajoute le recueil, dans le composant électronique des passeports, de l'image numérisée des empreintes digitales de deux doigts et fixe la durée de validité des titres ainsi que leurs modalités de renouvellement, ne pose aucune condition à la délivrance de ceux-ci ; qu'il n'a, par conséquent, ni pour objet ni pour effet de fixer des règles relatives aux garanties fondamentales accordées aux citoyens pour l'exercice des libertés publiques ; que, par suite, les dispositions du décret attaqué relatives au passeport électronique pouvaient être adoptées par le pouvoir réglementaire sans méconnaître les dispositions précitées de l'article 34 de la Constitution ;
Considérant, en deuxième lieu, qu'aux termes de l'article 27 de la loi du 6 janvier 1978 : " I. - Sont autorisés par décret en Conseil d'Etat, pris après avis motivé et publié de la Commission nationale de l'informatique et des libertés : ... 2° Les traitements de données à caractère personnel mis en oeuvre pour le compte de l'Etat qui portent sur des données biométriques nécessaires à l'authentification des personnes physiques " ; qu'en application de ces dispositions, le pouvoir réglementaire était compétent pour créer, par le décret attaqué, pris en Conseil d'Etat, le traitement automatisé relatif à la délivrance des passeports ;
Considérant, en troisième lieu, que si en vertu des stipulations de l'article 8-2 de la convention européenne de sauvegarde des droits de l'homme et des libertés fondamentales et de l'article 2-3 de son quatrième protocole additionnel les restrictions apportées respectivement à la protection de la vie privée et à la liberté d'aller et venir doivent être " prévues par la loi ", ces mots doivent s'entendre des conditions prévues par des textes généraux, le cas échéant de valeur réglementaire, pris en conformité avec les dispositions constitutionnelles ; que les requérants ne sont, par suite et en tout état de cause, pas fondés à soutenir que ces stipulations faisaient obstacle à ce que le pouvoir réglementaire pût compétemment déterminer les modalités d'établissement des passeports et créer le traitement automatisé contenant les données relatives aux titulaires de ces documents ;
S'agissant de la régularité de la procédure suivie :
Considérant, en premier lieu, qu'aux termes de l'article 26 de la loi du 6 janvier 1978 " I. - Sont autorisés par arrêté du ou des ministres compétents, pris après avis motivé et publié de la Commission nationale de l'informatique et des libertés, les traitements de données à caractère personnel mis en oeuvre pour le compte de l'Etat et : 1° Qui intéressent la sûreté de l'Etat, la défense ou la sécurité publique ; (...) " ; qu'aux termes de l'article 27 de la même loi : " I. - Sont autorisés par décret en Conseil d'Etat, pris après avis motivé et publié de la Commission nationale de l'informatique et des libertés : (...) 2° Les traitements de données à caractère personnel mis en oeuvre pour le compte de l'Etat qui portent sur des données biométriques nécessaires à l'authentification ou au contrôle de l'identité des personnes. " ; qu'en prévoyant que les traitements qu'il vise sont autorisés par décret en Conseil d'Etat, pris après avis motivé et publié de la Commission nationale de l'informatique et des libertés (CNIL), l'article 27 assure des garanties supérieures à celles de l'article 26 ; que, par suite, dès lors qu'un traitement automatisé a été créé selon la procédure de l'article 27, la circonstance que l'une de ses caractéristiques soit mentionnée à l'article 26 est en tout état de cause sans incidence sur la régularité de sa création ; que, par suite, les associations requérantes ne peuvent utilement soutenir qu'en instituant le traitement " TES " suivant la procédure de l'article 27 alors que, selon elles, l'une de ses caractéristiques aurait pu le faire entrer dans le champ d'application de l'article 26, l'auteur du décret attaqué aurait commis un détournement de procédure ;
