CINQUIÈME SECTION

DÉCISION

Requêtes nos 3866/20 et 9292/20
L.F. contre
la France

La Cour européenne des droits de l’homme (cinquième section), siégeant le 13 février 2024 en une Chambre composée de :

 Georges Ravarani, président,
 Lado Chanturia,
 Carlo Ranzoni,
 Mārtiņš Mits,
 Stéphanie Mourou-Vikström,
 Mattias Guyomar,
 Mykola Gnatovskyy, juges,

et de Victor Soloveytchik, greffier de section,

Vu les requêtes susmentionnées introduites le 8 janvier 2020 et le 11 février 2020,

Après en avoir délibéré, rend la décision suivante :

introduction

1.  Les requêtes concernent l’utilisation au cours d’une procédure pénale des données personnelles de la requérante en sa qualité de victime, enregistrées dans un logiciel développé par le ministère de la Justice nommé « Cassiopée » (requête no 9292/20) ainsi que l’absence de procédure permettant d’obtenir l’effacement anticipé de ces données en droit interne (requête no 3866/20). La requérante dénonce une violation de son droit au respect de sa vie privée au sens de l’article 8 de la Convention.

EN FAIT

2.  La requérante, L.F., est une ressortissante française née en 1980 et résidant à Paris. Dans le cadre de la requête no 9292/20, elle a été représentée devant la Cour par Me C. Nouzha, avocat à Strasbourg.

3.  Les faits de l’espèce, tels qu’ils ont été exposés par la requérante, se présentent de la manière suivante.

1. Requête no 9292/20

4.  Le 21 décembre 2001, la requérante déposa plainte pour des faits d’agression sexuelle subis en août 2001. Évoquant à cette occasion des faits plus anciens, elle dénonça à l’encontre d’un autre individu, D.H., un viol subi en juillet 1998, alors qu’elle était âgée de 17 ans. Interrogé par les enquêteurs, ce dernier reconnut avoir eu une relation sexuelle consentie avec la requérante le jour des faits. Ces plaintes furent classées sans suite par le ministère public en 2002 et 2005. En 2014, la requérante déposa une plainte avec constitution de partie civile pour dénoncer ces mêmes faits de viol. Une procédure d’information judiciaire fut ouverte de ce chef et D.H. fut placé sous le statut de témoin assisté.

5.  Le 24 juillet 2017, le juge d’instruction près le tribunal de grande instance de Paris rendit une ordonnance de non-lieu, les « dénonciations de [la partie civile] n’ayant pu être confirmées par aucun élément objectif de l’enquête ». La requérante interjeta appel et sollicita, à cette occasion, le retrait de la cote D124 du dossier d’instruction, qui comportait un relevé de recherches effectuées le 22 février 2016 sur le logiciel informatique judiciaire « Cassiopée » et qui mentionnait « 22 affaires trouvées » au nom de la requérante, dont le dépôt de « cinq plaintes pour des faits de nature sexuelle dont elle aurait été victime ». Au soutien de sa demande, elle soutint que ces éléments étaient sans rapport avec les faits dénoncés et de nature à porter atteinte à sa vie privée.

6.  Le relevé litigieux extrait du logiciel Cassiopée comprenait vingt‑quatre pages et se présentait sous la forme d’une liste des vingt‑deux affaires pénales enregistrées au tribunal de grande instance de Paris dans lesquelles la requérante avait la qualité de « victime » ou de « partie civile ». À cette liste correspondait, pour chaque affaire, une copie d’écran du logiciel de traitement contenant les informations classées sous plusieurs rubriques : « Résumé du dossier » (comprenant le numéro de parquet de l’affaire, le nom du magistrat du parquet en charge, l’intitulé de l’infraction, son code dans les nomenclatures nationales des infractions («NATAFF » [1] et « NATINF »[2]), le cas échéant les date et numéro du procès-verbal initial relatif aux faits dénoncés ou poursuivis), « Personnes » concernées (précisant les noms, prénoms et éventuellement les dates de naissance des parties, leur qualité d’auteur de l’infraction mis en cause ou de victime), « Événements » de la vie du dossier (comprenant l’indication des décisions prises par l’autorité judiciaire saisie, et, le cas échéant, la décision finale clôturant la procédure), enfin la rubrique « Infractions » reprenant le code NATINF susmentionné, les date et lieu de l’infraction et les personnes concernées.

7.  Par un arrêt du 6 décembre 2018, la cour d’appel de Paris confirma l’ordonnance de non-lieu au motif qu’eu égard à l’ensemble des éléments recueillis au cours de l’enquête et de l’instruction, comprenant non seulement plusieurs auditions des parties mais également celles des témoins, ainsi que des conclusions d’expertises médico-légale et de personnalité, les éléments constitutifs de l’infraction n’étaient pas réunis à l’encontre de D.H. Elle rejeta en outre la demande de retrait de la cote D124 au motif que le relevé Cassiopée « ne port[ait] pas atteinte aux intérêts [de la requérante] et [qu’]il n’[était] pas justifié, dans le cadre de l’examen de l’appel d’une ordonnance de non-lieu, de « l’exclure du dossier » comme elle le demand[ait] ».

8.  La requérante forma un pourvoi contre cet arrêt. Dans son mémoire, elle dénonça notamment l’acharnement des magistrats contre elle « pour la discriminer sur ses supposés mœurs, son passé de victime, sa vie privée ». Le 8 janvier 2020, la Cour de cassation déclara le pourvoi de la requérante non admis.

1. Requête no 3866/20

9.  Le 13 août 2018, la requérante saisit le procureur de la République du tribunal de grande instance de Paris d’une demande d’effacement des données la concernant enregistrées dans le logiciel Cassiopée et versées aux dossiers de différentes procédures d’instruction ouvertes à la suite de ses plaintes avec constitution de partie civile, dont sa plainte de 2014 susmentionnée (paragraphe 4 ci-dessus). Le 21 décembre 2018, le procureur rejeta sa demande au motif « qu’aucun texte législatif ou réglementaire ne prévo[yai]t cette possibilité ou ce pouvoir au procureur de la République ».

