Respect à la vie privée et conservation des empreintes digitales

Par cet arrêt « M. K c. France » du 18 avril 2013 (Req. 19522/09), la Cour Européenne des Droits de l’Homme (CEDH) est venue indiquer l’irrégularité des modalités de collecte et de conservation de certaines empreintes digitales telles que visées par le décret n°87-249 du 8 avril 1987 relative au fichier automatisé des empreintes digitales (FAED) géré par le Ministère de l’Intérieur, en se fondant sur l’article 8 de la Convention européenne des droits de l’homme relatif au droit au respect de la vie privée et familiale.

Dans les faits, le requérant avait fait l’objet de plusieurs enquêtes et procédures judiciaires pour vol. A cette occasion, ses empreintes digitales avaient été enregistrées au FAED. Sa culpabilité ne put être démontrée (CA Paris du 15 février 2005 pour vol de livre - relaxe, Procédure d’enquête de flagrance classée sans suite le 2 février 2006). Le requérant a donc demandé l’effacement de ses empreintes. Si l’effacement des prélèvements effectués lors de la première procédure fut effectué sans problème, le Procureur de la République fit valoir que « la conservation d’un exemplaire des empreintes du requérant se justifiait dans l’intérêt de celui-ci, en permettant d’exclure sa participation en cas de faits commis par un tiers usurpant son identité » (§ 12).

A la suite de ce rejet partiel de sa demande, il a allégué une atteinte à son droit au respect de la vie privée tout d’abord devant les instances nationales (Cass. crim. 1^er octobre 2008, N° de pourvoi: 07-87231, Inédit,rejet du pourvoi) puis devant la CEDH.

Dans cet arrêt, la Cour rappelle, tout d’abord, que la conservation, dans un fichier des autorités nationales, des empreintes digitales d’un individu identifié ou identifiable constitue une ingérence dans le droit au respect de la vie privée (§ 29). Celle-ci peut être considérée comme nécessaire dans une société démocratique si elle répond à un besoin social impérieux et est, notamment, proportionnée au but légitime poursuivi. Dans son § 35, la Cour rappelle le lien étroit existant entre la protection des données à caractère personnel et le respect de la vie privée et familiale : « La législation interne doit donc ménager des garanties appropriées pour empêcher toute utilisation de données à caractère personnel qui ne serait pas conforme aux garanties prévues dans cet article [article 8 de la Convention européenne des droits de l’homme] […]. Le droit interne doit notamment assurer que ces données soient pertinentes et non excessives par rapport aux finalités pour lesquelles elles sont enregistrées et qu’elles soient conservées sous une forme permettant l’identification des personnes concernées pendant une durée n’excédant pads celle nécessaire aux finalités pour lesquelles elles sont enregistrées. Il doit aussi contenir des garanties de nature à protéger efficacement les données à caractère personnel enregistrées contre les usages impropres et abusifs. ».

Ainsi, la Cour constate que la finalité du FAED a nécessairement pour résultat l’ajout et la conservation du plus grand nombre de noms possibles (§ 39). De plus, la Cour estime que retenir l’argument tiré d’une prétendue garantie de protection contre les agissements de tiers susceptibles d’usurper une identité reviendrait, en pratique, à justifier le fichage de l’intégralité de la population (§ 40).

La Cour considère que le FAED est susceptible d’englober de facto toutes les infractions, y compris les simples contraventions, dans l’hypothèse où cela permettrait d’identifier des auteurs de crimes et de délits (§ 41), ce qui s’applique pour des infractions mineures (vol de livres ici). De plus, le décret litigieux n’opère aucune distinction fondée sur l’existence ou non d’une condamnation par un tribunal voire même d’une poursuite par le Ministère public (§ 42).

En outre, le régime de conservation des empreintes n’est lui-même pas protecteur des intérêts des personnes visées – indûment – par le FAED. La Cour considère, par ailleurs, que l’effacement des données risque de se heurter aux intérêts contradictoires des services d’enquête et ne constitue donc qu’une garantie « théorique et illusoire » et non « concrète et effective ». De plus, elle constate que « si la conservation des informations insérées dans le fichier est limitée dans le temps, cette période d’archivage est de vingt cinq ans. […] une telle durée est en pratique assimilable à une conservation indéfinie […] » (§ 45).

Par conséquent, elle conclut que le régime de conservation des données en cause ne traduit pas un juste équilibre entre les intérêts publics et privés concurrents en jeu. Partant, elle estime que l’atteinte au droit du requérant au respect de sa vie privée est disproportionnée et qu’il y a violation de l’article 8 de la Convention.

Cet arrêt change quelque peu de ceux que le Cabinet a l’habitude de commenter. Il met en exergue le lien étroit existant entre protection des données à caractère personnel et respect de la vie privée ainsi que l’importance de clairement spécifier les finalités pour lesquels le traitement est établi (principe valable tant pour les Etats que pour les entreprises).

Mots clés : Vie privée – Données à caractère personnel – Empreinte digitale – Finalités