CINQUIÈME SECTION

DÉCISION

Requête no 52319/22
Florian LE MARREC
contre la France

La Cour européenne des droits de l’homme (cinquième section), siégeant le 5 novembre 2024 en une chambre composée de :

 María Elósegui, présidente,
 Mattias Guyomar,

 Stéphanie Mourou-Vikström,
 Armen Harutyunyan,
 Gilberto Felici,
 Kateřina Šimáčková,
 Mykola Gnatovskyy, juges,

et de Martina Keller, greffière adjointe de section,

Vu la requête susmentionnée introduite le 4 novembre 2022,

Vu la décision de porter à la connaissance du gouvernement français (« le Gouvernement ») les griefs tirés de l’article 8 (concernant le traitement des données de connexion du requérant) et de l’article 6 § 1 de la Convention de sauvegarde des droits de l’homme et des libertés fondamentales (« la Convention »), et de déclarer la requête irrecevable pour le surplus,

Vu les observations soumises par le gouvernement défendeur et celles présentées en réponse par le requérant,

Après en avoir délibéré, rend la décision suivante :

INTRODUCTION

1.  La requête concerne une atteinte alléguée au droit du requérant au respect de sa vie privée en raison du traitement (collecte et utilisation), par le site web de la Caisse d’allocations familiales (« la Caf »), de l’adresse IP de son ordinateur et de certaines « données de connexion », ce qui a permis aux agents de la Caf de le localiser. Le requérant invoque les articles 8 et 6 § 1 de la Convention.

EN FAIT

2.  Le requérant, M. Florian Le Marrec, est un ressortissant français né en 1989 et résidant à Biencourt sur Orge. Il est représenté devant la Cour par Me G. Thuan Dit Dieudonné, avocat.

3.  Le gouvernement français (« le Gouvernement ») est représenté par son agent, M. D. Colas, directeur des affaires juridiques au ministère de l’Europe et des Affaires étrangères.

4.  Les faits de la cause, tels qu’ils ont été exposés par les parties, peuvent se résumer comme suit.

1. Les faits à l’origine de l’affaire et le contentieux administratif en première instance

5.  Déclarant être sans ressources, le requérant fut admis au bénéfice de l’allocation de revenu de solidarité active (RSA). En début 2019, il s’authentifia sur le site web caf.fr de la Caisse d’allocations familiales (Caf), qui est édité et hébergé par la Caisse nationale d’allocations familiales (Cnaf), afin de mettre à jour sa situation d’allocataire.

6.  L’adresse IP (internet protocol) de l’ordinateur du requérant se transforma en une indication géographique « Autres [pays] » sur le serveur hébergeant le site. Un contrôle de la situation du requérant s’ensuivit. Dans le cadre de ce contrôle, par un courrier du 9 avril 2019, le requérant expliqua que, lors de la connexion sur l’espace « Mon compte » du site web de la Caf, il avait utilisé un VPN (virtual private network), afin de brouiller l’adresse IP, tout en demeurant en France.

7.  Les agents de la Caf sollicitèrent des informations à la banque du requérant. Ayant analysé ces informations, ils conclurent, dans un rapport d’enquête du 7 mai 2019, que l’intéressé avait omis de déclarer de nombreux virements et remises de chèques, ce qui le rendait inéligible au RSA. Les contrôleurs retinrent l’intention frauduleuse du requérant. Ce rapport, communiqué à l’intéressé, mentionnait également « Motif : résidence suite adresse IP », ainsi que « le contrôle fait suite au listing concernant des déclarations trimestrielles faites depuis une adresse IP à l’étranger ».

8.  Par deux décisions des 14 et 20 juin 2019, la directrice de la Caf du département du Morbihan mit fin aux droits du requérant au RSA, avec effet rétroactif, tout en lui notifiant qu’un indu d’un montant total de 16 614 euros (EUR) lui avait été versé.

9.  En octobre 2019, le requérant fut réadmis au bénéfice du RSA.

10.  Parallèlement, il forma un recours contre les décisions des 14 et 20 juin 2019 devant le tribunal administratif de Rennes. Dans son premier moyen, intitulé « Sur le caractère irrégulier du contrôle de la Caf relatif à son déclenchement par l’utilisation de données de géolocalisation », il cita les dispositions des articles L. 114-19 et L. 114-20 du code de la sécurité sociale (CSS), portant sur le droit de communication de certaines données personnelles aux agents de la Caf, ainsi que la décision du Conseil constitutionnel du 14 juin 2019, no 2019-789 QPC ayant déclaré l’article L. 114-20 contraire à la Constitution (paragraphes 20-23 et 31 ci‑dessous). Le requérant demanda au tribunal soit d’appliquer cette décision, soit de transmettre une question prioritaire de constitutionnalité (QPC) relative audit article dans sa nouvelle rédaction.

11.  Le moyen du requérant fut ensuite développé en ces termes :

« (...) il semblerait que le contrôle ait été déclenché suite à l’utilisation de données de géolocalisation des adresses IP et des connexions au site internet de la Caf (...). L’utilisation de donnée de connexion vicie la procédure de contrôle en ce qu’elle prive d’une garantie le requérant en exposant ses données personnelles. Surtout, les données de connexion ne révèlent aucun élément déterminant en l’espèce quant à la situation même de l’intéressé au sens du paragraphe 15 de la décision no 2019-789 QPC (...). Dès lors, leur utilisation se révèle d’autant plus attentatoire à la vie privée de l’exposant. »

12.  Par un jugement du 20 octobre 2020, le tribunal administratif rejeta le recours. Concernant la QPC, il observa que, dans sa décision du 14 juin 2019, le Conseil constitutionnel avait considéré que la remise en cause des mesures prises sur le fondement de l’article L. 114-20 du CSS méconnaîtrait l’objectif de valeur constitutionnelle de lutte contre la fraude en matière de protection sociale et entraînerait ainsi des conséquences manifestement excessives. Il conclut que le requérant ne pouvait utilement se prévaloir de l’inconstitutionnalité des dispositions dudit article, qu’elle que fût sa rédaction.

13.  Sur le fond, le tribunal considéra que la décision de la Caf n’était pas fondée sur le seul traitement automatisé des données personnelles du requérant, au sens de l’article 47 de la loi « Informatique et libertés » (paragraphe 25 ci-dessous), et que le département du Morbihan n’était pas lié pas les résultats d’un tel traitement.

14.  Il considéra également que les aides financières apportées au requérant par sa famille devaient être prises en compte dans le calcul des ressources pour la détermination du montant du RSA. Il observa que l’indu de RSA résultait de l’omission du requérant de déclarer les revenus tirés de ses capitaux placés, les aides versées par ses proches, ainsi que ses rémunérations associatives. Le tribunal qualifia ses omissions de fausses déclarations, pour en déduire que le requérant n’était pas de bonne foi et rejeter son recours.

1. La procédure devant le Conseil d’État

15.  Agissant par l’intermédiaire d’un avocat au Conseil d’État et à la Cour de cassation, le requérant se pourvut en cassation, invoquant neuf moyens.