10.  La requérante saisit la chambre de l’instruction de la cour d’appel de Paris d’un recours contre le rejet de sa demande, invoquant « des détournements » et une « utilisation abusive du fichier (...) par certains magistrats contre elle pour porter atteinte à [sa] vie privée, à [sa] dignité en portant atteinte au secret professionnel » en violation des articles 48‑1 et R.15-33-66-8 du code de procédure pénale (CPP) (paragraphes 11 et 12 ci‑dessous). Le 3 décembre 2019, la chambre de l’instruction déclara le recours irrecevable au motif qu’il n’était pas au nombre des recours pouvant être exercés devant elle aux termes des dispositions pertinentes du CPP (articles 186 ou 186-1).

LE CADRE JURIDIQUE ET LA PRATIQUE PERTINENTS

1. Le cadre juridique du traitement Cassiopée

11.  Le logiciel « métier »[3] Cassiopée (pour « Chaîne Applicative Supportant le Système d’Information Orienté Procédure pénale Et Enfants ») est mis en œuvre au sein des tribunaux de premier degré et placé sous la responsabilité du ministère de la Justice. Il a été créé par la loi no2004-204 du 9 mars 2004 afin d’améliorer le traitement des dossiers et fluidifier la chaîne pénale en recourant à une seule application homogène (le « bureau d’ordre national automatisé ») permettant l’enregistrement des informations et des événements relatifs à certaines procédures judiciaires (les procédures pénales, les procédures d’assistance éducative, les procédures civiles et commerciales enregistrées par les parquets et les procédures autres que pénales relevant du juge des libertés et de la détention). Il est régi par les dispositions suivantes du code de procédure pénale (CPP) :

Article 48-1

« Le bureau d’ordre national automatisé des procédures judiciaires constitue une application automatisée, placée sous le contrôle d’un magistrat, contenant les informations nominatives relatives aux plaintes et dénonciations reçues par les procureurs de la République ou les juges d’instruction et aux suites qui leur ont été réservées, et qui est destinée à faciliter la gestion et le suivi des procédures judiciaires par les juridictions compétentes, l’information des victimes et la connaissance réciproque entre les juridictions des procédures concernant les mêmes faits ou mettant en cause les mêmes personnes, afin notamment d’éviter les doubles poursuites.

Cette application a également pour objet l’exploitation des informations recueillies à des fins de recherches statistiques.

Les données enregistrées dans le bureau d’ordre national automatisé portent notamment sur :

1o Les date, lieu et qualification juridique des faits ;

2o Lorsqu’ils sont connus, les nom, prénoms, date et lieu de naissance ou la raison sociale des personnes mises en cause et des victimes ;

3o Les informations relatives aux décisions sur l’action publique, au déroulement de l’instruction, à la procédure de jugement et aux modalités d’exécution des peines ;

4o Les informations relatives à la situation judiciaire, au cours de la procédure, de la personne mise en cause, poursuivie ou condamnée.

Les informations contenues dans le bureau d’ordre national automatisé sont conservées, à compter de leur dernière mise à jour enregistrée, pendant une durée de dix ans ou, si elle est supérieure, pendant une durée égale au délai de la prescription de l’action publique ou, lorsqu’une condamnation a été prononcée, au délai de la prescription de la peine.

Les informations relatives aux procédures suivies par chaque juridiction sont enregistrées sous la responsabilité, selon les cas, du procureur de la République ou des magistrats du siège exerçant des fonctions pénales de la juridiction territorialement compétente, par les greffiers ou les personnes habilitées qui assistent ces magistrats.

Ces informations sont directement accessibles, pour les nécessités liées au seul traitement des infractions ou des procédures dont ils sont saisis, par les procureurs de la République et les magistrats du siège exerçant des fonctions pénales de l’ensemble des juridictions ainsi que leur greffier ou les personnes habilitées qui assistent ces magistrats. Elles sont également directement accessibles aux agents de greffe du service d’accueil unique du justiciable prévu à l’article L. 123-3 du code de l’organisation judiciaire, pour les seuls besoins de fonctionnement de ce service, sous réserve que ces agents aient été habilités à cette fin dans des conditions fixées par décret en Conseil d’État.

Elles sont également directement accessibles aux procureurs de la République et aux magistrats du siège exerçant des fonctions pénales des juridictions mentionnées aux articles 704, 706-2, 706-17, 706-75, 706-107 et 706-108 du présent code pour le traitement de l’ensemble des procédures susceptibles de relever de leur compétence territoriale élargie.

Elles sont de même directement accessibles aux procureurs généraux pour le traitement des procédures dont sont saisies les cours d’appel et pour l’application des dispositions des articles 35 et 37.

Elles sont en outre directement accessibles, pour l’exercice de leur mission, aux magistrats chargés par une disposition législative ou réglementaire du contrôle des fichiers de police judiciaire, du fichier national automatisé des empreintes génétiques et du fichier automatisé des empreintes digitales, ainsi qu’aux personnes habilitées qui les assistent.

Sauf lorsqu’il s’agit de données non nominatives exploitées à des fins statistiques ou d’informations relevant de l’article 11-1, les informations figurant dans le bureau d’ordre national automatisé ne sont accessibles qu’aux autorités judiciaires. Lorsqu’elles concernent une enquête ou une instruction en cours, les dispositions de l’article 11[4] sont applicables.

Un décret en Conseil d’État, pris après avis de la Commission nationale de l’informatique et des libertés, détermine les modalités d’application du présent article et précise notamment les conditions dans lesquelles les personnes intéressées peuvent exercer leur droit d’accès. »

12.  Les dispositions pertinentes des articles R.15-33-66-4 à R.15‑33‑66‑13 du CPP précisent et complètent les dispositions de l’article 48‑1 cité ci-dessus (paragraphe 11) :

R.15-33-66-4

« Le ministère de la justice est autorisé à mettre en œuvre un traitement automatisé de données à caractère personnel dénommé « Cassiopée », comprenant l’application dite " bureau d’ordre national automatisé des procédures judiciaires " prévue à l’article 48‑1.

Ce traitement a pour objet l’enregistrement d’informations et de données à caractère personnel relatives aux procédures judiciaires au sein des tribunaux judiciaires, afin de faciliter la gestion et le suivi de ces procédures par les magistrats, les greffiers et les personnes habilitées qui en ont la charge, de faciliter la connaissance réciproque des procédures entre ces juridictions et d’améliorer ainsi l’harmonisation, la qualité et le délai du traitement des procédures, ainsi que, dans les affaires pénales, l’information des victimes. (...) »

R.15-33-66-5

« Le traitement Cassiopée est placé sous le contrôle d’un magistrat du parquet hors hiérarchie, nommé pour trois ans par arrêté du garde des sceaux, ministre de la justice, et assisté par un comité composé de trois membres nommés dans les mêmes conditions.