Considérant, en deuxième lieu, que si l'article 18 du décret du 20 octobre 2005 pris pour l'application de la loi du 6 janvier 1978 prévoit que " Les avis motivés de la commission émis en application des articles 26 et 27 de la loi du 6 janvier 1978 susvisée et les actes sur lesquels ils portent sont publiés à la même date par le responsable du traitement ", ces dispositions, qui sont relatives aux modalités de publication du décret, sont sans incidence sur sa légalité ; que, par suite, les requérants ne peuvent utilement soutenir que la circonstance, pour irrégulière qu'elle soit par elle-même, que l'avis de la CNIL aurait été publié quelques jours après le décret, entache ce dernier d'irrégularité ;
Considérant, en troisième et dernier lieu, que le moyen tiré de ce que la CNIL n'avait pu émettre son avis en toute connaissance de cause faute d'avoir " obtenu les éléments qui permettent de justifier la création de la banque de données dénommée " Delphine " ni les éléments permettant d'en assurer la sécurité " est en tout état de cause dépourvu de toute précision permettant d'en apprécier le bien fondé ;
En ce qui concerne la légalité interne :
S'agissant du moyen tiré de la violation du règlement (CE) n° 2252/2004 du 13 décembre 2004 :
Considérant, d'une part, qu'à la date à laquelle le décret attaqué a été pris, aucune disposition du Traité sur l'Union européenne ou du Traité instituant la Communauté européenne ne conférait à l'Union ou à la Communauté européenne une compétence exclusive pour fixer les règles relatives aux traitements automatisés de données à caractère personnel des citoyens des Etats membres ; que, d'autre part, il ressort clairement des dispositions du règlement du Conseil du 13 décembre 2004 établissant des normes pour les éléments de sécurité et les éléments biométriques intégrés dans les passeports et les documents de voyage délivrés par les Etats membres, que le décret attaqué a notamment pour objet d'appliquer, qu'il n'a pas pour objet de fixer les conditions auxquelles les Etats membres peuvent recueillir au sein de traitements automatisés les données à caractère personnel relatives à leur ressortissants ; que, par suite, la circonstance que ce règlement ne prévoie pas la création d'un traitement automatisé des données à caractère personnel figurant sur le passeport, n'interdit pas aux Etats membres de créer de tels fichiers ; que les moyens tirés de ce que les dispositions du décret attaqué relatives à ce fichier méconnaîtraient les dispositions de ce règlement ne peuvent donc qu'être écartés ;
S'agissant des moyens tirés de la méconnaissance des stipulations de l'article 8 de la convention européenne des droits de l'homme et des libertés fondamentales, de l'article 16 de la convention relative aux droits de l'enfant signée à New York le 26 janvier 1990 et des dispositions des articles 1er et 6-3° de la loi du 6 janvier 1978 ;
Considérant qu'aux termes de l'article 8 de la convention européenne de sauvegarde des droits de l'homme et des libertés fondamentales : " 1. Toute personne a droit au respect de sa vie privée et familiale, de son domicile et de sa correspondance. 2. Il ne peut y avoir ingérence d'une autorité publique dans l'exercice de ce droit que pour autant que cette ingérence est prévue par la loi et qu'elle constitue une mesure qui, dans une société démocratique, est nécessaire à la sécurité nationale, à la sûreté publique, au bien-être économique du pays, à la défense de l'ordre et à la prévention des infractions pénales, à la protection de la santé ou de la morale, ou à la protection des droits et libertés d'autrui " ; qu'aux termes de l'article 16 de la convention relative aux droits de l'enfant signée à New York le 26 janvier 1990 : " 1. Nul enfant ne fera l'objet d'immixtions arbitraires ou illégales dans sa vie privée, sa famille, son domicile ou sa correspondance, ni d'atteintes illégales à son honneur et à sa réputation. / 2. L'enfant a droit à la protection de la loi contre de telles immixtions ou de telles atteintes " ; qu'aux termes de l'article 1er de la loi du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés : " L'informatique doit être au service de chaque citoyen. Son développement doit s'opérer dans le cadre de la coopération internationale. Elle ne doit porter atteinte ni à l'identité humaine, ni aux droits de l'homme, ni à la vie privée, ni aux libertés individuelles ou publiques. " ; qu'aux termes de l'article 6 de la même loi : " Un traitement ne peut porter que sur des données à caractère personnel qui satisfont aux conditions suivantes : / (...) 3° Elles sont adéquates, pertinentes et non excessives au regard des finalités pour lesquelles elles sont collectées et de leurs traitements ultérieurs " ;