16.  Le premier moyen était relatif à une insuffisance de motivation du jugement au regard de la méconnaissance alléguée de l’article 47 de la loi « Informatique et libertés » (paragraphe 25 ci-dessous), ainsi que des dispositions du code des relations entre le public et l’administration (CRPA) imposant à peine de nullité certaines mentions obligatoires dans les décisions individuelles prise sur le fondement d’un traitement algorithmique (« décisions individuelles automatisées » ; paragraphe 30 ci-dessous). Selon le requérant, tant la décision de procéder au contrôle de sa situation que celle de supprimer le RSA constituaient de telles « décisions individuelles automatisées » fondées sur la technique de géolocalisation, manquant pourtant de ces mentions obligatoires, ce qui viciait la procédure suivie et « caractéris[ait], en outre, une atteinte à la vie privée protégée par l’article 8 de la Convention ».

17.  Le deuxième moyen reprochait au tribunal administratif d’avoir appliqué l’article L. 114-20 du CSS sans avoir tiré les conséquences de la décision du Conseil constitutionnel, alors que « le contrôle s’était appuyé sur les données de connexion, dispositif dont le Conseil constitutionnel a[vait] jugé que le législateur ne l’avait pas entouré des garanties nécessaires ». Le troisième moyen concernait la communication des données bancaires du requérant et le surplus portait sur l’appréciation des faits, la bonne foi du requérant, ses ressources, ainsi que sur son droit de recevoir le RSA.

18.  Après une audience publique du 2 juin 2022, la parole ayant été donnée au rapporteur public et à l’avocat du requérant, le Conseil d’État adopta, le 7 juillet 2022, une décision de non-admission du pourvoi.

LE CADRE JURIDIQUE ET LA PRATIQUE INTERNES et internationales PERTINENTS

1. Le droit et la pratique internes pertinents
   1. Le code de l’action sociale et des familles

19.  Les dispositions pertinentes du code de l’action sociale et des familles sont ainsi rédigées :

Article L. 262-2

« Toute personne résidant en France de manière stable et effective, dont le foyer dispose de ressources inférieures à un montant forfaitaire, a droit au revenu de solidarité active dans les conditions définies au présent chapitre. (...) »

Article R. 262-37

« Le bénéficiaire de l’allocation de revenu de solidarité active est tenu de faire connaître à l’organisme chargé du service de la prestation toutes informations relatives à sa résidence, à sa situation de famille, aux activités, aux ressources et aux biens des membres du foyer ; il doit faire connaître à cet organisme tout changement intervenu dans l’un ou l’autre de ces éléments. »

Article R. 262-25-5

« (...) la demande de revenu de solidarité active est réalisée soit par téléservice, soit par le dépôt d’un formulaire. L’utilisation du téléservice dispense, le cas échéant, l’usager de la fourniture de pièces justificatives dès lors que ces organismes disposent des informations nécessaires ou qu’elles peuvent être obtenues auprès des administrations, collectivités et organismes (...). »

1. Le code de la sécurité sociale

20.  Les dispositions pertinentes du code de la sécurité sociale (CSS) sont ainsi libellées :

Article L. 114-10

« Les directeurs des organismes chargés de la gestion d’un régime obligatoire de sécurité sociale ou du service des allocations et prestations mentionnées au présent code confient à des agents chargés du contrôle, assermentés et agréés dans des conditions définies par arrêté du ministre chargé de la sécurité sociale ou par arrêté du ministre chargé de l’agriculture, le soin de procéder à toutes vérifications ou enquêtes administratives concernant l’attribution des prestations, le contrôle du respect des conditions de résidence (...). »

Article L. 114-19

« Le droit de communication permet d’obtenir, sans que s’y oppose le secret professionnel, les documents et informations nécessaires :

1o Aux agents des organismes chargés de la gestion d’un régime obligatoire de sécurité sociale pour contrôler la sincérité et l’exactitude des déclarations souscrites ou l’authenticité des pièces produites en vue de l’attribution et du paiement des prestations servies par lesdits organismes ; (...)

3o Aux agents des organismes de sécurité sociale pour recouvrer les prestations versées indûment (...). »

21.  L’article L. 114-20 du CSS, dans sa version initiale, se lisait ainsi :

« Sans préjudice des autres dispositions législatives applicables en matière d’échanges d’informations, le droit de communication défini à l’article L. 114-19 est exercé dans les conditions prévues et auprès des personnes mentionnées à la section 1 du chapitre II du titre II du livre des procédures fiscales [s’agissant notamment des opérateurs de communications électroniques et des prestataires d’accès à des services de communication au public en ligne, ainsi que des établissements bancaires] à l’exception [de certaines personnes]. »

22.  Le libellé dudit article, dans sa version applicable depuis le 23 décembre 2018, est identique à sa version initiale, si ce n’est que la liste des personnes auprès desquelles les agents de la Caf ne peuvent exercer de droit de communication a été élargie.

23.  Les dispositions pertinentes de l’article L. 114-21 sont ainsi libellées :

« L’organisme ayant usé du droit de communication en application de l’article L. 114‑19 est tenu d’informer la personne (...) à l’encontre de laquelle est prise la décision de supprimer le service d’une prestation ou de mettre des sommes en recouvrement, de la teneur et de l’origine des informations et documents obtenus auprès de tiers sur lesquels il s’est fondé pour prendre cette décision. Il communique, avant la mise en recouvrement ou la suppression du service de la prestation, une copie des documents susmentionnés à la personne qui en fait la demande. »

1. La loi relative à l’informatique, aux fichiers et aux libertés

24.  La loi no 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés (loi « Informatique et libertés ») a été plusieurs fois modifiée. En particulier, elle a été mise en conformité avec le règlement (UE) no 2016/679 (paragraphe 35 ci-dessous) par la loi no 2018-493 du 20 juin 2018.

25.  Les dispositions pertinentes de la loi « Informatique et libertés » se lisent ainsi :

Article 2

« La présente loi s’applique aux traitements automatisés en tout ou partie de données à caractère personnel, ainsi qu’aux traitements non automatisés de données à caractère personnel contenues ou appelées à figurer dans des fichiers (...).

Constitue un fichier de données à caractère personnel tout ensemble structuré de données à caractère personnel accessibles selon des critères déterminés, que cet ensemble soit centralisé, décentralisé ou réparti de manière fonctionnelle ou géographique.