Ce magistrat et, à sa demande, les membres du comité disposent d’un accès permanent au traitement et au lieu où se trouve celui-ci.

Ce magistrat peut ordonner toutes mesures nécessaires à l’exercice de son contrôle, telles que saisies ou copies d’informations, ainsi que l’effacement d’enregistrements illicites.

L’autorité gestionnaire du traitement lui adresse un rapport annuel d’activité ainsi que, sur sa demande, toutes informations relatives au traitement. »

R.15-33-66-6

« Dans la mesure où elles sont nécessaires à la poursuite des finalités mentionnées à l’article R.15-33-61-4, peuvent être enregistrées les informations et les données à caractère personnel suivantes :

1o Concernant les personnes :

a) Dans le cadre des procédures pénales et des procédures autres que la procédure pénale relevant du juge des libertés et de la détention, concernant les témoins, les personnes mises en examen ou témoins assistés, les prévenus, les accusés, les personnes faisant l’objet d’une procédure d’extradition ou d’un mandat d’arrêt européen, les victimes et les parties civiles :

-identité : civilité, nom de naissance, nom d’usage, prénoms, alias, sexe, dates de naissance et de décès, commune de naissance, code et nom du pays de naissance, nationalité, numéro et date de délivrance de la pièce d’identité, autorité de délivrance, ville et pays de délivrance à l’étranger ;

-filiation : nom de naissance et prénoms du père et de la mère, et du titulaire de l’autorité parentale concernant les mineurs ;

-situation familiale : situation de famille, nombre d’enfants, nombre de frères et sœurs, rang dans la fratrie ;

-niveau d’étude et de formation, diplômes, distinctions ;

-adresse, adresse déclarée (selon la norme postale française), adresse électronique, téléphone au domicile, téléphone portable ;

-vie professionnelle : profession, code de la catégorie socioprofessionnelle, code de la nature d’activité, situation par rapport à l’emploi, raison sociale de l’employeur, téléphone au travail, fonction élective, immunité, pour les militaires de carrière situation militaire ;

-langue, dialecte parlé ;

-accord de la personne concernée pour la mise en œuvre de la communication électronique pénale, dans les conditions prévues au II de l’article 803-1 ;

-données bancaires, sauf concernant les témoins : code banque, code guichet, nom de l’agence bancaire, code postal de l’agence du compte, libellé du titulaire du compte, numéro de compte, date d’émission du titre de paiement, libellé du titulaire inscrit sur la carte bancaire ; (...)

2o Concernant les infractions, condamnations ou mesures de sûreté :

-situation judiciaire des personnes au cours de la procédure, antécédents relatifs aux condamnations de l’auteur des faits ;

-situation pénale d’une personne à un instant de la procédure, numéro d’écrou, date de libération prévue ;

-mode de comparution devant la juridiction, nature du jugement ;

-montant demandé pour les dommages-intérêts ou la provision ;

-infractions sur lesquelles porte la procédure (...), code INSEE de la commune lieu de commission de l’infraction, date de début de l’infraction, date de fin de l’infraction ;

-peine prononcée, libellé de la peine et mesure, motifs, obligations. »

R.15-33-66-7

« I.- Conformément à l’article 48-1, la durée de conservation des informations et des données à caractère personnel enregistrées dans le cadre d’une procédure pénale est de dix ans à compter de leur dernière mise à jour enregistrée ; cette durée est portée à :

-vingt ans lorsque la personne a été condamnée à une peine criminelle (...) ;

-trente ans lorsque la procédure porte sur une infraction à laquelle s’applique le délai de prescription de l’action publique prévu au premier alinéa des articles 706‑25‑1 et 706-31. (...) »

R.15-33-66-8

« I. – Peuvent directement accéder aux informations et données à caractère personnel enregistrées dans le traitement dans le cadre des procédures pénales :

1o Les magistrats du ministère public et les magistrats du siège qui exercent des fonctions pénales :

a) Dans l’ensemble des tribunaux de grande instance et des cours d’appel, pour les nécessités liées au seul traitement des infractions ou des procédures dont ils sont saisis ;

b) Dans les juridictions mentionnées aux articles 704, 705, 705-1,706-2,706-17,706-75,706-107 et 706-108, pour le traitement de l’ensemble des procédures susceptibles de relever de leur compétence territoriale élargie ;

c) S’agissant des procureurs généraux, pour l’application des articles 35 et 37 ;

2o Les agents de greffe et les personnes habilitées, en vertu de l’article R.123-14 du code de l’organisation judiciaire, qui assistent les magistrats mentionnés au 1o ;

3o Les agents de greffe affectés dans un service d’accueil unique du justiciable, individuellement désignés et spécialement habilités sur décision écrite du directeur de greffe, sous le contrôle des chefs de juridiction, pour les seules nécessités liées à l’exercice de leurs attributions définies aux articles L. 123-3 et R.123-28 du même code ;

4o Le représentant national auprès d’Eurojust, ainsi que les magistrats, agents de greffe et personnels habilités pour l’assister ;

5o Les délégués du procureur de la République institués à l’article R.15-33-30 du présent code, pour l’accomplissement des missions qui leur sont confiées par l’autorité judiciaire au titre des articles 41-1 à 41-2 ;

6o Les éducateurs de la protection judiciaire de la jeunesse affectés dans les unités éducatives auprès des tribunaux, services éducatifs auprès des tribunaux ou unités éducatives de milieu ouvert assurant la permanence éducative auprès des tribunaux pour les informations et données concernant des mineurs suivis par leur unité de permanence, pour les besoins exclusifs liés à l’exercice de leurs missions ;

7o Les magistrats et les greffiers affectés au sein de l’Agence de gestion et de recouvrement des avoirs saisis et confisqués, en application des dispositions de l’article 706-161, pour le besoin des procédures pour lesquelles sont envisagées ou ont été réalisées des saisies ou des confiscations.

