Article extrait du Plein droit n° 110, octobre 2016
« #Étrangers_connectés »
Les étrangers ont-ils des données personnelles ?
Jean-Philippe Foegle
doctorant en droit public, université Paris Ouest Nanterre, Credof
Depuis les révélations d’Edward Snowden sur le programme de surveillance mené par la National Security Agency américaine et ses alliés, les débats internationaux sur la valeur de la vie privée font rage des deux côtés de l’Atlantique, davantage favorables à un contrôle accru des individus sur les usages de leurs données [1]. Ironie du sort, c’est à l’heure même où se renforce la valeur sociale de la protection des données personnelles que le droit des étrangers à protéger leurs données apparaît réduit à la portion congrue. En effet, d’Athènes à Paris, les politiques d’immigration et de sécurité semblent toutes tournées vers un même objectif : permettre les connexions et les échanges de données [2] pour catégoriser, suivre des étrangers aux fins de détecter « le véritable motif de voyage des individus dans un contexte de mobilité de plus en plus intense [3] ».
À cela, certes, rien de nouveau : la construction de la figure de l’étranger comme individu dangereux, comme « délinquant en puissance », est inhérente aux mécanismes de police des étrangers et aux représentations de l’ordre social qu’ils véhiculent [4]. Toutefois, comme le souligne judicieusement Meryem Marzouki, le développement exponentiel des techniques de fichage des étrangers ne découle pas uniquement d’une dérive sécuritaire, mais participe également d’une logique gestionnaire issue du management privé [5]. Ainsi, pour reprendre une grille d’analyse inspirée de celle des sociologues Luc Boltanski et Luc Thévenot, le fichage des étrangers fait appel à ses propres dispositifs ou « accommodements des choses [6] », fondés sur une philosophie inspirée des techniques managériales : l’efficacité des contrôles devient l’alpha et l’oméga de l’évaluation des politiques publiques. Or, une telle logique est radicalement incompatible avec les principes présidant au droit à la protection des données personnelles.
Conflit de logiques
Le droit à la protection des données personnelles présente une forte dimension civique, en ce qu’il ne protège pas tant des droits individuels qu’une valeur sociale : celle de préserver le droit des individus à prendre part à la vie publique tout en garantissant leur autonomie et leur liberté personnelle. Or, une telle philosophie s’oppose à toute démarche consistant à assigner aux individus une identité prédéterminée. Cette prohibition de la « stigmatisation » des individus structure tant le discours du législateur que celui des juges lorsque ceux-ci sont amenés à traiter de questions liées au fichage des individus. La Cour européenne des droits de l’Homme (Cour EDH) avait insisté, en 2008, sur le « risque de stigmatisation » des personnes dont les données biométriques sont conservées au-delà du strict nécessaire, notamment parce qu’une telle conservation accroît le risque de recoupement de données personnelles des individus et de profilage [7]. De même, en droit de l’Union, le rapport de la Commission des libertés civiles, de la justice et des affaires intérieures du 25 octobre 2004 sur le règlement dit « Passeport biométrique [8] » avait insisté sur le fait que « la création d’une base de données centralisée violerait les principes de finalité et de proportionnalité », et conduirait à accroître le risque d’abus et de dérapages [9]. De manière plus significative encore, s’agissant du « droit à l’oubli » numérique, la Cour de justice de l’Union européenne avait énoncé que l’internaute dispose d’un « droit à ce que l’information en question relative à sa personne ne soit plus [...] liée à son nom par une liste de résultats affichée à la suite d’une recherche effectuée à partir de son nom », même sans préjudice pour l’individu [10].
