28 octobre 2024

L’encadrement des pouvoirs de collecte et de conservation des données personnelles attribués aux autorités policières fédérales. Remarques sur la décision de la Cour constitutionnelle allemande du 1er octobre 2024

Par Nikolaos Karmis

<b> L’encadrement des pouvoirs de collecte et de conservation des données personnelles attribués aux autorités policières fédérales. Remarques sur la décision de la Cour constitutionnelle allemande du 1er octobre 2024 </b></br></br> Par Nikolaos Karmis

La collecte et la conservation des données personnelles par les organes de la police criminelle présentent plusieurs défis en matière de protection des droits et libertés des individus. L’interrogation porte sur les garanties qui doivent être offertes par le législateur pendant la phase de collecte et de stockage des données personnelles. La Cour constitutionnelle allemande s’est penchée sur l’étendue des prérogatives conférées aux autorités de police fédérale.

 

Collecting and storing personal data by criminal police bodies poses numerous challenges for the protection of rights and freedoms of individuals. The focus lies on the guarantees that must be offered when data are collected and stored. The German Constitutional Court has examined the scope of these prerogatives conferred on federal police authorities.

 

Par Nikolaos Karmis, maître de conférences à l’Université Grenoble-Alpes, Centre d’études sur la sécurité internationale et les coopérations européennes (CESICE)

 

 

 

Le 1er octobre 2024, la première chambre de la Cour constitutionnelle allemande a rendu un arrêt portant sur plusieurs dispositions de la loi fédérale relative à l’Office fédéral de la police criminelle (Bundeskriminalamt)[1]. Cette autorité est chargée de coordonner la lutte contre le terrorisme, en étroite collaboration avec les autorités policières des États fédérés. Cette mission lui est confiée de manière explicite par la Loi fondamentale (LF).  En effet, en vertu de l’alinéa 9a du premier paragraphe de l’article 73 ajouté en 2006, la Fédération a la compétence de légiférer « en matière de prévention des dangers du terrorisme international par l’Office fédéral de police criminelle ». A la suite de cette révision constitutionnelle, de nouvelles prérogatives ont été attribuées à l’Office fédéral de police criminelle, instituée au départ par la loi du 8 mars 1951. La nouvelle version de la loi, entrée en vigueur le 1er janvier 2009, confiait à cette autorité divers pouvoirs d’enquête et de surveillance de caractère préventif, dont l’interception des télécommunications et la collecte des données personnelles par des moyens spéciaux. Cette version de la loi avait fait l’objet d’un premier recours devant la Cour constitutionnelle. Dans sa décision rendue le 20 avril 2016, la première chambre, tout en soulignant que la loi servait un objectif légitime et était nécessaire pour faire face aux dangers du terrorisme international, avait précisé que plusieurs dispositions portaient une atteinte disproportionnée à la vie privée[2]. La nouvelle version de la loi, élaborée à la suite de la première décision de 2016, et entrée en vigueur le 1er juin 2017[3], a fait l’objet d’un recours constitutionnel. La loi, dans sa version actuelle, prévoit la collecte et la sauvegarde de données pour plusieurs catégories de personnes, dont des individus en simple contact avec des personnes condamnées ou soupçonnées d’avoir commis des actes de terrorisme.

 

Dans sa décision du 1er octobre, la Cour s’est prononcée sur les conditions nécessaires pour la collecte des données personnelles de différentes catégories de personnes, ainsi que sur la possibilité de transfert de ces informations. Ces informations sont transmises dans une plateforme centrale des données, gérée techniquement par l’Office fédéral de la police criminelle, et à laquelle ont également accès les autorités policières des Länder. Il faut préciser que ces fichiers, comprenant des données à caractère personnel, sont externes à toute procédure pénale spécifique : ces fichiers sont élaborés à titre préventif par les autorités policières dans le cadre de la lutte contre le terrorisme[4].

 

Pour contrôler la conformité de la Loi dans sa version de 2017 avec la Loi fondamentale, la Cour s’est appuyée sur le droit à l’autodétermination informationnelle, créé de façon prétorienne en 1983[5]. Cette jurisprudence s’inscrit ainsi dans le sillage d’une série des décisions, faisant découler le droit subjectif de contrôle de la divulgation et de la communication des informations personnelles de l’association du principe de dignité humaine et du droit au libre épanouissement de la personnalité[6]

 

En l’espèce, la Cour a considéré que certaines dispositions de la loi constituent des atteintes disproportionnées au droit à l’autodétermination informationnelle, tant des personnes en contact avec des personnes suspectées d’avoir commis ou d’être en train de commettre des actes terroristes (I), que des personnes incriminées de tels actes (II). La Cour complète sa jurisprudence en se penchant de nouveau sur la nature juridique de la collecte et de la conservation des données et indique au législateur les imperfections à corriger (III).