Considérant qu'il résulte de l'ensemble de ces dispositions que l'ingérence dans l'exercice du droit de toute personne au respect de sa vie privée que constituent la collecte, la conservation et le traitement, par une autorité publique, d'informations personnelles nominatives, ne peut être légalement autorisée que si elle répond à des finalités légitimes et que le choix, la collecte et le traitement des données sont effectués de manière adéquate et proportionnée au regard de ces finalités ;
Considérant que l'article 7 du décret attaqué autorise le ministre de l'intérieur à créer un système de traitement automatisé centralisé des données à caractère personnel recueillies auprès des personnes âgées d'au moins six ans, lors de l'établissement ou du renouvellement des passeports ; qu'il ressort tant des dispositions des articles 7 et 8 du décret attaqué que des écritures du ministre et du procès-verbal de l'audience d'instruction que ce traitement n'a pour finalité que de permettre l'instruction des demandes relatives à ces titres et de prévenir et détecter leur falsification et leur contrefaçon ; que l'article 8 du décret attaqué précise à cette fin que " le traitement ne comporte ni dispositif de reconnaissance faciale à partir de l'image numérisée du visage ni dispositif de recherche permettant l'identification à partir de l'image numérisée des empreintes digitales enregistrées dans ce traitement. " ; qu'en vertu de l'article 5 de ce décret, les données à caractère personnel recueillies à l'occasion de l'établissement du passeport et enregistrées dans le traitement automatisé sont, outre celles relatives à l'état civil du titulaire du passeport, l'image numérisée de son visage et celle des empreintes de huit de ses doigts ;
Considérant, en premier lieu, que, conformément à sa finalité d'authentification, l'accès à ce traitement ne peut se faire que par l'identité du porteur du passeport, à l'exclusion, en raison des modalités mêmes de fonctionnement du traitement, de toute recherche à partir des données biométriques elles-mêmes ; qu'il ressort des dispositions des articles 20 et suivants du décret du 30 décembre 2005, dans sa rédaction issue du décret attaqué, que seuls les personnels chargés de l'instruction des demandes de passeports sont destinataires des données contenues dans le traitement automatisé ; que les agents chargés des missions de recherche et de contrôle de l'identité des personnes au sein des services de la police nationale, de la gendarmerie nationale et des douanes - dont il ressort d'ailleurs des pièces du dossier, et notamment du procès-verbal de l'audience d'instruction, qu'ils ne peuvent, à ce jour, consulter directement les données à caractère personnel contenues dans le traitement - ne pourraient légalement y accéder qu'aux fins de vérifier, en cas de doute, la validité ou l'authenticité d'un passeport ; que si des agents chargés de la prévention et de la répression des actes de terrorisme ont également accès, sous certaines conditions, à ces données, l'article 9 du décret attaqué prévoit qu'ils ne pourront accéder aux images numérisées des empreintes digitales ; que, dans ces conditions, la consultation des empreintes digitales contenues dans le traitement informatisé ne peut servir qu'à confirmer que la personne présentant une demande de renouvellement d'un passeport est bien celle à laquelle le passeport a été initialement délivré ou à s'assurer de l'absence de falsification des données contenues dans le composant électronique du passeport ; qu'une telle finalité peut être atteinte de manière suffisamment efficace en comparant les empreintes figurant dans le composant électronique du passeport avec celles conservées dans le traitement, sans qu'il soit nécessaire que ce dernier en contienne davantage ; que si le ministre soutient que la conservation dans le traitement automatisé des empreintes digitales de huit doigts, alors que le composant électronique du passeport n'en contient que deux, permettrait de réduire significativement les risques d'erreurs d'identification, cette assertion générale n'a été ni justifiée par une description précise des modalités d'utilisation du traitement