Le 2o est applicable aux directeurs des services de greffe et greffiers des réserves judiciaires, pour le seul accomplissement des missions qui leur sont confiées, et pendant la durée de chaque mission, dans les conditions fixées par l’article 164 de la loi de finances no 2010-1657 du 29 décembre 2010 et le décret no 2011-946 du 10 août 2011 relatif aux réserves judiciaires. (...). »

R.15-33-66-9

« Sont destinataires, (...), de tout ou partie des informations et données à caractère personnel enregistrées dans le traitement :

- les avocats ;

- les personnes concourant à la procédure au sens de l’article 11 ;

- les administrations et les personnes qui, dans le cadre d’une mission confiée par l’autorité judiciaire, participent à l’instruction des dossiers, à la signification, à la notification et à l’exécution des décisions judiciaires ;

- les membres des associations d’aide aux victimes mentionnées à l’article 41, ayant prêté serment et ayant signé un engagement écrit de confidentialité, individuellement désignés et spécialement habilités par les chefs de cour d’appel, sous le contrôle de ceux-ci et pour les besoins exclusifs de l’exercice des missions telles que prévues par la convention mentionnée à l’article 41 à l’exclusion des données concernant des procédures en cours couvertes par le secret de l’enquête et de l’instruction. »

R.15-33-66-10

« Les droits d’accès et de rectification prévus aux articles 39 et 40 de la loi no 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés s’exercent auprès du procureur de la République. »

R.15-33-66-13

« Les créations, modifications ou suppressions de données ainsi que les consultations font l’objet d’un enregistrement comprenant l’identifiant de leur auteur ainsi que la date, l’heure et l’objet de l’opération. Ces informations sont conservées pendant un délai de cinq ans. »

1. Le cadre juridique de la protection des données personnelles
   1. Le droit interne

13.  Les disposions générales sur la protection des données à caractère personnel inscrites dans la loi no 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés ont été présentées dans l’arrêt Drelon c. France (nos 3153/16 et 27758/18, §§ 37-38, 8 septembre 2022).

14.  Plus particulièrement, les dispositions de la loi du 6 janvier 1978 auxquelles renvoie, en ce qui concerne seulement les droits d’accès et de rectification, l’article R.15‑33-66-10 du CPP cité ci-dessus (paragraphe 12), dans leur rédaction applicable à la date des faits litigieux antérieure à la modification de la loi du 6 janvier 1978 par l’ordonnance no 2018-1125 du 12 décembre 2018, sont les suivantes (étant précisé qu’il n’est pas renvoyé aux dispositions de l’article 40 en ce qui concerne le droit à l’effacement) :

Article 39

« I.-Toute personne physique justifiant de son identité a le droit d’interroger le responsable d’un traitement de données à caractère personnel en vue d’obtenir :

1o La confirmation que des données à caractère personnel la concernant font ou ne font pas l’objet de ce traitement ;

2o Des informations relatives aux finalités du traitement, aux catégories de données à caractère personnel traitées et aux destinataires ou aux catégories de destinataires auxquels les données sont communiquées ;

(...)

4o La communication, sous une forme accessible, des données à caractère personnel qui la concernent ainsi que de toute information disponible quant à l’origine de celles‑ci ;

( ...)

Une copie des données à caractère personnel est délivrée à l’intéressé à sa demande. (...).

II.-Le responsable du traitement peut s’opposer aux demandes manifestement abusives, notamment par leur nombre, leur caractère répétitif ou systématique. En cas de contestation, la charge de la preuve du caractère manifestement abusif des demandes incombe au responsable auprès duquel elles sont adressées. (...) »

Article 40

« I.-Toute personne physique justifiant de son identité peut exiger du responsable d’un traitement que soient, selon les cas, rectifiées, complétées, mises à jour, verrouillées ou effacées les données à caractère personnel la concernant, qui sont inexactes, incomplètes, équivoques, périmées, ou dont la collecte, l’utilisation, la communication ou la conservation est interdite.

Lorsque l’intéressé en fait la demande, le responsable du traitement doit justifier, sans frais pour le demandeur, qu’il a procédé aux opérations exigées en vertu de l’alinéa précédent.

En cas de contestation, la charge de la preuve incombe au responsable auprès duquel est exercé le droit d’accès sauf lorsqu’il est établi que les données contestées ont été communiquées par l’intéressé ou avec son accord. (...). »

15.  Les dispositions de la loi du 6 janvier 1978 relatives aux droits d’accès et de rectification figurent désormais aux articles suivants :

Article 49

« Le droit d’accès de la personne concernée s’exerce dans les conditions prévues à l’article 15 du règlement (UE) 2016/679 du 27 avril 2016.

En cas de risque de dissimulation ou de disparition des données à caractère personnel, le juge compétent peut ordonner, y compris en référé, toutes mesures de nature à éviter cette dissimulation ou cette disparition.

Le même premier alinéa ne s’applique pas :

1o Lorsque les données à caractère personnel sont conservées sous une forme excluant manifestement tout risque d’atteinte à la vie privée et à la protection des données des personnes concernées, pendant une durée n’excédant pas celle nécessaire aux seules finalités d’établissement de statistiques ou de réalisation de recherches scientifiques ou historiques ;

2o A l’information selon laquelle des données à caractère personnel ont été transmises en application du premier alinéa de l’article L. 863-2 du code de la sécurité intérieure. »

Article 50

« Le droit de rectification s’exerce dans les conditions prévues à l’article 16 du règlement (UE) 2016/679 du 27 avril 2016. »

16.  La jurisprudence du Conseil d’État est bien établie en ce sens qu’en l’absence de disposition législative contraire et dans le silence des textes sur ce point, les décisions en matière d’effacement ou de rectification prises par le procureur de la République ou le magistrat désigné à cet effet, qui ont pour objet la tenue à jour du fichier et sont détachables d’une procédure judiciaire, constituent non pas des mesures d’administration judiciaire, mais des actes de gestion administrative du fichier et peuvent faire l’objet d’un recours pour excès de pouvoir devant le juge administratif (CE 17 juillet 2013, no 359417, à propos du fichier Système de traitement des infractions constatées appelé « STIC » ; CE 11 avril 2014, Ligue des droits de l’homme, no 360759, à propos du fichier Traitement des antécédents judiciaires appelé « TAJ »).

1. Le droit international et de l’Union européenne

17.  Il est renvoyé à cet égard aux développements pertinents des arrêts S. et Marper c. Royaume-Uni ([GC], nos 30562/04 et 30566/04, §§ 41-55, 4 décembre 2008), et Drelon (précité, §§ 29-36).