 

 

I. La restriction de la prérogative de collecte des données des personnes en contact avec des terroristes

L’alinéa 4 du premier paragraphe de l’article 45 de la loi autorise l’Office de police criminelle fédéral à surveiller de manière très étendue de simples contacts des personnes soupçonnées d’être impliquées dans des activités terroristes. Cette disposition n’exige aucun élément de proximité individuelle spécifique entre les personnes concernées et le danger à élucider. Or, pour que l’ingérence dans le droit à l’autodétermination informationnelle des personnes de contact soit proportionnelle, le danger doit être probable, bien que non prévisible en détail.

 

En effet, la collecte de leurs données personnelles peut être justifiée, si les personnes de contact entretiennent une relation de proximité à « un danger au moins concrétisé pour un bien juridique suffisamment important »[7]. La notion de danger concret, classique dans la jurisprudence de Karlsruhe, présuppose un pronostic de probabilité fondé sur des faits qui autorise les autorités de police à intervenir de manière préventive pour recueillir et utiliser des données personnelles. En outre, la personne de contact doit être proche de ce danger de manière spécifique et individuelle. Des raisons spécifiques doivent ainsi justifier la collecte des données des personnes qui se trouvent dans l’entourage de personnes responsables ou suspectes d’être liées à des activités terroristes. En l’occurrence, cette condition de proximité ne figure pas parmi les dispositions de la loi : l’atteinte au droit à l’autodétermination informationnelle des tiers est en conséquence jugée non proportionnelle stricto sensu. La proximité avec la personne soupçonnée d’avoir commis ou d’être en mesure de commettre une infraction aurait dû constituer la condition nécessaire pour la licéité de la collecte des données des personnes de son entourage.

 

 

II. L’encadrement de la prérogative de stockage des données des incriminés

La première chambre a également posé des limites à la conservation des données à caractère personnel, considérant que la loi ne prévoit pas de « seuil de conservation suffisant ». La conservation des données personnelles, qui se distingue de la collecte, est justifiable au vu des spécificités liées à la nature ou à l’exécution d’une infraction, à des considérations portant sur la personnalité de l’auteur présumé ou à d’autres facteurs. La loi prévoit ainsi le stockage des données des personnes pour lesquelles des motifs réels existent concernant le danger de leur implication éventuelle dans des infractions futures. En revanche, la loi précise que seule la qualité d’« incriminé » permet la mise en œuvre du stockage des données d’une personne. En effet, la seule qualité d’incriminé suffisait jusqu’à présent à la conservation de données à caractère personnel en vue de la prévention et de la poursuite futures d’infractions. Néanmoins, le stockage des données constitue une pratique qui aggrave le degré d’intensité de l’ingérence surtout lorsque cette conservation n’est soumise à aucune limite temporelle. La Cour subordonne ainsi la décision de conserver les données des incriminés à un « pronostic négatif spécifique » (spezifische Negativprognose)[8]. Le lien de ces personnes avec l’infraction doit être en mesure d’être établi avec une « probabilité suffisante » (hinreichende Wahrscheinlichkeit) [9]. La seule qualité d’incriminé ne permet pas de conclure de manière fiable à une probabilité suffisante d’un lien pertinent avec des infractions futures. À défaut d’un tel « pronostic », la conservation des données peut constituer des actes d’ingérence dans le droit à l’autodétermination informationnelle. La Cour recourt à la notion de « seuil de sauvegarde » (Speicherschwelle)[10] pour faire référence aux conditions de stockage des données personnelles. Si aucune référence n’est faite aux traits de la personnalité de la personne ou à un danger concret, le « seuil de sauvegarde » n’est pas dépassé et par conséquent la conservation des données personnelles n’est pas licite. Etant donné que la sauvegarde et le transfert des données doivent être fondés sur des dangers concrets[11], c’est la possibilité d’esquisser un contexte de danger qui rend licite le stockage des données.