dans les productions du ministre, ni explicitée lors de l'audience d'instruction à laquelle il a été procédé ; que, par suite, l'utilité du recueil des empreintes de huit doigts et non des deux seuls figurant sur le passeport n'étant pas établie, la collecte et la conservation d'un plus grand nombre d'empreintes digitales que celles figurant dans le composant électronique ne sont ni adéquates, ni pertinentes et apparaissent excessives au regard des finalités du traitement informatisé ; qu'ainsi, les requérants sont fondés à soutenir que les mesures prescrites par le décret attaqué ne sont pas adaptées, nécessaires et proportionnées et à demander par suite l'annulation de l'article 5 de ce décret en tant qu'il prévoit la collecte et la conservation des empreintes digitales ne figurant pas dans le composant électronique du passeport ;
Considérant, en second lieu, d'une part, qu'il ressort des pièces du dossier, notamment des écritures non contestées du ministre sur ce point ainsi que du procès-verbal de l'audience d'instruction, que le traitement centralisé des données recueillies lors de l'établissement des passeports facilite les démarches des usagers, en ne les obligeant plus à déposer leur demande de renouvellement du titre auprès du bureau qui le leur a initialement délivré, renforce l'efficacité de la lutte contre la fraude documentaire, en faisant obstacle aux demandes déposées successivement auprès de bureaux différents et garantit une meilleure protection des données recueillies, en limitant le nombre de personnes y ayant accès ainsi que les manipulations dont elles pourraient faire l'objet ; que les finalités ainsi poursuivies sont au nombre de celles qui justifient qu'il puisse être porté, par la création d'un traitement centralisé de données à caractère personnel, atteinte au droit des individus au respect de leur vie privée ; qu'il ressort, d'autre part, des dispositions du décret attaqué que les données biométriques ne pourront être utilisées à d'autres fins que la gestion des demandes de passeports et la vérification de leur validité ; qu'ainsi qu'il a été dit ci-dessus, le traitement ne comportera ni dispositif de reconnaissance faciale à partir de l'image numérisée du visage ni dispositif de recherche permettant l'identification à partir de l'image numérisée des empreintes digitales enregistrées ; que les personnes ayant accès à ces données, aux seules fins d'authentification du titulaire du passeport, sont limitativement déterminées ; que l'interconnexion du système de traitement n'est prévue qu'avec les systèmes d'information Schengen et INTERPOL et ne porte que sur des informations non nominatives relatives aux numéros des passeports perdus ou volés, au pays émetteur et au caractère vierge ou personnalisé du document ; que la durée de conservation des données à caractère personnel est limitée à quinze ans lorsque le passeport est délivré à un majeur et à dix ans lorsqu'il est délivré à un mineur ; que le demandeur est informé des données nominatives qui ont été recueillies et peut exercer un droit de rectification ;
Considérant qu'il résulte de ce qui précède, que la collecte des images numérisées du visage et des empreintes digitales des titulaires de passeports âgés d'au moins six ans et la centralisation de leur traitement informatisé, compte tenu des restrictions et précautions dont ce traitement est assorti, est en adéquation avec les finalités légitimes du traitement ainsi institué et ne porte pas au droit des individus au respect de leur vie privée une atteinte disproportionnée aux buts de protection de l'ordre public en vue desquels il a été créé ; qu'il en va ainsi quel que soit l'âge des personnes, dès lors que la prise de deux empreintes, nécessaires à l'établissement d'un passeport personnel, ne porte aucune atteinte aux droits spécifiques des mineurs ; qu'enfin, les requérants ne peuvent utilement soutenir que le décret attaqué méconnaîtrait un avis du Comité national d'éthique, qui ne s'imposait pas au pouvoir réglementaire ;
S'agissant des moyens tirés de l'insuffisante sécurisation des données et de l'illégale interconnexion des fichiers :
