Le décret 2020-1511: un respect du traitement des données à caractère personnel hésitant ?

Le 4 décembre 2020, un décret a modifié les articles R 236-11 à R 898-1 du Code de la sécurité intérieure concernant le traitement des données à caractère personnel dans une visée préventive et protectrice de la sécurité publique. Ce décret a été institué par le premier ministre. Un décret est un acte réglementaire ou individuel pris par le président de la République ou le premier ministre.

  • Quelles sont les modifications entreprises ? 

Les articles qui vont faire l’objet de cette étude sont les articles R 236-11 à R 236-13 du Code de la sécurité intérieure. La modification entraîne un changement drastique quant aux informations prélevées et à l’objectif poursuivi. Le changement le plus manifeste est l’insertion de l’expression « sûreté de l’Etat » concernant le traitement des informations. Cette expression a été ajoutée à de multiples reprises dans différents articles. 

Pour l’article R 236-11, avant la modification, les informations prélevées n’étaient que pour « la sécurité publique » et « les activités terroristes ou violences collectives ». Désormais, il est possible de traiter également les informations sur toute personne voulant porter atteinte à la sûreté de l’Etat. Ces données relatives à la sûreté de l’Etat sont définies comme étant « celles qui relèvent des activités susceptibles de porter atteinte aux intérêts fondamentaux de la Nation ou de constituer une menace terroriste portant atteinte à ces mêmes intérêts ». De plus, les personnes morales et les groupements sont visés par ces analyses et traitements de données à caractère personnel. 

L’article R 236-11 concerne les informations prélevées sur les personnes physiques. Dans l’ancien article R 236-11, il n’y avait que neuf éléments larges catégorisant les informations nécessaires au traitement des données. Désormais, il y a dix éléments mais détaillés avec précision. Ces informations concernent la personne physique, les relations entretenues par la personne physique et les victimes des agissements de la personne. Toutes ces données relèvent un lien direct à de potentielles atteintes à la sécurité publique ou la sûreté de l’Etat. 

Quant à l’article R 236-13, la modification relève d’un changement lexical. En effet, le terme « activités » a été remplacé par « conviction » et « opinion ». Par ailleurs, les données de santé démontrant « une dangerosité particulière » sont désormais introduites dans le traitement des données.  

  • Comment appréhender cette modification juridiquement ? 

Tout traitement de données à caractère personnel doit respecter les principes fondamentaux de l’article 6 du RGPD ou l’article 9 du RGPD concernant les données sensibles. 

Le traitement des données à caractère personnel n’est donc plus limité au terrorisme mais à toute potentielle atteinte à la Nation, sur la sécurité ou la sûreté publique. L’article R 236-11 introduit donc les intérêts fondamentaux de la Nation. Ils représentent « l’indépendance, l’intégrité de son territoire, de sa sécurité, de la forme républicaine, des moyens de sa défense et de sa diplomatie, de la sauvegarde de sa population en France et à l’étranger, de l’équilibre de son milieu naturel et de son environnement et des éléments essentiels de son potentiel scientifique et économique de son patrimoine culturel » (article 410-1 du Code pénal). Le décret introduit une extension de la protection et de la prévention nationale sur toutes les atteintes. 

Cet article délimite les finalités entreprises par le traitement des données. Le but est la protection de la sécurité publique au regard de la sûreté de l’Etat et des attaques terroristes ou des violences collectives. Néanmoins, le traitement exclut les fins préventives. Or, dans ce cas, le traitement des données relève d’une éventuelle atteinte, soit l’établissement d’une prévention. Il introduit une probabilité et non une certitude sur la finalité imposée par le RGPD. 

L’article R 236-12 apporte une précision des informations générées sur les personnes physiques. L’ancien article R 236-12 avait des catégories larges et floues telles que « signes physiques particuliers et objectifs » ou « activités publiques, comportement et déplacements ». Ces catégories pouvaient englober tout type d’information. Désormais, le décret 2020-1511 a apporté un encadrement déterminé et exact des informations voulues afin de prévenir toute potentielle atteinte. Il permet d’éliminer les élargissements de données prélevées. Cet encadrement permet de savoir à l’avance et spécifiquement les données voulues. 