 

La décision de la Cour met en avant la complexité de la collecte et du stockage des données personnelles de plusieurs acteurs dans le cadre de la lutte contre le terrorisme menée par les organes de la police criminelle. La décision de la Cour distingue entre la phase de collecte et d’usage ultérieur des données personnelles. Il s’agit d’actes distincts qui obéissent à des finalités différentes. La collecte, le stockage et le transfert des données personnelles vers une autre autorité constituent des actes de violation du droit à l’autodétermination informationnelle et doivent être proportionnés par rapport à l’objectif poursuivi, à savoir la lutte contre le terrorisme. Le respect de la condition de proportionnalité serait en mesure de palier l’« asymétrie inhérente au rapport entre la liberté et la sécurité »[12].

 

 

III. La mise en lumière des imperfections de la loi par une jurisprudence conséquente

Cette décision s’inscrit dans le sillage de la décision de 2016 portant sur l’encadrement des pouvoirs de l’Office fédéral. Les deux décisions de la Cour portant sur des versions différentes de la même loi constituent des points de référence majeurs pour toute réflexion sur le statut de l’acte de collecte et d’enregistrement des informations personnelles. Dans sa décision du 1er octobre, la Cour incite le législateur à corriger les imperfections de la loi fédérale dans les délais impartis, à savoir jusqu’au 31 juillet 2025. Malgré ces imperfections constatées, la Cour ne cesse de souligner la nécessité d’existence d’un dispositif prévoyant des compétences étendues reconnues au profit de cette autorité dans le cadre de la lutte contre le terrorisme.

 

La Cour, assumant son rôle de législateur négatif, contribue ainsi à dissiper le brouillard conceptuel qui paraît s’attacher à la constitution des fichiers policiers à la suite de la collecte et du stockage des données portant sur leur dimension préventive ou répressive. La Cour veille ainsi à la protection des droits fondamentaux menacés par des règles en matière de sécurité, considérées être « le sismographe de l’évolution de la société et de la perception des menaces futures »[13].

 

 

 

[1]BVerfG, Décision du Premier Senat du 1er Oktober 2024- 1 BvR 1160/19 Pour une analyse v. S. J. Golla, « Aufräumen im Datenhaus, Die polizeiliche Datenspeicherung nach BVerfG, BKAG II », Verfassungsblog, 01 octobre 2024 ; J. Buchholz, « BKA-Gesetz ists teilweise verfassungswidrig », Legal tribunal online, 01 octobre 2024

[2] BVerfG, Décision du Premier Senat du 20 April 2016 – 1 BvR 966/09

[3] Gesetz über das Bundeskriminalamt und die Zusammenarbeit des Bundes und der Länder in kriminalpolizeilichen Angelegenheiten, 01 juin 2017.

[4] Idem, art. 5. Pour une analyse du régime juridique des fichiers de police en France v. Y. Nabat, Fichiers de police et de justice et libertés fondamentales, thèse, Université de Bordeaux, 2023.

[5] BVerfG, décision de la première chambre du 15 décembre 1983 – 1 BvR 209/83

[6] BVerfG, décision de la première chambre, 27 février 2008- 1 BvR 370/07; BVerfGE, décision de la première chambre, 2 mars 2010 – 1 BvR 263/08.

[7] 1 BvR 1160/19, pt. 105.

[8] Idem, pt. 195.

[9] Idem, pt. 211.

[10] Idem, pt. 195.

[11] N. Pieper, « Grundstrukturen des verfassungsrechtlichen Datenschutzes – Zum Schutz personenbezogener Daten durch die Grundrechte des Grundgesetzes bei Maßnahmen der Gefahrenabwehr », JA, 2018, pp. 598-605. V. aussi H. J. Papier, « Rechtsstaatlichkeit und Grundrechtsschutz in der digitalen Gesellschaft », NJW 2017, pp.3025 -3031.

[12] O. Lepsius, « Sicherheit und Freiheit –ein zunehmend asymmetrisches Verhältnis  », pp.23-54, dans G. F. Schuppert, W. Merkel, G. Nolte, Der Rechtstaat unter Bewährungsdruck, Nomos, 2010.

[13] K. F. Gärditz, « Sicherheitsrecht als Perspektive », Zeitschrift für das gesamte Sicherheitsrecht, 2017, n. 1, pp.1-6.

 

 

Crédit photo : Shahadat Rahman

Author: Nikolaos Karmis