Force est néanmoins de constater que la nature même de la catégorie juridique d’étranger appuie largement les prétentions gestionnaires des administrations impliquées dans la conception des politiques sécuritaires. Comme le souligne Ségolène Barbou Des Places [11], les catégories d’étrangers sont « hétéro-définies » : contrôlées par l’État, elles conduisent à redéfinir la personne en lui attribuant une identité à son insu. Tout l’inverse du modus operandi du droit à la protection des données personnelles qui vise précisément à protéger les individus contre l’assignation d’identités définies par les pouvoirs publics. De plus, comme le rappelle Danièle Lochak, les lois sur l’immigration traduisent l’omniprésence des contrôles des étrangers au nom de l’« ordre public » et de la lutte contre la « fraude », l’image de l’étranger fraudeur et potentiellement dangereux que véhiculent ces lois permet de légitimer sa mise sous contrôle [12] et, partant, la systématisation du recueil de ses données dans tous les aspects de sa vie sociale. Les discours sécuritaires classiques et le discours gestionnaire se renforcent mutuellement : une fois admis le principe d’une suspicion permanente à l’égard des étrangers, le fait de rationaliser et d’améliorer l’efficacité des contrôles passe pour une mesure de bon sens !
Incohérences de l’Union européenne
Une brève étude des évolutions du droit positif en matière de fichage des étrangers depuis 2013 confirme que la rhétorique gestionnaire d’amélioration de l’efficacité des contrôles par le fichage réduit à néant la portée du discours des individus et des institutions en charge des libertés : les droits de l’Homme pèsent de moins en moins face aux lois d’airain de l’efficience gestionnaire, à moins qu’elles ne constituent une variable d’ajustement.
La Commission européenne a ainsi profité de l’effet d’aubaine que constitue la crise des réfugiés et de la réforme du système « Dublin » pour réactiver l’ancien projet d’une base de données unique en matière d’immigration et d’asile. Se fondant sur la nécessité de « faciliter les retours » et de permettre « d’identifier facilement un demandeur d’asile ou un ressortissant de pays tiers en situation irrégulière », elle a proposé un nouvel élargissement du système Eurodac, qui permet la collecte des données personnelles des demandeurs d’asile afin de stocker et de recouper un nombre plus important d’informations sur les étrangers en situation irrégulière dans l’UE. Une telle réforme permettra aux États membres d’enregistrer des données telles que le nom, la date de naissance, la nationalité, des éléments d’identification ou des documents de voyage, et l’image faciale. Les juridictions ne sont pas en reste dans ce mouvement d’extension de la collecte des données des étrangers. Dans les arrêts Schwartz de 2013 puis Willems de 2015, la Cour de justice de l’Union européenne a refusé, par un raisonnement dont le caractère spécieux a été souligné [13], de considérer que le droit de l’Union oblige les États membres à garantir que les données biométriques rassemblées pour la délivrance des passeports ne seront pas utilisées à d’autres fins, telles que la constitution de fichiers de police.
En clair, cette position de la Cour ouvre la voie à la constitution de bases de données biométriques par les États, en contradiction flagrante avec les principes présidant à la protection des données personnelles. Or, une lecture des arrêts éclairée par les conclusions de l’avocat général démontre que l’impératif de lutte efficace contre le risque migratoire a primé dans la position de la Cour. Les juges concluaient en effet que le règlement sur la délivrance des passeports biométriques poursuivait bien « un objectif d’intérêt général reconnu par l’Union », visant notamment à empêcher l’entrée illégale de personnes sur son territoire en prévenant la falsification des passeports et leur utilisation frauduleuse [14] car, selon l’avocat général, « il [n’est pas possible] d’exclure, de manière absolue, tout risque, y compris en termes d’utilisation frauduleuse et de contrefaçon [15] ». Dans ces deux arrêts, l’impératif de gestion efficace du risque migratoire a, par effet de contamination, conduit à affaiblir la protection dont bénéficient l’ensemble des personnes, étrangères ou non.
La France à l’écoute de ses étrangers
En France également, l’heure est à la multiplication des collectes de données des étrangers et à leur interconnexion. L’article 25 de la loi relative au droit des étrangers en France du 7 mars 2016, codifié à l’article L. 611-12 du Ceseda, participe de cette logique. La disposition est à envisager conjointement avec l’article 8 de la loi codifié à l’article L. 313-5-1 du Ceseda, qui permet aux préfectures de convoquer les étrangers titulaires d’un titre de séjour pluriannuel à des entretiens, afin de vérifier des éléments de leur situation et de procéder, le cas échéant, au retrait de leur titre de séjour pluriannuel. Cette disposition, qui introduit une logique de suspicion supplémentaire et fragilise considérablement le droit au séjour des étrangers, est, en quelque sorte, la « contrepartie » de la mise en place des titres de séjour pluriannuels. La « faveur » ainsi faite aux étrangers va de pair avec la possibilité d’un contrôle et d’une réévaluation permanents de leur situation administrative.