1. La procédure pénale

18.  Les dispositions pertinentes du CPP relatives aux nullités de l’information pénale sont les suivantes :

Article 170

« En toute matière, la chambre de l’instruction peut, au cours de l’information, être saisie aux fins d’annulation d’un acte ou d’une pièce de la procédure par le juge d’instruction, par le procureur de la République, par les parties ou par le témoin assisté. »

Article 171

« Il y a nullité lorsque la méconnaissance d’une formalité substantielle prévue par une disposition du présent code ou toute autre disposition de procédure pénale a porté atteinte aux intérêts de la partie qu’elle concerne. »

GRIEFS

19.  Invoquant l’article 8 de la Convention, la requérante se plaint, d’une part, de l’utilisation, dans le cadre de la procédure pénale engagée à la suite de sa plainte avec constitution de partie civile, de ses données personnelles enregistrées dans le logiciel développé par le ministère de la Justice nommé « Cassiopée » (requête no 9292/20) et, d’autre part, de l’absence, en droit interne, de procédure permettant d’obtenir l’effacement anticipé de ces données (requête no 3866/20).

20.  Invoquant en substance l’article 3 de la Convention, dans un courrier reçu par le greffe de la Cour le 4 janvier 2021 relatif à la requête no 3866/20, la requérante soulève, au regard de cet article, les mêmes griefs que ceux tirés de l’article 8.

21.  Dans la requête no 9292/20, la requérante se plaint en outre, au regard de l’article 6 § 1 de la Convention, de l’iniquité de la procédure d’instruction et de la partialité alléguée du président de la chambre de l’instruction.

EN DROIT

22.  Eu égard à la connexité de l’objet des requêtes, la Cour juge approprié de les examiner conjointement et d’y statuer par une seule décision.

23.  Par ailleurs, la Cour décide d’accéder à la demande de non‑divulgation de son identité formulée par la requérante (article 47 § 4 du règlement).

1. Sur la violation alléguée de l’article 8 de la Convention

24.  Dans ses requêtes no 9292/20 et 3866/20, la requérante dénonce une violation de l’article 8 de la Convention, aux termes duquel :

« 1.  Toute personne a droit au respect de sa vie privée et familiale, de son domicile et de sa correspondance.

2.  Il ne peut y avoir ingérence d’une autorité publique dans l’exercice de ce droit que pour autant que cette ingérence est prévue par la loi et qu’elle constitue une mesure qui, dans une société démocratique, est nécessaire (...) à la défense de l’ordre et à la prévention des infractions pénales (...), ou à la protection des droits et libertés d’autrui. »

25.  Le grief de la requérante tiré d’une atteinte à son droit au respect de la vie privée comporte deux volets. En premier lieu, elle soutient que le versement au dossier d’instruction de ses données personnelles contenues dans le relevé des affaires pénales la concernant tiré du logiciel Cassiopée et dont elle a vainement demandé le retrait méconnaît l’article 8 de la Convention au motif qu’il n’avait aucune pertinence pour l’affaire et qu’il contenait des données illicites. En second lieu, elle se plaint de ne pas avoir pu obtenir l’effacement de ses données personnelles du traitement Cassiopée en l’absence de procédure prévue à cette fin.

1. Principes généraux

26.  La Cour rappelle que les principes généraux applicables en matière de collecte et de conservation de données à caractère personnel et notamment en matière de fichiers contenant des données personnelles relatives à des procédures pénales ont été présentés dans les affaires S. et Marper c. Royaume-Uni (précité, §§ 66-67 et 101-104), L.B. c. Hongrie ([GC], no 36345/16, §§ 102-103 et 123, 9 mars 2023), M.K. c. France (no 19522/09, §§ 33-36, 18 avril 2013), Brunet c. France (no 21010/10, §§ 33-37, 18 septembre 2014), et Drelon (précité, §§ 82-84). La collecte, la conservation et l’utilisation de données relatives à la « vie privée » d’un individu entrent dans le champ d’application de l’article 8 § 1 (Leander c. Suède, 26 mars 1987, § 48, série A no 116, et Amann c. Suisse [GC], no 27798/95, § 65, CEDH 2000‑II). Pareille ingérence méconnaît l’article 8 à moins qu’elle soit « prévue par la loi », qu’elle poursuive un but légitime, et qu’elle soit de surcroît « nécessaire dans une société démocratique » pour atteindre celui-ci. Une telle mesure doit en outre reposer sur des motifs « pertinents et suffisants ».

27.  La législation interne doit, par ailleurs, ménager des « garanties appropriées » pour empêcher toute utilisation de données à̀ caractère personnel qui ne serait pas conforme aux garanties prévues à l’article 8. À cet égard, la Cour prend en considération les stipulations de la Convention pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel (« Convention de 1981 ») (Z c. Finlande, 25 février 1997, § 95, Recueil des arrêts et décisions 1997‑I, et S. et Marper, précité, §§ 103 et 107). Pour contrôler si une mesure portant atteinte à la protection des données à caractère personnel est « nécessaire dans une société démocratique », la Cour examine si elle respecte l’une ou l’autre des exigences énumérées par l’article 5 de cette Convention, à savoir, notamment, les exigences de minimisation des données stockées, d’exactitude des données, de limitation de leur utilisation et de limitation de leur durée de conservation. En particulier, le droit interne doit assurer que les données traitées sont pertinentes et non excessives par rapport aux finalités pour lesquelles elles sont enregistrées, et qu’elles sont conservées sous une forme permettant l’identification des personnes concernées pendant une durée n’excédant pas celle nécessaire aux finalités pour lesquelles elles sont enregistrées (ibidem, § 103).

28.  En ce qui concerne plus particulièrement l’exigence d’exactitude et de mise à jour des données collectées, la Cour a eu à connaître de plusieurs affaires relatives à la conservation, par les autorités, de données dont l’inexactitude était avérée ou alléguée (voir, notamment, Cemalettin Canlı c. Turquie, no 22427/04, §§ 34-37, 18 novembre 2008, sur la présence d’informations inexactes dans un fichier de police, et Rotaru c. Roumanie [GC], no 28341/95, § 36, CEDH 2000-V, sur la tenue d’un registre par un service de renseignement comprenant des données erronées sur le passé du requérant). Des données personnelles, fausses ou incomplètes, recueillies et conservées par les autorités peuvent rendre plus difficile la vie quotidienne de la personne concernée (Khelili c. Suisse, no 16188/07, § 64, 18 octobre 2011) ou s’avérer diffamatoires (Rotaru, précité, § 44). Leur mésusage peut être aggravé par la méconnaissance de certaines garanties procédurales prévues en droit interne pour protéger les droits des personnes concernées (voir, pour la transmission parcellaire d’une information inexacte issue d’un fichier de police aux autorités judiciaires, Cemalettin Canlı, précité, §§ 42‑43).