Considérant, d'une part, qu'aux termes de l'article 34 de la loi du 6 janvier 1978 : " Le responsable du traitement est tenu de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu'elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès " ; que ces dispositions, qui sont relatives aux obligations du responsable du traitement dans le fonctionnement de ce dernier, ne peuvent être utilement invoquées à l'appui de conclusions dirigées contre l'acte portant création du traitement automatisé ;
Considérant, d'autre part, que les requérants ne peuvent davantage utilement soutenir que le traitement " TES " ne pourrait être régulièrement interconnecté avec les systèmes d'information Schengen et INTERPOL, dès lors que ces interconnexions ne résultent pas du décret attaqué mais du décret du 30 décembre 2005 ;
S'agissant des moyens tirés de la violation du principe de la liberté du commerce et de l'industrie et de l'atteinte à la libre concurrence :
Considérant qu'il résulte des dispositions de l'article 5 du décret attaqué, aux termes desquelles " A moins que le demandeur ne fournisse deux photographies d'identité de format 35 x 45 mm identiques, récentes et parfaitement ressemblantes, le représentant de face et tête nue, l'image numérisée de son visage est recueillie par la mise en oeuvre de dispositifs techniques appropriés ", que l'image numérisée du visage du demandeur qui ne fournit pas de photographies d'identité est recueillie par les services de l'administration lors de la demande de passeport ;
Considérant que les personnes publiques ont toujours la possibilité d'accomplir les missions de service public qui leur incombent par leurs propres moyens ; qu'il leur appartient en conséquence de déterminer si la satisfaction des besoins résultant des missions qui leur sont confiées appellent le recours aux prestations et fournitures de tiers plutôt que la réalisation, par elles-mêmes, de celles-ci ; que ni la liberté du commerce et de l'industrie, ni le droit de la concurrence ne font obstacle à ce qu'elles décident d'exercer elles-mêmes, dès lors qu'elles le font exclusivement à cette fin, les activités qui découlent de la satisfaction de ces besoins, alors même que cette décision est susceptible d'affecter les activités privées de même nature ; que, par suite, l'ASSOCIATION POUR LA PROMOTION DE L'IMAGE et autres ne peuvent utilement soutenir qu'en prévoyant la prise directe par les agents chargés de l'instruction de la demande de passeport d'une image numérisée du visage du demandeur qui ne fournirait pas des photographies d'identité, sans que cette opération donne lieu à la remise au demandeur de ces clichés, exclusivement destinés à la collecte des données devant figurer dans le composant électronique du passeport, lequel demeure la propriété de l'Etat qui le délivre, et dans le traitement automatisé, le décret attaqué aurait porté atteinte à la liberté du commerce et de l'industrie et au droit de la concurrence, quand bien même ce dispositif aurait pour conséquence de priver les professionnels de la photographie d'une partie de leur activité liée à la réalisation des photographies d'identité exigées pour l'établissement des passeports ;
S'agissant du moyen tiré de la méconnaissance de l'article L. 1611-11 du code général des collectivités territoriales :
Considérant qu'aux termes de l'article L. 1611-1 du code général des collectivités territoriales : " Aucune dépense à la charge de l'Etat ou d'un établissement public à caractère national ne peut être imposée directement ou indirectement aux collectivités territoriales ou à leurs groupements qu'en vertu de la loi " ;
Considérant que le décret attaqué n'a pas pour objet ni pour effet de mettre à la charge d'une collectivité territoriale une dépense à la charge de l'Etat ; que, par suite, les requérants ne peuvent utilement soutenir que le décret méconnaîtrait les dispositions précitées du code général des collectivités territoriales ;
Considérant qu'il résulte de tout ce qui précède que l'ASSOCIATION POUR LA PROMOTION DE L'IMAGE et autres, MM. M...et autres, qui n'établissent pas le détournement de pouvoir qu'ils allèguent, l'ASSOCIATION IMAGINONS UN RESEAU INTERNET SOLIDAIRE, LA LIGUE DES DROITS DE L'HOMME et M. X...ne sont fondés qu'à demander l'annulation de l'article 5 du décret en tant qu'il prévoit la collecte et la conservation des empreintes digitales des doigts ne figurant pas dans le composant électronique du passeport ;