Sauf dispositions contraires, dans le cadre de la présente loi s’appliquent les définitions de l’article 4 du règlement (UE) 2016/679 du 27 avril 2016. »

Article 4

« Les données à caractère personnel doivent être :

1o Traitées de manière licite, loyale et, pour les traitements relevant du titre II [régime de protection des données à caractère personnel prévu par le règlement (UE) 2016/679], transparente au regard de la personne concernée ;

2o Collectées pour des finalités déterminées, explicites et légitimes, et ne pas être traitées ultérieurement d’une manière incompatible avec ces finalités. (...) ;

3o Adéquates, pertinentes et, au regard des finalités pour lesquelles elles sont traitées, limitées à ce qui est nécessaire ou, pour les traitements relevant des titres III [traitement des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales] et IV [traitements intéressant la sûreté de l’État et la défense], non excessives ;

4o Exactes et, si nécessaire, tenues à jour. Toutes les mesures raisonnables doivent être prises pour que les données à caractère personnel qui sont inexactes, eu égard aux finalités pour lesquelles elles sont traitées, soient effacées ou rectifiées sans tarder ;

5o Conservées sous une forme permettant l’identification des personnes concernées pendant une durée n’excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées. (...) ;

6o Traitées de façon à garantir une sécurité appropriée des données à caractère personnel, y compris la protection contre le traitement non autorisé ou illicite et contre la perte, la destruction ou les dégâts d’origine accidentelle, ou l’accès par des personnes non autorisées, à l’aide de mesures techniques ou organisationnelles appropriées. »

Article 7

« Un traitement de données à caractère personnel doit avoir reçu le consentement de la personne concernée (...), ou satisfaire à l’une des conditions suivantes :

(...)

3o L’exécution d’une mission de service public dont est investi le responsable ou le destinataire du traitement ; (...). »

Article 27 [version en vigueur du 09 octobre 2016 au 25 mai 2018][1]

« (...)

II. - Sont autorisés par arrêté ou, en cas de traitement opéré pour le compte d’un établissement public ou d’une personne morale de droit privé gérant un service public, par décision de l’organe délibérant chargé de leur organisation, pris après avis motivé et publié de la Commission nationale de l’informatique et des libertés :

(...)

4o Les traitements mis en œuvre par l’État ou les personnes morales (...) aux fins de mettre à la disposition des usagers de l’administration un ou plusieurs téléservices de l’administration électronique, si ces traitements portent sur des données parmi lesquelles figurent le numéro d’inscription des personnes au répertoire national d’identification ou tout autre identifiant des personnes physiques. »

Article 47

« (...) Aucune décision produisant des effets juridiques à l’égard d’une personne ou l’affectant de manière significative ne peut être prise sur le seul fondement d’un traitement automatisé de données à caractère personnel, y compris le profilage, à l’exception :

(...)

2o Des décisions administratives individuelles prises dans le respect de l’article L. 311-3-1 (...) du code des relations entre le public et l’administration (...). Ces décisions comportent, à peine de nullité, la mention explicite prévue à l’article L. 311‑3‑1 du code des relations entre le public et l’administration. Pour ces décisions, le responsable de traitement s’assure de la maîtrise du traitement algorithmique et de ses évolutions afin de pouvoir expliquer, en détail et sous une forme intelligible, à la personne concernée la manière dont le traitement a été mis en œuvre à son égard. (...) »

1. Le code des relations entre le public et l’administration

26.  Les dispositions pertinentes du code des relations entre le public et l’administration (CRPA) sont ainsi libellées :

Article L. 311-3-1

« (...) une décision individuelle prise sur le fondement d’un traitement algorithmique comporte une mention explicite en informant l’intéressé. Les règles définissant ce traitement ainsi que les principales caractéristiques de sa mise en œuvre sont communiquées par l’administration à l’intéressé s’il en fait la demande. »

Article R. 311-3-1-1

« La mention explicite prévue à l’article L. 311-3-1 indique la finalité poursuivie par le traitement algorithmique. Elle rappelle le droit, garanti par cet article, d’obtenir la communication des règles définissant ce traitement et des principales caractéristiques de sa mise en œuvre, ainsi que les modalités d’exercice de ce droit à communication et de saisine, le cas échéant, de la commission d’accès aux documents administratifs, définies par le présent livre. »

1. La délibération de la CNIL, l’acte règlementaire du directeur de la Cnaf et les conditions générales d’utilisation du site web caf.fr

27.  Par une délibération no 2017-039 du 23 février 2017, la Commission nationale de l’informatique et des libertés (CNIL) a émis un Avis sur le projet de décision de la Cnaf relative au simulateur de droit au RSA et au téléservice de demande de RSA sur le site web caf.fr, en retenant les éléments suivants :

« (...) Les finalités du traitement [des données personnelles] sont déterminées, explicites et légitimes dès lors que l’objet principal [du téléservice] est de permettre la réalisation d’une demande de RSA. (...)

Les catégories de données [collectées dans le cadre des traitements mis en œuvre sur le site de la Cnaf] apparaissent adéquates, pertinentes et non excessives au regard de la finalité poursuivie par le responsable de traitement. (...)

Les données enregistrées dans ce téléservice sont conservées pour une durée qui n’excède pas la durée nécessaire à la finalité pour laquelle elles sont collectées dès lors qu’elles sont supprimées lorsqu’elles sont transmises à l’outil de paiement des allocations et à l’outil d’instruction des demandes de RSA. (...)

Les destinataires [du traitement, i.e. les Caf] présentent un intérêt légitime à accéder aux données du présent traitement, dans la limite de leurs attributions et sous réserve que les données effectivement accessibles présentent un lien direct et nécessaire avec leurs fonctions, dès lors qu’ils participent à la gestion du RSA.

(...) Les personnes concernées [par le traitement] sont informées des mentions (...) de la loi du 6 janvier 1978 (...) notamment par les écrans du téléservice de demande du RSA et le site web de la CNAF ».

28.  Le 9 mars 2017, le directeur général de la Cnaf a adopté l’acte réglementaire relatif au site web caf.fr. Les dispositions pertinentes en sont libellées comme suit :

Article 1

« La Caisse nationale des allocations familiales met à la disposition des usagers et des Caf un site www.caf.fr dont l’objectif est d’améliorer le fonctionnement du service public.

En plus d’un service d’informations générales et locales, le site offre des fonctionnalités interactives :

(...)

- Téléservice : demande de prestations gérées ou suivies par la branche Famille, signalement de tout changement à l’initiative de l’allocataire pour la gestion de son dossier, transmission des pièces justificatives dématérialisées. »

Article 2

« Les catégories d’informations à caractère personnel traitées par le service sont les données nécessaires à la gestion de l’accès aux services proposés et les données relatives à l’accomplissement des démarches administratives, soit :

Les données à caractère personnel traitées par les fonctionnalités interactives et les téléservices proposées par le site www.caf.fr sont strictement nécessaires à la Cnaf et aux Caf pour rendre le service public dont elles ont la charge.

Concernant spécifiquement les téléservices, les données traitées sont celles collectées dans le cadre des CERFA [documents administratifs réglementés par un arrêté qui fixe le modèle et qui permet d’obtenir des pièces administratives] correspondants.

Les données traitées sont de quatre types :

(...)

- Les données de connexion et les données techniques relatives aux traceurs et/ou témoins de connexion qui sont déposées sur l’ordinateur des personnes qui visitent le site web. »

Article 3

« Les données ne sont conservées dans les téléservices mis en œuvre dans le site www.caf.fr que le temps nécessaire au transfert vers les traitements concernés.

(...)