29.  La Cour reconnait en la matière une certaine marge d’appréciation aux autorités nationales compétentes ; son étendue dépend d’un certain nombre de facteurs, dont la nature du droit en cause garanti par la Convention, son importance pour la personne concernée, la nature de l’ingérence et la finalité de celle-ci (S. et Marper, précité, § 102). La Cour prend également en compte le fait que le consentement de la personne n’ait pas été obtenu ou recherché lors de la collecte, de la conservation ou de l’utilisation de données intrinsèquement privées (ibidem, § 104, et Avilkina et autres c. Russie, no 1585/09, §§ 48-49, 6 juin 2013). Ainsi, la Cour a jugé que la divulgation de données relatives à la séropositivité (Z c. Finlande, précité, § 96) ou la conservation et l’utilisation sans limites de données relatives aux empreintes digitales et génétiques à des fins policières (S. et Marper, précité, §§ 104 et 112-113) effectuées sans le consentement de la personne concernée appellent un examen rigoureux de sa part.

1. Application au cas d’espèce

30.  La Cour considère que l’enregistrement dans le traitement Cassiopée puis l’extraction et le versement sans son consentement au dossier d’une procédure pénale qu’elle a engagée de certaines données personnelles de la requérante relatives à son identité et à sa qualité de partie dans plusieurs procédures judiciaires, ainsi que, d’une part, le refus opposé à sa demande de retrait des pièces de la procédure du relevé de ces données et, d’autre part, le rejet de la demande d’effacement de ces dernières ont constitué une ingérence dans son droit au respect de la vie privée. La Cour constate tout d’abord que cette ingérence était « prévue par la loi », à savoir les articles 48-1 et R.15‑33‑66-4 à R.15‑33‑66-13 du CPP (paragraphes 11 et 12 ci‑dessus). Elle note ensuite qu’elle poursuivait les « buts légitimes » de défense de l’ordre, de prévention des infractions pénales, et de protection des droits d’autrui (mutatis mutandis, Brunet, précité, § 32). Reste enfin à examiner si cette ingérence était nécessaire au regard des exigences de la Convention, qui commandent qu’elle réponde à un « besoin social impérieux », qu’elle repose sur des « motifs pertinents et suffisants » et qu’elle soit proportionnée aux buts légitimes poursuivis (S. et Marper, précité, § 101, et Brunet, précité, § 33).

31.  Pour ce faire, la Cour examinera successivement les deux volets du grief tiré de l’article 8 de la Convention portant respectivement sur l’utilisation des données personnelles de la requérante au cours de l’information pénale et sur l’absence de droit à l’effacement anticipé des données enregistrées dans le traitement Cassiopée.

a)      Sur l’utilisation des données personnelles de la requérante au cours de l’information pénale (requête no 9292/20)

32.  En premier lieu, la Cour note que si la requérante se plaint du rejet, par la chambre de l’instruction statuant en appel de l’ordonnance de non-lieu, de sa demande de « retrait » de la procédure du relevé Cassiopée, il n’existe pas, en droit interne, de procédure de « retrait » d’une pièce du dossier d’instruction, dont il peut seulement être demandé de constater la nullité aux fins d’en prononcer l’annulation (paragraphe 18 ci-dessus). Or, il ressort du dossier que la requérante n’a pas engagé une telle procédure de nullité. Pour autant, la cour d’appel a pris le soin de se prononcer sur le bien-fondé de la demande en la rejetant au motif que le relevé Cassiopée « ne port[ait] pas atteinte aux intérêts [de la requérante] et [qu’]il n’[était] pas justifié, dans le cadre de l’examen de l’appel d’une ordonnance de non-lieu, de « l’exclure du dossier » comme elle le demand[ait] » (paragraphe 7 ci-dessus).

33.  En deuxième lieu, la Cour relève que le relevé litigieux, extrait du logiciel Cassiopée et coté D124 au dossier d’instruction, se présentait sous la forme d’une liste des vingt‑deux affaires pénales enregistrées au tribunal de grande instance de Paris dans lesquelles la requérante avait la qualité de victime. Pour chaque affaire, plusieurs rubriques y décrivaient principalement l’infraction poursuivie et les étapes de la procédure initiée par une plainte de la requérante ainsi que ses nom et prénom et ceux de l’auteur mis en cause le cas échéant (paragraphe 6 ci-dessus). S’agissant des autres procédures d’instruction au sujet desquelles la requérante se plaint également, de manière non étayée, de l’utilisation des données du logiciel Cassiopée, il s’agissait des mêmes indications.

34.  La Cour constate que les données litigieuses, décrites ci-dessus, sont conformes aux finalités du traitement Cassiopée, logiciel « métier » du ministère de la Justice, qui a pour objet, sous le contrôle de magistrats du ministère public (voir les articles R.15-33-66‑5 et R.15-33-66-10 du code de procédure pénale (CPP) (paragraphe 12 ci-dessus), d’enregistrer les données nécessaires à l’identification des personnes parties à certaines procédures judiciaires, dans le but d’en améliorer le traitement. À la différence d’autres traitements de données utilisés par les autorités judiciaires internes et dont la Cour a eu à connaître (voir les affaires précitées Gardel, s’agissant du fichier judiciaire national automatisé des auteurs d’infractions sexuelles dit « FIJAIS », M.K. c. France, s’agissant du fichier automatisé des empreintes digitales dit « FAED », Brunet, s’agissant du système de traitement des infractions constatées dit « STIC », et Aycaguer c. France, no 8806/12, 22 juin 2017, s’agissant du fichier national automatisé des empreintes génétiques dit « FNAEG »), ces données ne présentent pas un caractère sensible (au sens de l’article 6 de la Convention de 1981 mentionnée au paragraphe 27 ci-dessus, voir S. et Marper, précité, § 103, et Drelon, précité, § 82 in fine) et se limitent au recensement d’informations factuelles et d’éléments objectifs relatifs aux procédures judiciaires auxquelles une personne est partie.