Sur les conclusions tendant à l'annulation de la circulaire du ministre de l'intérieur :
Considérant, en premier lieu, que le ministre de l'intérieur était compétent, au titre de son pouvoir d'organisation des services, pour prévoir par circulaire que les demandes de délivrance de passeports pourraient être faites dans 2 000 communes et préfectures dans lesquelles seront installées, par l'Agence nationale des titres sécurisés, des stations d'enregistrement des données biométriques nécessaires à leur réalisation ;
Considérant, en deuxième lieu, qu'aux termes de l'article 1er du décret du 27 juillet 2005 relatif aux délégations de signature des membres du Gouvernement : " A compter du jour suivant la publication au Journal officiel de la République française de l'acte les nommant dans leurs fonctions ou à compter du jour où cet acte prend effet, si ce jour est postérieur, peuvent signer, au nom du ministre ou du secrétaire d'Etat et par délégation, l'ensemble des actes, à l'exception des décrets, relatifs aux affaires des services placés sous leur autorité : 1° Les secrétaires généraux des ministères, les directeurs d'administration centrale, les chefs des services à compétence nationale mentionnés au premier alinéa de l'article 2 du décret du 9 mai 1997 susvisé et les chefs des services que le décret d'organisation du ministère rattache directement au ministre ou au secrétaire d'Etat ; (...) " ; qu'ainsi, Mme Y...N..., qui avait été nommée, par décret du 20 juillet 2006, publié le 22 juillet, secrétaire générale du ministère de l'intérieur et de l'aménagement du territoire à compter du 28 août 2006, avait compétence pour signer la circulaire contestée ;
Considérant, en troisième et dernier lieu, qu'ainsi qu'il a été dit ci-dessus les requérants ne peuvent utilement soutenir que la mise en place d'un système de prise de vue de l'image numérisée du visage du demandeur de passeport par l'Etat porterait atteinte à la liberté du commerce et de l'industrie et au droit de la concurrence ;
Considérant qu'il résulte de ce qui précède, et sans qu'il soit besoin de statuer sur la fin de non recevoir opposée par le ministre de l'intérieur, de l'outre-mer et des collectivités territoriales, que les conclusions de l'ASSOCIATION POUR LA PROMOTION DE L'IMAGE et autres tendant à l'annulation de la circulaire du ministre de l'intérieur et de l'aménagement du territoire du 7 mai 2008 ne peuvent qu'être rejetées ;
Sur les conclusions de l'ASSOCIATION POUR LA PROMOTION DE L'IMAGE et autres tendant à l'application des dispositions de l'article L. 761-1 du code de justice administrative :
Considérant qu'il n'y a pas lieu, dans les circonstances de l'espèce, de faire droit aux conclusions présentées par l'ASSOCIATION POUR LA PROMOTION DE L'IMAGE et autres au titre des dispositions de l'article L. 761-1 du code de justice administrative ;
D E C I D E :
--------------
Article 1er : L'article 5 du décret du 30 avril 2008 est annulé en tant qu'il prévoit la collecte et la conservation des empreintes digitales ne figurant pas dans le composant électronique du passeport.
Article 2 : Le surplus des conclusions des requêtes de l'ASSOCIATION POUR LA PROMOTION DE L'IMAGE, de la CONFEDERATION FRANCAISE DE LA PHOTOGRAPHIE, de la SOCIETE PHOTOMATON, de la SARL STUDIO PHOTO ELISABETH, de la SARL DUKA, de MM. et A...M..., H..., U..., D..., T..., C..., W..., F..., O..., E..., de l'ASSOCIATION IMAGINONS UN RESEAU INTERNET SOLIDAIRE, de LA LIGUE DES DROITS DE L'HOMME et de M. X...est rejeté.
Article 3 : La présente décision sera notifiée à l'ASSOCIATION POUR LA PROMOTION DE L'IMAGE, premier requérant dénommé de la requête n° 317827, à M. I... M..., à Mme B...H..., à M. L...U..., à Mme J...D..., à M. Q...T..., à M. R...C..., à M. V...W..., à Mme G...F..., à Mme S...O..., à M. K...E..., à l'ASSOCIATION IMAGINONS UN RESEAU INTERNET SOLIDAIRE, à LA LIGUE DES DROITS DE L'HOMME, à M. P... X..., au Premier ministre, au ministre de l'intérieur, de l'outre-mer et des collectivités territoriales, et au ministre des affaires étrangères et européennes.
Les autres requérants de la requête n° 317827 seront informés de la présente décision par la SCP Thouin-Palat, Boucard, avocat au Conseil d'Etat et à la Cour de cassation, qui les représente devant le Conseil d'Etat.