S’agissant du téléservice de demande de RSA, une fois que les données ont été transmises par le téléservice aux autres applications (notamment l’outil Cristal – Conception relationnelle intégrée du système de traitement des allocations – qui est l’outil de paiement des allocations –, ou encore l’outil @Rsa), ces données ne figurent plus dans le téléservice. Cette transmission d’information est effectuée quotidiennement. Les informations ne sont alors conservées que dans les autres applications. »

Article 4

« Ont accès aux données mentionnées à l’article 2 du présent acte réglementaire, dans la limite de leur besoin d’en connaître, les agents de la Cnaf, des Caf dont les missions le justifient, individuellement désignés et dûment habilités par le directeur de leur organisme.

Les destinataires habilités à recevoir communication de ces données sont les usagers et allocataires du site. »

Article 7

« Le droit d’accès prévu par (...) la loi no 78-17 du 6 janvier 1978 modifiée s’exerce auprès du directeur de la Caf.

Pour chaque téléservice, les internautes sont informés des finalités poursuivies, des données obligatoires et facultatives collectées pour rendre le service, des destinataires de ces données et des modalités pratiques pour utiliser la procédure alternative au téléservice. »

29.  Le Gouvernement indique, sans être contesté par le requérant, que les conditions générales d’utilisation de l’Espace Mon Compte (« CGU ») sont accessibles, sans authentification, sur la page « Informatique et libertés » du site web caf.fr. Les dispositions pertinentes des CGU se lisent ainsi :

Article 1

« Chaque utilisateur doit prendre connaissance des présentes règles d’utilisation et les accepter pour pouvoir accéder à son espace numérique « Mon Compte ». En cochant la case proposée en fin de document, chaque utilisateur s’engage à respecter ces règles. En cas de modification desdites règles par la branche Famille, l’utilisateur doit à nouveau les valider pour continuer à accéder à son espace numérique.

En refusant les règles d’utilisation de l’espace numérique « Mon Compte », l’utilisateur est informé qu’il ne peut plus accéder à ses données et aux services de « Mon Compte » disponible sur Caf.fr, l’application mobile Caf Mon Compte ou dans les espaces multiservices des Caf.

À tout moment, l’utilisateur peut revenir sur son refus en accédant à l’Espace « Mon Compte » et en validant les règles d’utilisation (...) »

Article 5

« La création et l’utilisation de l’espace numérique « Mon Compte » implique l’utilisation des données personnelles renseignées par l’utilisateur ou collectées auprès de tiers, couvertes à ce titre par les dispositions du RGPD et de la loi no 78-17 du 6 janvier 1978 modifiée relative à l’informatique, aux fichiers et aux libertés.

La Cnaf est responsable du traitement de ces données au sens de l’article 4.7 du RGPD. À ce titre, elle s’engage à prendre toutes les précautions utiles au regard de la nature des données et des risques présentés par le traitement pour préserver la sécurité des données et, notamment, empêcher qu’elles soient déformées, endommagées ou que des personnes non autorisées y aient accès.

(...)

Aucune donnée de géolocalisation ne sera utilisée par la branche Famille pour un autre usage que ceux d’adapter le service attendu, de vérifier la condition de résidence, d’optimiser les modèles de contrôle et d’accès aux droits et de produire des statistiques de fréquentation du caf.fr.

Aucune exploitation commerciale ou publicitaire, même partielle, des données recueillies ne sera effectuée par la Cnaf et les Caf.

Un traitement de données personnelles est opéré par la Cnaf notamment pour vérifier, à partir d’informations issues de l’Espace Mon Compte, si l’usager réside sur le territoire français. Seuls les usagers résidant sur le territoire français peuvent bénéficier des prestations de la Caf.

Ces informations restent internes à la branche Famille de la Sécurité sociale.

Sur caf.fr, la rubrique « Informatique et Libertés » indique l’ensemble des informations relatives à la conformité des traitements de données à caractère personnel mis en œuvre par la Cnaf.

En application de l’article 15 du RGPD et de l’article 49 de la loi no 78-17 du 6 janvier 1978 modifiée, l’utilisateur bénéficie d’un droit d’accès (et de suite) aux informations qui le concernent.

(...)

Le traitement des données personnelles ainsi recueillies est réputé fondé sur le consentement ainsi obtenu par l’utilisateur. »

30.  A la date du 9 juillet 2024, le site web caf.fr comporte une page « Informatique et libertés », accessible sans authentification. En haut de la page, figure une énonciation, selon laquelle « Pour remplir leurs missions, la Caisse nationale d’Allocations familiales et les caisses d’Allocations familiales disposent de moyens informatiques et mettent en œuvre des traitements de données à caractère personnel ». La page contient les références (sous forme d’hyperliens) à la délibération de la CNIL et à l’acte réglementaire adopté en application de celle-ci (paragraphes 27 et 28 ci‑dessus). La présence, à l’époque pertinente pour la présente affaire, desdits hyperliens sur le site de la Caf n’est pas contestée par le requérant.

1. La jurisprudence interne pertinente

31.  Dans sa décision no 2019-789 QPC du 14 juin 2019 [Droit de communication des organismes de sécurité sociale], le Conseil constitutionnel s’est prononcé comme suit sur les dispositions de l’article L. 114-20 du CSS dans sa version initiale (paragraphe 21 ci-dessus) :

« 8. (...) [L]’article L. 114-20 du [CSS] étend à certains agents des organismes de sécurité sociale le droit de communication de certains documents et informations reconnu à l’administration fiscale.

9. (...) [C]e droit de communication peut notamment s’exercer auprès des établissements bancaires afin d’obtenir d’eux, sans qu’ils puissent opposer le secret professionnel, les relevés de comptes et les autres documents bancaires relatifs au bénéficiaire d’une prestation sociale ou à son ayant droit ou à un cotisant. (...) [L]es agents des organismes de sécurité sociale disposent du droit de se faire communiquer les données de connexion détenues par les opérateurs de communications électroniques, les fournisseurs d’accès à un service de communication au public en ligne[2] ou les hébergeurs de contenu sur un tel service. La communication de telles données est de nature à porter atteinte au droit au respect de la vie privée de la personne intéressée. (...)

13. (...) [L]a communication de données bancaires permet à titre principal aux organismes sociaux d’avoir connaissance des revenus, des dépenses et de la situation familiale de la personne objet de l’investigation. Elle présente un lien direct avec l’évaluation de la situation de l’intéressé au regard du droit à prestation ou de l’obligation de cotisation.

14. Si ces données peuvent révéler des informations relatives aux circonstances dans lesquelles la personne a dépensé ou perçu ses revenus, l’atteinte ainsi portée au droit au respect de la vie privée n’est pas disproportionnée au regard de l’objectif poursuivi. Il résulte de ce qui précède que le législateur a assorti le droit de communication contesté de garanties propres à assurer, entre le respect de la vie privée et l’objectif de valeur constitutionnelle de lutte contre la fraude en matière de protection sociale, une conciliation qui n’est pas déséquilibrée.

15. En revanche, compte tenu de leur nature et des traitements dont elles peuvent faire l’objet, les données de connexion fournissent sur les personnes en cause des informations nombreuses et précises, particulièrement attentatoires à leur vie privée. Par ailleurs, elles ne présentent pas de lien direct avec l’évaluation de la situation de l’intéressé au regard du droit à prestation (...). Dans ces conditions, le législateur n’a pas entouré la procédure prévue par les dispositions contestées de garanties propres à assurer une conciliation équilibrée entre le droit au respect de la vie privée et la lutte contre la fraude en matière de protection sociale.