35.  En troisième lieu, l’exactitude de ces données purement objectives est garantie par les droits d’accès et de rectification qui sont ouverts aux personnes qu’elles concernent (paragraphes 12 et 14-15 ci-dessus). À cet égard, la Cour note que la requérante ne prétend pas que les données litigieuses comporteraient des erreurs ou des inexactitudes, dont le redressement relèverait du droit de rectification dont il convient au demeurant de relever qu’elle n’en a pas fait usage.

36.  En quatrième lieu, la Cour relève le caractère limité des personnes habilitées à accéder directement aux informations et données enregistrées dans Cassiopée (articles R.15-33-66-8 et R.15-33-66-9 du CPP, paragraphe 12 ci-dessus). Toute intervention sur le traitement fait l’objet d’une traçabilité de l’auteur et de son objet (consultation, création, modification ou suppression de données, article R.15-33-66-13 du CPP, ibidem). Or, la Cour note que le magistrat instructeur comme la chambre de l’instruction en appel étaient habilités à accéder à ces données « pour les nécessités liées au seul traitement des infractions ou des procédures dont ils [étaient] saisis » conformément à l’article R.15-33-66-8, 1o du CPP, paragraphe 12 ci-dessus),

37.  Enfin, la Cour souligne l’existence de critères déterminant précisément la durée de conservation des informations enregistrées, soit une durée de principe de dix ans à compter de la dernière mise à jour, assortie d’exceptions claires prolongeant cette durée et fondées sur les règles de prescription en matière pénale (article R.15-33-66-7 du CPP, paragraphe 12 ci-dessus ; voir, a contrario, S. et Marper, précité, § 119, M.K. c. France, précité, § 45, Brunet, précité, § 43, Catt c. Royaume-Uni, no 43514/15, §§ 119‑120, 24 janvier 2019, Gaughran c. Royaume-Uni, no 45245/15, §§ 84 et 88, 13 février 2020, et Drelon, précité, § 98). Si la requérante soutient, de manière générale, que certaines des données la concernant enregistrées dans le traitement Cassiopée y figureraient après le terme de leur durée de conservation, elle n’assortit ses allégations d’aucune précision de nature à en étayer le bien-fondé.

38.  Si la requérante soutient par ailleurs que les juridictions internes pouvaient tirer certaines conclusions sur sa personnalité à la lecture du relevé Cassiopée litigieux relatant le nombre élevé de ses plaintes, elle n’étaye aucunement ses allégations selon lesquelles l’utilisation de ces données, qui ne constituaient qu’un récapitulatif objectif de ses précédentes plaintes et de l’issue judiciaire leur ayant, le cas échéant, été réservée, sans appréciation ni commentaire d’aucune sorte, l’aurait stigmatisée ou lui aurait porté préjudice dans l’examen de sa plainte avec constitution de partie civile en cause ou, en tout état de cause, dans celui de ses autres plaintes.

39.  La Cour relève au surplus que pour décider qu’il n’y avait pas lieu de renvoyer D.H. devant un tribunal du chef de viol, les juges internes n’ont tiré aucune conséquence particulière des informations extraites du logiciel Cassiopée et versées au dossier parmi les autres pièces de la procédure mais ont considéré, par des décisions motivées, qu’il n’existait pas, au regard de l’ensemble des éléments de preuve à leur disposition, de charges suffisantes à l’encontre du mis en cause (paragraphes 5 et 7 ci‑dessus). Dans ces conditions et contrairement à ce que prétend la requérante, l’extraction puis le versement au dossier du relevé Cassiopée ne sauraient être assimilés à « un détournement illicite d’informations confidentielles au moyen d’une violation du secret professionnel ».

40.  Des considérations qui précèdent, la Cour conclut que le versement au dossier du relevé d’informations issu de Cassiopée ainsi que le refus opposé à la demande de retrait ne portaient manifestement pas une atteinte disproportionnée au droit de la requérante au respect de sa vie privée.

b)     Sur l’absence de procédure permettant de demander l’effacement anticipé des données personnelles (requête no 3866/20)

41.  Reste à déterminer au titre du second volet du grief de la requérante si, compte tenu des considérations qui précèdent, l’absence de procédure permettant d’obtenir l’effacement des données personnelles du logiciel Cassiopée avant la fin du délai légal de conservation, constituait une ingérence disproportionnée dans sa vie privée.

42.  La Cour relève tout d’abord que si la requérante a saisi le procureur de la République d’une demande d’effacement anticipé des données figurant sur le relevé Cassiopée litigieux et que celui-ci a rejeté sa demande, en l’absence de droit à l’effacement ouvert dans l’ordre interne (paragraphes 9 et 14-15 ci‑dessus), il ne ressort pas du dossier qu’elle ait contesté cette décision, détachable de la procédure judiciaire en cours, en présentant un recours pour excès de pouvoir, tendant à son annulation, devant la juridiction administrative compétente pour en connaître (paragraphe 16 ci-dessus, et Brunet, précité, § 19). Toutefois, la Cour n’estime pas utile de se pencher sur la question de l’épuisement des voies de recours internes par la requérante à cet égard dès lors que le grief est en tout état de cause manifestement mal fondé pour les raisons exposées ci-dessous.

43.  La Cour relève ensuite qu’il existe en droit interne un droit d’accès et un droit de rectification des données enregistrées dans Cassiopée, qui s’exercent auprès du procureur de la République en vertu des dispositions de l’article R.15-33-66-10 (paragraphes 12 et 14-15 ci-dessus), et dont la requérante n’a pas fait usage. À cet égard, la Cour se réfère à ses constatations dans l’affaire Gardel (précitée, § 33, s’agissant du FIJAIS susmentionné paragraphe 34), dans laquelle elle a relevé que ce recours ne permettait que de corriger d’éventuelles inexactitudes et erreurs matérielles alors qu’en l’espèce, la requérante estime que seul leur effacement aurait été de nature à supprimer toute atteinte à sa vie privée.