L’article L. 611-12 du Ceseda est le « frère jumeau » de l’article L. 313-5-1 puisque celui-ci permet aux préfectures d’exercer plus efficacement ces nouveaux contrôles en demandant communication aux administrations et personnes privées des données des étrangers pour vérifier la véracité de leurs déclarations et l’authenticité des pièces fournies.
Tel qu’il est actuellement rédigé, l’article instaure, en dérogation aux articles 6 et 39 de la loi relative à l’informatique, aux fichiers et aux libertés, un droit de communication pour les préfectures qui emporte obligation, pour les autorités et personnes privées énumérées dans le nouveau texte, de transmettre à l’administration les données qu’elles détiennent sur les étrangers suspects de fraude. Sont astreintes à cette obligation un nombre impressionnant d’autorités publiques et d’entreprises privées [16]. Alors que la rédaction initiale de l’article rendait possible un exercice systématique de ce droit de communication, l’article prévoit désormais explicitement que la communication des données intervient « sur demande de l’autorité administrative compétente, de manière ponctuelle et à titre gratuit ». De même, l’article prévoit désormais que les étrangers peuvent demander la rectification, la mise à jour ou l’effacement de leurs données « si elles sont inexactes, incomplètes ou périmées, ou si leur collecte, leur utilisation, leur communication ou leur conservation n’est pas compatible avec les finalités déterminées au premier alinéa du présent article ».
De prime abord, un tel droit de communication paraît contraire au droit de l’Union dans la mesure où les étrangers ne sont pas informés du transfert de leurs données vers les préfectures alors que le droit européen l’exige [17]. Toutefois, ici également, les impératifs d’efficacité des contrôles conduisent à réduire la portée des droits accordés aux étrangers. En effet, le droit de l’Union prévoit qu’une loi peut restreindre le droit d’information des personnes si une telle restriction est nécessaire à la poursuite d’un certain nombre d’intérêts légitimes des États, tels que la sûreté de l’État, la défense, la sécurité publique, la prévention et la répression des infractions pénales, ou encore une mission de contrôle, d’inspection ou de réglementation. Or, il n’est aucunement certain, au vu des évolutions en cours dans l’Union européenne, qu’au moins l’une des nombreuses exceptions au droit des personnes à la protection de leurs données ne soit opportunément invoquée pour justifier la restriction du droit des étrangers à l’information sur les usages de leurs données.
La thématique du droit des étrangers à protéger leurs données personnelles ne diffère pas sensiblement d’autres problématiques spécifiques au droit de l’immigration, si ce n’est par l’ampleur des atteintes aux droits des personnes que permet l’usage de technologies de surveillance toujours plus développées. La lecture croisée des principes présidant à la protection de la vie privée dans la société de l’information, d’une part, et du développement du fichage des étrangers, d’autre part, démontre néanmoins la fragilité de la condition civique des étrangers. En effet, pour reprendre une thèse introduite par le professeur Alan Westin, le caractère démocratique d’un régime politique ne se mesure pas tant à l’existence de procédures de représentation des citoyens qu’à la place accordée à la vie privée des individus. Là où les régimes démocratiques accordent aux citoyens un droit très large d’information sur les activités du gouvernement tout en préservant leur sphère d’intimité, les régimes autoritaires maintiendraient le secret sur leurs activités tout en exigeant des citoyens qu’ils révèlent des aspects toujours plus importants de leur vie privée [18].
En cela, la mise sous contrôle des étrangers ne constitue pas qu’une atteinte à leurs droits fondamentaux ? : elle contribue une fois de plus à saper les fragiles fondements de l’État de droit.
Notes
[1] Voir en ce sens : Jean-Philippe Foegle, « Chronique du droit "Post-Snowden" : La CJUE et la CEDH sonnent le glas de la surveillance de masse », La Revue des droits de l’homme, Actualités Droits-Libertés, 30 mars 2016.
