Opérant un véritable revirement de jurisprudence, le Conseil d’Etat siégeant en Assemblée du Contentieux a, le 6 novembre 2002 (n° 194296, Mme Moon), posé une possibilité pour le citoyen d’accéder directement aux données le concernant auprès du gestionnaire du fichier, même si ce fichier intéresse la sécurité de l’Etat. Cette solution vient donc restreindre l’impact de l’article 39 de la loi du 6 janvier 1978 prévoyant une possibilité d’accès au travers de la Commission nationale de l’informatique et des libertés.
Aux termes de l’article 36 de la loi du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, "le titulaire du droit d’accès peut exiger que soient rectifiées, complétées, clarifiées, mises à jour ou effacées les informations le concernant et qui sont inexactes, incomplètes, équivoques, périmées ou dont la collecte et l’utilisation, la communication ou la conservation est interdite". Néanmoins, l’article 39 poursuit en indiquant qu’en "ce qui concerne les traitements intéressant la sûreté de l’Etat, la défense et la sécurité publique, la demande est adressée à la Commission qui désigne l’un de ses membres appartenant ou ayant appartenu au Conseil d’Etat, à la Cour de cassation ou à la Cour des comptes pour mener toutes investigations utiles et faire procéder aux modifications nécessaires. Celui-ci peut se faire assister d’un agent de la Commission. Il est notifié au requérant qu’il a été procédé aux vérifications".
De manière traditionnelle la conjugaison de ces deux textes impliquait que "l’accès aux fichiers administratifs intéressant la sûreté de l’Etat, la défense et la sécurité publique ne peut être exercé que par la voie d’une demande faite à la Commission nationale de l’informatique et des libertés" (Conseil d’Etat, Assemblée, 19 mai 1983, n° 40680, M. Bertin). En particulier, le juge estimait ainsi qu’un citoyen ne pouvait obtenir directement du ministre de l’intérieur les informations nominatives contenues dans les fichiers de la direction centrale des renseignements généraux du ministère de l’intérieur (Conseil d’Etat, 27 avril 1988, n° 75383, Mme Danielle Loschak). De même, les fichiers de la direction de la surveillance du territoire et de la direction générale de la sécurité extérieure étaient "au nombre des fichiers visés à [l’article 39] et ne pouvaient faire l’objet que du droit d’accès indirect prévu par cet article, sans que la commission nationale de l’informatique et des libertés dispose du droit de donner à l’intéressé communication des informations le concernant, quelles qu’elles soient" (Conseil d’Etat, 29 décembre 1997, n° 140325, M. Thorel).
En l’espèce, le litige portait sur les données figurant dans le système d’information Schengen (SIS) résultant de l’accord du 14 juin 1995. Ce système a vu le jour à la suite de l’ouverture des frontières entre certains pays de l’espace communautaire. Notamment, afin d’éviter qu’un demandeur d’asile puisse procéder à ces demandes dans différents, un système informatique a été constitué contenant, dans le but "de préserver l’ordre et la sécurité publics y compris la sûreté de l’Etat", le nom des personnes pour lesquels il y a un motif de non-admission sur le territoire de l’un des pays de l’espace Schengen. Une telle inscription a pour effet d’obliger tout pays Schengen de refuser un visa au demandeur.
La requérante s’était vue opposé lors de son transit à l’aéroport Roissy - Charles de Gaulle, une décision lui interdisant de poursuivre un voyage à destination de l’Espagne au motif qu’elle faisait l’objet d’un signalement aux fins de non admission dans le fichier du système d’information Schengen. Elle avait par la suite saisi la CNIL afin d’obtenir la communication voire la rectification ou l’effacement des informations la concernant au sein du SIS. Dans sa décision, la CNIL s’est uniquement bornée à l’informer qu’elle avait procédé aux vérifications imposées à l’article 39 de la loi de 1978. Elle décida de saisir la justice afin d’obtenir l’annulation de la décision de la CNIL au motif que cette dernière avait rejeté ses demandes supplémentaires de communication des données.
L’article 109 de la Convention Schengen prévoit que "le droit de toute personne d’accéder aux données la concernant qui sont intégrées dans le système d’information Schengen s’exerce dans le respect du droit de la partie contractante auprès de laquelle elle le fait valoir. Si le droit national le prévoit, l’autorité nationale de contrôle prévue à l’article 114 paragraphe 1 décide si des informations sont communiquées et selon quelles modalités". L’article 110 poursuit en prévoyant que "toute personne peut faire rectifier des données entachées d’erreur de fait la concernant ou faire effacer des données entachées d’erreur de droit la concernant". Pour cela, chaque intéressé peut saisir la juridiction ou l’autorité compétente d’une action en rectification, en effacement, en information ou en indemnisation.
Ainsi, alors que le droit national ne permet pas d’avoir une communication - mais une simple vérification - des données figurant dans un fichier intéressant la sécurité de l’Etat, la Convention Schengen offre aux citoyens signalés dans le SIS d’avoir accès à ces données afin de les faire rectifier voire effacer.
Le Conseil d’Etat a décidé de trancher et a ouvert une brèche dans les dispositions de l’article 39 de la loi du 6 janvier 1978. En effet, le juge administratif relève que "lorsqu’un traitement intéresse la sûreté de l’Etat, la défense ou la sécurité publique, il peut comprendre, d’une part, des informations dont la communication à l’intéressé serait susceptible de mettre en cause les fins assignées à ce traitement et, d’autre part, des informations dont la communication ne mettrait pas en cause ces mêmes fins, et notamment des décisions administratives ou juridictionnelles qui ont été ou auraient dû préalablement être communiquées à l’intéressé.
Ainsi, le juge opère une scission entre les données contenues dans le fichier. Pour les premières, il incomberait à la Commission nationale de l’informatique et des libertés, saisie par la personne visée par ces informations, de l’informer qu’il a été procédé aux vérifications nécessaires. Pour les secondes, il appartiendra au gestionnaire du traitement ou à la Commission nationale de l’informatique et des libertés, saisis par cette personne, de lui en donner communication, avec, pour la Commission, l’accord du gestionnaire du traitement.
En pratique, le Conseil d’Etat n’ayant pas la connaissance exacte du contenu du fichier a désiré faire l’objet de son pouvoir d’instruction et a demandé à la CNIL de lui fournir, "pour versement au dossier de l’instruction écrite contradictoire", tous les éléments utiles à la solution du litige et relatifs aux informations ainsi que l’explication des vérifications auxquelles la CNIL a procédé.
Cette solution opère donc une interprétation assez forte de l’article 39 de la loi du 6 janvier 1978. Ce n’est plus tellement la nature du traitement qui empêche la communication des données mais véritablement la nature des données dont la communication pourrait porter atteinte à la finalité et au but du traitement. Le gestionnaire, et la CNIL, devront donc porter une appréciation beaucoup plus minutieuse et sans doute plus protectrice pour les citoyens. (BT)