16. Par conséquent, l’article L. 114-20 du [CSS], qui concerne notamment les données bancaires et les données de connexion, doit être déclaré contraire à la Constitution.

(...)

22. La remise en cause des mesures prises sur le fondement des dispositions déclarées contraires à la Constitution méconnaîtrait l’objectif de valeur constitutionnelle de lutte contre la fraude en matière de protection sociale et aurait ainsi des conséquences manifestement excessives. Par suite, ces mesures ne peuvent être contestées sur le fondement de cette inconstitutionnalité. »

32.  Le Conseil constitutionnel a publié un commentaire officiel à sa décision, dont les parties pertinentes se lisent ainsi :

« L’expression « droit de communication » désigne la faculté reconnue à certains organismes ou administrations d’exiger d’une personne ou de tiers la communication d’informations ou de documents qu’ils détiennent, nécessaires à l’exercice, par ces organismes ou administrations, de leurs missions. (...)

Ce droit, qui recouvre en réalité un véritable pouvoir de réquisition en faveur de ces agents, a été directement puisé dans le répertoire des pouvoirs conférés aux services fiscaux pour le contrôle de l’impôt. Il concourt ainsi au contrôle du droit à prestation et à la découverte d’agissements frauduleux qui peuvent être constitutifs d’infractions pénales, ce qui le rapproche du pouvoir de réquisition dont disposent plus généralement les services de police judiciaire.

Le droit de communication dont bénéficient les agents compétents des organismes de sécurité sociale s’étend par ailleurs aux données de connexion conservées par les opérateurs de télécommunication et les prestataires d’accès à internet (fournisseurs d’accès à internet et hébergeurs de contenu sur les réseaux de communications électroniques) (...).

L’article L. 34-1 du code des postes et des communications électroniques (...) impose aux opérateurs de communications électroniques, et notamment aux personnes dont l’activité est d’offrir un accès à des services de communication au public en ligne, d’effacer ou de rendre anonyme toute donnée relative à une communication[3] dès que celle-ci est achevée. Ce même article prévoit toutefois un certain nombre d’exceptions à cette règle (conservation des données en cas d’enquête, conservation le temps nécessaire à la facturation ou au paiement, conservation avec le consentement de l’abonné, notamment pour bénéficier d’autres services).

Le droit de communication prévu par les dispositions contestées peut ainsi porter sur ces catégories de données conservées, par exception, par ces différents opérateurs.

Les données ainsi susceptibles d’être collectées sont donc les « métadonnées » de connexion, i.e. celles qui portent la trace d’une connexion ou d’un appel téléphonique, à l’exclusion du contenu de cet appel ou de cette connexion. Il peut s’agir du numéro d’abonnement de l’émetteur de l’appel ou de son destinataire, de la date ou de la durée de la correspondance, de la facture détaillée (« fadette ») du premier ou bien encore de la localisation de l’utilisateur ou du terminal de communication.

(...)

S’agissant de la sensibilité des données, [le Conseil constitutionnel] a considéré que « la communication de données bancaires permet à titre principal aux organismes sociaux d’avoir connaissance des revenus, des dépenses et de la situation familiale de la personne objet de l’investigation » (paragr. 13). Sur la question de l’adéquation entre l’accès à ces données et la finalité poursuivie, le Conseil a observé que, ce faisant, leur communication « présente un lien direct avec l’évaluation de la situation de l’intéressé au regard du droit à prestation ou de l’obligation de cotisation » (même paragr.).

Aussi, alors même que « ces données peuvent révéler des informations relatives aux circonstances dans lesquelles la personne a dépensé ou perçu ses revenus », ce qui leur confère une sensibilité accrue, le Conseil a considéré que l’atteinte ainsi portée au droit au respect de la vie privée n’était pas disproportionnée au regard de l’objectif poursuivi (paragr. 14). Dans ces conditions, il a jugé que le législateur avait assorti le droit de communication contesté « de garanties propres à assurer, entre le respect de la vie privée et l’objectif de valeur constitutionnelle de lutte contre la fraude en matière de protection sociale, une conciliation qui n’est pas déséquilibrée » (même paragr.).

En revanche, et de façon prévisible au regard de sa jurisprudence antérieure, telle n’a pas été la position du Conseil constitutionnel concernant les données de connexion. (...) [L]e Conseil a en effet considéré que le législateur n’avait pas entouré, pour ces dernières, la procédure prévue par les dispositions contestées de garanties propres à assurer une conciliation équilibrée entre le droit au respect de la vie privée et la lutte contre la fraude en matière de protection sociale (paragr. 15). Si le raisonnement suivi en l’espèce est, sur le fond, similaire à celui qui avait guidé les précédentes décisions rendues à l’égard des données de connexion, il s’en distingue dans sa teneur dans la mesure où le Conseil a explicitement indiqué en quoi le recueil de ces données ne pouvait, compte tenu de leur nature et des traitements dont elles peuvent faire l’objet, être admis selon les mêmes conditions que les données bancaires collectées par les agents compétents des organismes de sécurité sociale.

À la différence des données bancaires examinées plus haut, le Conseil a constaté que « compte tenu de leur nature et des traitements dont elles peuvent faire l’objet », les données de connexion fournissaient sur les personnes en cause « des informations nombreuses et précises, particulièrement attentatoires à leur vie privée » (même paragr.), ce qui en fait des données particulièrement sensibles. Il a également constaté qu’elles ne présentaient, par ailleurs, « pas de lien direct avec l’évaluation de la situation de l’intéressé au regard du droit à prestation ou de l’obligation de cotisation » (même paragr.) : si l’accès à ces données peut être utile pour certaines enquêtes relatives à des faits de fraude, il ne l’est pas nécessairement dans l’exercice habituel du contrôle du droit à prestation ou de l’obligation de cotisation, contrairement à l’accès à des données bancaires retraçant les revenus sur lesquels se fondent ces derniers. Pour ces raisons, il a donc considéré que le législateur n’avait pas entouré la procédure prévue par les dispositions contestées de garanties propres à assurer une conciliation équilibrée entre le droit au respect de la vie privée et la lutte contre la fraude en matière de protection sociale. »

33.  Dans un arrêt du 3 novembre 2016 (no 15-22.595), la Cour de cassation a considéré que les adresses IP, qui permettent d’identifier indirectement une personne physique, sont des données à caractère personnel, au sens de l’article 2 de la loi no 78-17 du 6 janvier 1978 (paragraphe 25 ci‑dessus).

1. Les dispositions et jurisprudences internationales pertinentes
   1. Le droit du Conseil de l’Europe

34.  La Convention du Conseil de l’Europe pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel (« Convention 108 ») a été ratifiée par la France le 24 mars 1983 et est entrée en vigueur le 1er octobre 1985. Ses dispositions pertinentes sont exposées dans l’arrêt L.B. c. Hongrie ([GC], no 36345/16, § 42, 9 mars 2023).