[2] Sylvia Preuss-Laussinotte, « L’Union européenne et les technologies de sécurité », Cultures & Conflits, n° 64, hiver 2006, p. 97-108.
[3] Ayse Ceyhan, « Les technologies européennes de contrôle de l’immigration. Vers une gestion électronique des "personnes à risque" », Réseaux, n° 159, 2010, p. 131-150.
[4] Danièle Lochak, « L’image de l’étranger au prisme des lois sur l’immigration », in Figures de l’étranger, quelles représentations pour quelles politiques ?, Gisti, 2013.
[5] Meryem Marzouki, « Fichiers : logique sécuritaire, politique du chiffre ou impératif gestionnaire ? », Mouvements, 2010, n° 2, p. 85-98.
[6] Laurent Thévenot, « Les sciences économiques et sociales et le droit : quels biens reconnus, pour quelles évaluations ? », in Antoine Lyon-Caen et Adalberto Perulli (dir.), Efficacia e diritto del lavoro, Cedam, 2008, p. 80 et s.
[7] Cour EDH, Gr. Ch., 4 décembre 2008, S. et Marper c/Royaume-Uni, Req. n° 30562/04 et 30566/04. Voir sur cet arrêt : Sylvia Preuss-Laussinotte, « Données biométriques et libertés (CEDH, GC 4 déc. 2008, S. et Marper c/ Royaume-Uni) », Revue des Droits de l’Homme, Actualités Droits-Libertés, 8 décembre 2008.
[8] Règlement (CE) n° 2252/2004 du Conseil, du 13 décembre 2004, établissant des normes pour les éléments de sécurité et les éléments biométriques intégrés dans les passeports et les documents de voyage délivrés par les États membres (JO L 385, p. 1), tel que modifié par le règlement (CE) n° 444/2009 du Parlement européen et du Conseil, du 6 mai 2009.
[9] Parlement européen, Commission LIBE, « Biometrics at the Frontiers : Assessing the impact on Society », Strasbourg, 25 octobre 2005, doc EC-DG JRC-IPTS.
[10] CJUE, Gr. Ch., 13 mai 2014, Google Spain SL et Google Inc. c/Agencia Española de Protección de Datos et Mario Costeja González, Aff. C-131/12.
[11] Ségolène Barbou Des Places, « La catégorie en droit des étrangers : une technique au service d’une politique de contrôle des étrangers », Revue Asylon(s), n° 4, 2008.
[12] Danièle Lochak, op.cit., 2015.
[13] Steve Peers, « Biometric data and data protection law : the CJEU loses the plot », EU Law analysis, 17 avril 2015. Voir également : Eduardo Gil-Pedro, « Joined Cases C-446/12 – 449/12 Willems : The CJEU washes its hands of Member States’ fingerprint retention », EU Law Blog, 29 avril 2015.
[14] CJUE, 4e Ch., 17 octobre 2013, Michael Schwarz c/Stadt Bochum, Aff. C.291/12.
[15] Conclusions de l’avocat général Paolo Mengozzi présentées le 13 juin 2013, Michael Schwarz contre Stadt Bochum, Aff. C.291/12, § 56.
[16] Il s’agit des autorités dépositaires des actes d’état civil, des administrations chargées du travail et de l’emploi, des organismes de sécurité sociale, des établissements scolaires et d’enseignement supérieur, des fournisseurs d’énergie, de télécommunication et d’accès à internet, des établissements de soins publics et privés, des établissements bancaires et des organismes financiers et des greffes des tribunaux de commerce. Les documents et informations que ces autorités, administrations et entreprises privées doivent fournir sont détaillés à l’article 34 du projet de décret pris en application de la loi du 7 mars 2016.
[17] Jean-Philippe Foegle, « La CJUE encadre sévèrement les échanges de données entre administrations », La Revue des droits de l’homme, Actualités Droits-Libertés, 12 février 2016.
[18] Alan Westin, Privacy and Freedom, Atheneum, 1967.
Partager cette page ?