44.  La Cour considère que les conséquences de l’absence de procédure permettant d’obtenir l’effacement anticipé des données personnelles enregistrées dans le traitement en cause doivent être appréciées à la lumière de la finalité poursuivie par ce dernier, de la nature des informations qui y figurent ainsi que des garanties dont disposent les personnes concernées contre les risques d’abus et d’arbitraire (mutatis mutandis, Gardel, précité, ibidem).

45.  La Cour rappelle que, dans certains cas, elle a pu considérer nécessaire au respect de l’article 8 qu’il existe en droit interne une procédure permettant au justiciable de demander, devant une autorité indépendante, l’effacement des données personnelles qui sont enregistrées dans un fichier par une autorité publique, avant que cet effacement ne résulte automatiquement de la durée maximum de conservation définie par la loi. Il en va en particulier ainsi lorsque la durée de conservation des données apparaît imprécise, indéterminée ou particulièrement longue (voir, par exemple, S. et Marper, précité, § 119, Drelon, précité, § 98, et Gardel, précité, §§ 68-69 s’agissant d’une durée de conservation de trente ans).

46.  Toutefois, dans les circonstances de l’espèce, elle considère qu’il doit être tenu compte de la finalité du logiciel Cassiopée, qui vise exclusivement la bonne administration de la justice et le bon fonctionnement du service public de la justice qui risqueraient d’être compromis par l’effacement des données qui y figurent à la demande des personnes qu’elles concernent. Il convient en effet de prendre également en considération la nature des données pouvant y être enregistrées, qui sont limitées à l’identité civile, à la qualité d’auteur ou de victime d’une infraction pénale et au suivi des procédures. Il s’agit d’informations factuelles et d’éléments objectifs de nature à faciliter le déroulement des procédures judiciaires en adéquation avec la finalité poursuivie. La Cour prend enfin en compte les garanties dont la mise en œuvre du traitement est entourée : la possibilité d’assurer l’exactitude matérielle des données enregistrées grâce à l’exercice des droits d’accès et de rectification ; la durée de conservation de ces informations, limitée à dix ans à compter de la dernière mise à jour enregistrée, ou vingt ans en cas de condamnation criminelle et trente ans pour certaines infractions criminelles se prescrivant dans ce délai, qui assure, à terme, l’effacement automatique des données enregistrées (article R.15-33-66-7 du CPP, paragraphe 12 ci‑dessus).

47.  En conséquence, la Cour, après avoir rappelé qu’il ne ressort aucunement du dossier l’existence d’un détournement de l’usage des données litigieuses à d’autres fins que celles qui ont été assignées au traitement Cassiopée par la loi, conclut que l’État défendeur n’a manifestement pas outrepassé sa marge d’appréciation en la matière en ne prévoyant pas de procédure permettant d’obtenir l’effacement anticipé des données personnelles qui y sont enregistrées.

c)      Conclusion

48.  De l’ensemble des considérations qui précèdent, et eu égard en particulier à la finalité poursuivie par le traitement Cassiopée et des garanties, en droit interne, dont est entourée sa mise en œuvre, la Cour déduit que la collecte, l’enregistrement et l’utilisation des données personnelles de la requérante reposait sur des motifs « pertinents et suffisants ». Elle en conclut, dans les circonstances de l’espèce, que l’ingérence dans le droit au respect de la vie privée de la requérante découlant tant du versement de ces données au dossier de la procédure pénale la concernant en qualité de victime que de l’absence de procédure lui permettant d’en obtenir l’effacement anticipé, n’était manifestement pas disproportionnée aux buts légitimes poursuivis par l’État défendeur.

49.  Il s’ensuit que le grief tiré de l’article 8 de la Convention dans les requêtes no 9292-20 et no 3866/20 est, sous ses deux volets, manifestement mal fondé et doit être rejeté en application de l’article 35 §§ 3 a) et 4 de la Convention.

1. Sur les autres violations alléguées de la Convention

50.  Dans un courrier reçu par le greffe de la Cour le 4 janvier 2021, la requérante se réfère à sa requête no 3866/20 pour se plaindre de « l’utilisation illégale et abusive de tout [son] fichier Cassiopée secret pour le divulguer en détail » dans plusieurs procédures d’instruction en cours » qui serait, selon elle, de nature à « lui infliger un traitement inhumain et dégradant ». La Cour relève que ce courrier, qui est accompagné de pièces issues de différentes procédures sans lien avec la requête précitée, soulève en substance un grief tiré de l’article 3 de la Convention qui n’est aucunement étayé et doit dès lors être écarté comme manifestement mal fondé.

51.  Par ailleurs, dans la requête no 9292/20, la requérante soulève d’autres griefs sous l’angle de l’article 6 § 1 de la Convention, relatifs à l’iniquité de la procédure d’instruction et à la partialité alléguée du président de la chambre de l’instruction. La Cour considère, au vu de l’ensemble des éléments en sa possession, et pour autant que les faits litigieux relèvent de sa compétence, que ces griefs soit ne satisfont pas aux critères de recevabilité énoncés aux articles 34 et 35 de la Convention, soit ne font apparaître aucune apparence de violation de l’article 6 § 1 de la Convention.

52.  Il s’ensuit que l’ensemble de ces griefs doit être rejeté en application de l’article 35 §§ 3 a) et 4 de la Convention.

Par ces motifs, la Cour, à l’unanimité,

1. Décide de joindre les requêtes ;
2. Déclare les requêtes irrecevables.

Fait en français puis communiqué par écrit le 7 mars 2024.

 Victor Soloveytchik Georges Ravarani
 Greffier Président

[1].  Pour « Table des NATures d’AFFaires ».

[2].  Pour nomenclature des « NATures d’INFractions ».

[3] Un logiciel métier permet de disposer d’un outil informatique développé pour répondre aux spécificités d'un métier ou d'un secteur d'activité.

[4].  « Sauf dans le cas où la loi en dispose autrement et sans préjudice des droits de la défense, la procédure au cours de l'enquête et de l'instruction est secrète.

Toute personne qui concourt à cette procédure est tenue au secret professionnel dans les conditions et sous les peines des articles 226-13 et 226-14 du code pénal.

Toutefois, afin d'éviter la propagation d'informations parcellaires ou inexactes ou pour mettre fin à un trouble à l'ordre public, le procureur de la République peut, d'office et à la demande de la juridiction d'instruction ou des parties, rendre publics des éléments objectifs tirés de la procédure ne comportant aucune appréciation sur le bien-fondé des charges retenues contre les personnes mises en cause. »