1. Le droit et la jurisprudence de l’Union Européenne

35.  Le règlement (UE) no 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE, JO 2016 L 119, p. 1 (règlement général sur la protection des données, RGPD) est applicable depuis le 25 mai 2018.

36.  Les dispositions pertinentes de ce règlement sont ainsi libellées :

Article 4

Définitions

« Aux fins du présent règlement, on entend par :

1) « données à caractère personnel », toute information se rapportant à une personne physique identifiée ou identifiable (...) ; est réputée être une «personne physique identifiable» une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale ;

2) « traitement », toute opération ou tout ensemble d’opérations effectuées ou non à l’aide de procédés automatisés et appliquées à des données ou des ensembles de données à caractère personnel, telles que la collecte, l’enregistrement, l’organisation, la structuration, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, la limitation, l’effacement ou la destruction;

(...)

4) « profilage », toute forme de traitement automatisé de données à caractère personnel consistant à utiliser ces données à caractère personnel pour évaluer certains aspects personnels relatifs à une personne physique, notamment pour analyser ou prédire des éléments concernant le rendement au travail, la situation économique, la santé, les préférences personnelles, les intérêts, la fiabilité, le comportement, la localisation ou les déplacements de cette personne physique ; »

Article 6

Licéité du traitement

« 1.  Le traitement n’est licite que si, et dans la mesure où, au moins une des conditions suivantes est remplie :

(...)

e) le traitement est nécessaire à l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique dont est investi le responsable du traitement ;

(...)

3.  Le fondement du traitement visé au paragraphe 1, points c) et e), est défini par :

a) le droit de l’Union ; ou

b) le droit de l’État membre auquel le responsable du traitement est soumis.

Les finalités du traitement sont définies dans cette base juridique ou, en ce qui concerne le traitement visé au paragraphe 1, point e), sont nécessaires à l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique dont est investi le responsable du traitement. Cette base juridique peut contenir des dispositions spécifiques pour adapter l’application des règles du présent règlement, entre autres : les conditions générales régissant la licéité du traitement par le responsable du traitement ; les types de données qui font l’objet du traitement ; les personnes concernées; les entités auxquelles les données à caractère personnel peuvent être communiquées et les finalités pour lesquelles elles peuvent l’être ; la limitation des finalités ; les durées de conservation ; et les opérations et procédures de traitement, y compris les mesures visant à garantir un traitement licite et loyal, telles que celles prévues dans d’autres situations particulières de traitement comme le prévoit le chapitre IX. Le droit de l’Union ou le droit des États membres répond à un objectif d’intérêt public et est proportionné à l’objectif légitime poursuivi. »

Article 22
Décision individuelle automatisée, y compris le profilage

« 1. La personne concernée a le droit de ne pas faire l’objet d’une décision fondée exclusivement sur un traitement automatisé, y compris le profilage, produisant des effets juridiques la concernant ou l’affectant de manière significative de façon similaire.

(...) »

37.  Les dispositions de l’article 5 du RGPD, concernant les principes relatifs au traitement des données à caractère personnel (licéité, loyauté, transparence, limitation des finalités, minimisation des données, exactitude, limitation de la conservation, intégrité et confidentialité, responsabilité), sont exposées dans l’arrêt L.B. c. Hongrie (précité, § 46).

38.  La jurisprudence pertinente de la Cour de justice de l’Union Européenne (CJUE), relative aux données personnelles, aux adresses IP, ainsi qu’aux données de trafic et aux données de localisation est exposée dans les arrêts L.B. c. Hongrie (précité, §§ 47-53), Benedik c. Slovénie (no 62357/14, §§ 60-62, 24 avril 2018), et Big Brother Watch et autres c. Royaume-Uni ([GC], nos 58170/13 et 2 autres, §§ 209-241, 25 mai 2021).

GRIEFS

39.  Invoquant l’article 8 de la Convention, le requérant se plaint d’une atteinte à son droit au respect de sa vie privée en raison du traitement (collecte et utilisation), par le site web de la Caf, de l’adresse IP de son ordinateur et de certaines « données de connexion », ce qui a permis de le localiser. Invoquant l’article 6 § 1 de la Convention, il soutient que la décision de non‑admission de son pourvoi en cassation a été entachée d’un formalisme excessif et d’un manque de motivation.

EN DROIT

1. Sur le grief tiré de l’article 8 de la Convention

40.  L’article 8 de la Convention est ainsi libellé dans ses parties pertinentes :

« 1.  Toute personne a droit au respect de sa vie privée (...).

2.  Il ne peut y avoir ingérence d’une autorité publique dans l’exercice de ce droit que pour autant que cette ingérence est prévue par la loi et qu’elle constitue une mesure qui, dans une société démocratique, est nécessaire à la sécurité nationale, à la sûreté publique, au bien‑être économique du pays, à la défense de l’ordre et à la prévention des infractions pénales, à la protection de la santé ou de la morale, ou à la protection des droits et libertés d’autrui. »

1. Sur l’étendue du grief à examiner

a)      Thèses des parties

41.  Le Gouvernement explique que, lors de l’authentification d’un allocataire sur le site web de la Caf, l’adresse IP est récoltée directement depuis les serveurs du site, via le traitement des « requêtes http » adressées aux serveurs de la Cnaf hébergeant le site web. Dans un premier temps, ces requêtes sont enregistrées, avec la date et l’heure de connexion, dans des journaux de navigation ou de connexion permettant de suivre la navigation d’une adresse IP. Ces journaux sont exploités afin d’assurer la sécurité et le maintien en condition opérationnelle des sites web. L’adresse IP est conservée sous sa forme complète pour les finalités relevant de la sécurité du site web et de sécurisation des accès à l’espace « Mon compte ». Associée à un compte utilisateur, elle permet d’identifier la personne physique

42.  Dans un second temps, l’adresse IP est transformée en une classification géographique « France », « Frontalier », « Autres [pays] », et, dorénavant, « Anonyme » (indication couvrant les adresses IP connues comme appartenant à des fournisseurs VPN). Cette « pseudonymisation » s’effectue en application des principes de minimisation et de confidentialité des données, afin de ne conserver que la zone de résidence – l’information nécessaire à la finalité poursuivie, conformément aux dispositions de l’article 5 du RGPD (paragraphe 37 ci-dessus).

43.  Le Gouvernement soutient que l’authentification de l’utilisateur d’un abonnement fixe à internet à son espace « Mon compte » du site web caf.fr ne permet qu’une indication géographique très approximative, à échelle d’une ville ou d’une centaine de kilomètres (à la différence d’une géolocalisation d’un téléphone portable). En outre, la possibilité d’employer un tunnel chiffré masquant son adresse IP d’origine au moyen d’un VPN a permis au requérant de localiser artificiellement son point de connexion à l’étranger. Selon le Gouvernement, la résidence du requérant a été connue des contrôleurs non pas par l’intermédiaire de son adresse IP, mais par les explications de l’intéressé fournies aux agents de la Caf.

44.  Il soutient par ailleurs que la Caf n’a jamais demandé les données de connexion du requérant auprès d’un fournisseur d’accès à internet mais a reconnu son adresse IP du simple fait de la connexion sur le site. Le Gouvernement en déduit que la décision du Conseil constitutionnel relative au droit de communication (paragraphes 31-32 ci‑dessus) est dépourvue d’incidence sur la présente affaire.