Néanmoins, des interrogations subsistent quant à la pertinence et l’objectivité des données considérées. Le RGPD insiste sur le principe de proportionnalité des données, c’est-à-dire que les données doivent être strictement nécessaires au but poursuivi, et il exclut toute collecte d’informations utile a posteriori. En effet, concernant les données extraites, il y a les « pratiques sportives », « comportement et habitudes de vie » ou encore la « détention d’animaux dangereux ». En quoi une pratique sportive peut-elle déterminer exactement la possibilité pour une personne physique ou morale de porter atteinte à la Nation ? 

Quant à l’article R 236-13, les modifications apportées amènent à des interrogations par rapport au RGPD. Les données prélevées concernent les « opinions politiques, les convictions philosophiques, religieuses » ainsi que « les données de santé ». Les opinions et les convictions sont des avis et des croyances. Elles sont propres aux individus. Selon l’article 9 du RGPD, leur traitement devrait être interdit.  Quand bien même des exceptions existent à cette interdiction, les données mentionnées n’en respectent aucune. En effet, les exceptions sont : un consentement explicite de la personne concernée, une nécessité de traitement en droit du travail, sur la sécurité sociale et la protection sociale ou pour la sauvegarde pour des intérêts de la personne concernée. Or, ce traitement des données concerne la sécurité publique. Il ne figure dans aucune des catégories autorisées. Seul pourrait perdurer le traitement des données concernant la santé, selon l’article 44 de la loi Informatique et Libertés de 1978. Les données de santé peuvent être traitées en cas d’intérêt public. L’Etat pourrait donc s’en prévaloir dans un objectif sécuritaire. Néanmoins, le traitement des données sur la religion et la politique reste caduc, n’entrant dans aucun des champs autorisés exceptionnellement. Par ailleurs, ces données ne relèveraient pas de l’exactitude nécessaire à leur prélèvement, selon le RGPD. 

  • Comment va se dérouler la mise en place de la collecte de données ? 

De multiples questions subsistent sur la collecte des données. La multitude des informations prélevées entraine-t-elle la possibilité certaine de déterminer qu’une personne peut porter atteinte à l’Etat ? Est-ce que des données à caractère personnel vont être prélevées sur chaque personne physique pour évaluer si elle est ou non potentiellement une menace ? Les informations prélevées seront-elles toutes conservées pendant une durée de dix ans, durée légale pour les personnes de plus de treize ans, en cas de possibles évolutions de la personne ? Est-il nécessaire de collecter toutes les informations mentionnées dans l’article R 236-11 avant de pouvoir considérer qu’une personne physique ou morale peut être susceptible de porter atteinte à la sécurité ou à la sûreté publique ? Existe-t-il un profil précis pouvant réduire les potentielles atteintes à la Nation ?

Par ailleurs, la prise en considération de nombreux éléments appelle une part de subjectivité. Nous pouvons nous intéresser à la manière dont les services compétents disposeront ces éléments objectivement. Toute donnée prélevée se doit d’être exacte. 

Dès lors, l’introduction du décret 2020-1511 sur le traitement des données à caractère personnel octroie un cadrage juridique à ces données, qui les protège de toute dérive. Néanmoins, des incertitudes sont présentes pour leurs prélèvements et leurs considérations. 


Alexia RIVAUD

M2 Cyberjustice – Promotion 2020/2021

Source :

Décret n° 2020-1511 du 2 décembre 2020 modifiant les dispositions du code de la sécurité intérieure relatives au traitement de données à caractère personnel dénommé « Prévention des atteintes à la sécurité publique » – Légifrance (legifrance.gouv.fr)

Section 2 : Traitement de données à caractère personnel dénommé « Prévention des atteintes à la sécurité publique » (Articles R236-11 à R236-20) – Légifrance (legifrance.gouv.fr)

Modification des dispositions du code de la sécurité intérieure relatives au traitement de données à caractère personnel – Décisions en référé du 4 janvier 2020 (conseil-etat.fr)

https://eur-lex.europa.eu/legal-content/FR/TXT/PDF/?uri=CELEX:32016R0679

Laisser un commentaire