45.  Le requérant soutient que ses données récupérées par la Caf incluaient les données de géolocalisation et « les données bancaires et de connexion » (notamment les « données de connexion à son compte bancaire »). Dans les observations supplémentaires, le requérant explique que les « données de connexion récupérées par la Caf » incluaient son adresse IP, ainsi qu’au minimum la date et l’heure de connexion, sa localisation précise et son identité civile en tant que bénéficiaire du RSA.

46.  Il allègue que la Caf a pu connaître sa ville de résidence au moyen de la collecte de l’adresse IP.

b)     Appréciation de la Cour

47.  La Cour observe que les agents de la Caf disposent du droit de se faire communiquer les données de connexion détenues par les opérateurs de télécommunication et les prestataires d’accès à internet. L’expression « droit de communication » désigne la faculté d’exiger de ces opérateurs et fournisseurs la communication d’informations relatives notamment à la navigation sur internet des internautes (paragraphes 31-32 ci-dessus).

48.  Elle relève également que, lorsqu’un site internet est consulté, l’adresse IP de l’ordinateur appelant est communiquée au serveur sur lequel le site consulté est hébergé.

49.  En l’espèce, lorsque le requérant s’est connecté à son compte personnel sur le site web caf.fr en début 2019, l’adresse IP de son ordinateur a été identifiée par le serveur hébergeant le site de la Caf comme étant située à l’étranger.

50.  En l’état de la jurisprudence du Conseil constitutionnel, ainsi que des explications du Gouvernement, la Cour considère que seules les données bancaires du requérant, et non l’adresse IP de son ordinateur, ont fait l’objet d’un droit de communication aux agents de la Caf, au sens de l’article L. 114‑19 et suivants du CSS. Or, le grief tiré de l’article 8 de la Convention concernant la communication des données bancaires du requérant et des données de connexion y afférentes a été déclaré irrecevable par le Président de la Section siégeant en tant que juge unique (voir le préambule).

51.  Dans ces conditions, les « données de connexion » du requérant désignent, dans la présente affaire, l’adresse IP de son ordinateur associée à son identifiant d’allocataire, ainsi que la date et l’heure de sa connexion sur le site de la Caf en début de l’année 2019. Partant, le grief à examiner sous l’article 8 se limite au traitement (collecte et utilisation) de ces données.

1. Sur la recevabilité du grief tiré du traitement par la Caf des données de connexion du requérant

a)      Sur l’applicabilité ratione materiae de l’article 8 de la Convention

52.  La Cour rappelle que le droit à la protection des données à caractère personnel est garanti par le droit au respect de la vie privée tel que consacré par l’article 8 de la Convention (Amann c. Suisse [GC], no 27798/95, § 65, CEDH 2000-II, et L.B. c. Hongrie, précité, § 103).

53.  Les adresses IP font partie des données relatives au trafic ou des données associées à une connexion. Il s’agit de « métadonnées ». Par ailleurs, selon la Cour de cassation, les adresses IP, permettant d’identifier une personne physique, sont les données personnelles protégées (paragraphe 33 ci-dessus). La Cour a déjà dit que l’article 8 s’appliquait à l’interception et la rétention de telles données (Big Brother Watch et autres, précité, §§ 325-330, et Centrum för rättvisa c. Suède [GC], no 35252/08, §§ 238-244, 25 mai 2021). Elle a également considéré que les informations sur les activités en ligne mettent en jeu la notion de la vie privée dès le moment où elles sont rattachées à un individu identifié ou identifiable (Benedik, précité, §§ 107‑110).

54.  En l’espèce, l’utilisation de l’adresse IP masquée par un VPN, associée à l’identifiant d’allocataire, a eu pour conséquence d’identifier le requérant (ce qui n’est pas contesté par le Gouvernement ; paragraphe 41 ci‑dessus) et de transmettre automatiquement aux agents de la Caf l’information selon laquelle il était, au moment de sa connexion, localisé à l’étranger, et ce même s’il demeurait alors en France. La Cour considère donc que l’article 8 s’applique ratione materiae au traitement de l’adresse IP de l’ordinateur du requérant.

b)     Sur l’épuisement des voies de recours internes

55.  Le Gouvernement considère que le grief est irrecevable pour non‑épuisement des voies de recours internes, dès lors que le requérant n’a pas soulevé de moyen tiré de la violation de l’article 8 de la Convention et, partant, n’a pas offert aux juridictions internes une possibilité de se prononcer sur celui-ci.

56.  Selon le Gouvernement, le Conseil d’État a exactement retranscrit les moyens de cassation de l’intéressé, parmi lesquels il n’y avait pas celui tiré du traitement de l’adresse IP au regard des exigences de l’article 8. La phrase ajoutée à la fin de l’exposé du premier moyen de cassation, relative à une violation de l’article 8 (paragraphe 16 ci-dessus), ne constituait pas un moyen auquel le Conseil d’État aurait été tenu de répondre, mais représentait tout au plus un simple argument non étayé, n’appelant pas de motivation spécifique. Enfin, à supposer même qu’il faille voir dans la phrase en question un véritable moyen de conventionnalité, il s’agirait d’un moyen nouveau, irrecevable en cassation.

57.  Le requérant combat cette thèse. Il fait valoir qu’il a explicitement invoqué l’article 8, devant le tribunal administratif, en précisant que l’utilisation de ses données de géolocalisation était attentatoire à sa vie privée (paragraphe 11 ci-dessus). Il ajoute s’être largement référé à la décision du Conseil constitutionnel relative à l’article L. 114-20 du CSS, disposition sur laquelle s’appuierait l’utilisation de ses données personnelles. Par ailleurs, selon le requérant, ses trois premiers moyens de cassation portaient sur les droits relatifs aux données personnelles et donc, en substance, sur les violations de l’article 8 de la Convention.

58.  La Cour considère qu’il n’est pas nécessaire de se prononcer sur l’exception de non-épuisement des voies de recours internes, dès lors qu’en tout état de cause le grief est manifestement mal fondé, pour les raisons exposées infra.

c)      Sur le bien-fondé du grief

1. Thèses des parties

59.  Le requérant soutient que la collecte et l’utilisation de l’adresse IP par la Caf a été dépourvue d’une base légale interne conforme aux exigences conventionnelles. Selon le requérant, les dispositions de la Convention 108 et le RGPD relatives au traitement des données personnelles sont insuffisamment précises pour constituer valablement une telle base légale. Quant à l’acte réglementaire du 9 mars 2017, qui serait une simple décision du directeur de la Cnaf, il ne constituerait pas une « loi » au sens de la Convention, à l’instar des conditions générales d’utilisation du site web caf.fr. Le requérant estime que l’utilisateur du site demeure dans le flou quant à la manière dont ses données sont collectées, traitées et conservées.

60.  Il soutient que la collecte de ses données personnelles par la Caf s’inscrit dans un véritable système de surveillance sociale qui concerne la majorité de la population française, alors que les montants frauduleusement obtenus au titre de prestations sociales sont insignifiants par rapport au montants totaux versés. Il en déduit que l’impératif de la lutte contre la fraude en matière sociale doit être relativisé.

61.  Faisant valoir que ses données de connexion étaient sensibles et représentaient un enjeu important pour sa vie privée, outre le fait que leur l’utilisation a produit des effets irrémédiables, le requérant conclut à une ingérence disproportionnée. Il ajoute à cet égard que d’autres mesures moins intrusives, à l’instar des visites domiciliaires ou enquêtes de voisinage, auraient pu être mises en œuvre pour vérifier sa résidence en France.

62.  Selon le Gouvernement, un logiciel utilisé par la Cnaf peut cibler les dossiers dans lesquels plusieurs déclarations ont été effectuées à l’étranger. Un contrôle pourrait éventuellement être effectué, après une étude du dossier de l’allocataire par un agent de la Caf. En l’espèce, le signalement d’une connexion au site de la Caf depuis l’étranger n’a fait que déclencher le contrôle de la situation du requérant, sans pour autant avoir constitué un fondement pour lui retirer le bénéfice du RSA. Il indique à cet égard que les personnes ayant fait une demande de RSA sont susceptibles d’être contrôlées, conformément à l’article L. 114-10 du CSS (paragraphe 20 ci-dessus).

63.  Le Gouvernement conclut à l’existence d’une base légale claire et prévisible de la mesure. Il se réfère aux dispositions du RGPD, à la délibération de la CNIL et à l’acte réglementaire du directeur de la Cnaf, ainsi qu’à la Convention 108 (paragraphes 27-28 et 35-37 et 34 ci-dessus). Il renvoie également aux conditions d’utilisation de l’espace « Mon compte » – un instrument juridique de nature contractuelle que chaque utilisateur s’engage à respecter – rappelées dans la rubrique « Informatique et libertés » du site web caf.fr (paragraphes 29-30 ci-dessus). Dans ces conditions, selon le Gouvernement, les personnes concernées sont informées du traitement de leurs données de connexion et le requérant ne pouvait ni alléguer que l’adresse IP de son ordinateur a été collectée à son insu, ni s’attendre à l’anonymat de l’adresse IP lorsqu’il s’était authentifié et connecté à son compte utilisateur.

64.  Le Gouvernement soutient en outre que l’ingérence a poursuivi plusieurs buts légitimes : assurer la sécurité du site web caf.fr et des connexions des utilisateurs, ainsi que lutter contre la fraude aux prestations sociales, et plus particulièrement, vérifier l’éligibilité du requérant au RSA. Tout en précisant que la Caf ne procède pas à une collecte et une conservation générale et indifférenciée des données de connexion des utilisateurs d’un réseau de télécommunications, contrairement à un fournisseur d’accès à internet ou à un opérateur de communications téléphoniques, il conclut à l’absence de moyen moins intrusif que la collecte de l’adresse IP pour parvenir aux buts légitimes susmentionnés.

65.  Le Gouvernement considère également que l’ingérence a été proportionnée, dès lors qu’elle a respecté les critères exposés dans l’arrêt L.B. c. Hongrie (précité, § 123), à savoir, minimisation des données stockées ; garantie de l’exactitude des données ; adéquation et pertinence des données par rapport aux finalités de leur enregistrement ; durée de conservation adaptée et non excessive ; utilisation des données dans le but dans lequel elles ont été recueillies et transparence du processus de traitement.

1. Appréciation de la Cour

α)        Sur l’existence d’une ingérence

66.  La Cour relève que, dans le formulaire de la requête et le document annexe, le requérant ne se plaint que de la collecte et de l’utilisation de l’adresse IP par la Caf pour obtenir sa localisation. Il ne soulève pas de griefs concernant la conservation de cette donnée ou son droit de rectification et d’effacement. Elle relève également qu’il n’y a pas eu de divulgation de l’adresse IP à des tiers.

67.  La Cour rappelle que l’article 8 de la Convention a d’abord pour objet de prémunir l’individu contre les ingérences arbitraires des pouvoirs publics. La Cnaf et les Caf étant des établissements publics, la Cour examinera le grief sous l’angle des obligations négatives (Drelon c. France, nos 3153/16 et 27758/18, § 85, 8 septembre 2022).

68.  Elle considère que la collecte et l’utilisation de l’adresse IP du requérant par la Caf constitue une ingérence dans le droit du requérant au respect de sa vie privée. Pareille ingérence est conforme aux exigences de l’article 8 si elle est « prévue par la loi », elle poursuit un but légitime, et est « nécessaire dans une société démocratique » pour atteindre celui-ci.

β)        Sur l’existence d’une base légale et d’un but légitime de l’ingérence

69.  Pour les principes généraux relatifs à la légalité d’une ingérence dans les droits protégés par l’article 8, il est renvoyé aux arrêts Benedik (précité, § 122), et Drelon (précité, § 81, avec les références y citées).

70.  En l’espèce, la Cour considère, au regard des observations des parties, que la mesure litigieuse trouvait sa base légale dans les dispositions combinées du CSS, du RGPD, de la loi « Informatique et libertés » (mise en conformité avec ledit règlement) et de l’acte réglementaire du 9 mars 2017 relatif au site web caf.fr.

71.  En effet, ainsi que le fait valoir le Gouvernement, l’article L. 114-10 du CSS autorise les agents assermentés de la Caf à procéder aux contrôles des allocataires (paragraphe 20 ci-dessus). L’article 6 du RGPD permet le traitement de données personnelles lorsqu’il est nécessaire à l’exécution d’une mission d’intérêt public (paragraphe 36 ci-dessus) – en l’espèce, le traitement des demandes de RSA et le versement de ces prestations aux allocataires. L’article 7 de la loi « Informatique et libertés » prévoit, quant à lui, la possibilité du traitement des données personnelles sans consentement de la personne, lorsqu’il s’agit de l’exécution d’une mission de service public. L’article 27 de ladite loi autorisait, au moment où la CNIL a adopté sa délibération relative au simulateur de droit au RSA et au téléservice de demande de RSA sur le site web caf.fr, les traitements de données personnelles aux fins de mettre à la disposition des usagers un ou plusieurs téléservices, si ces traitements portent sur les données identifiant les personnes physiques (paragraphe 25 ci-dessus). La CNIL a, par ailleurs, considéré que le traitement des données personnelles est légitime dès lors que l’objectif du téléservice est de permettre la réalisation d’une demande de RSA (paragraphe 27 ci-dessus).

72.  Conformément à ladite délibération, le 9 mars 2017, le directeur de la Cnaf a adopté l’acte réglementaire relatif au site web caf.fr, contenant des dispositions précises, concernant notamment le traitement des adresses IP. En particulier, l’article 2 de l’acte réglementaire prévoit expressément le traitement des « données de connexion et des données techniques relatives aux traceurs et/ou témoins de connexion qui sont déposées sur l’ordinateur des personnes qui visitent le site » de la Caf. Les articles 3 et 4 prévoient, respectivement, la conservation et l’accès aux données personnelles. L’article 7 de l’acte règlementaire prévoit l’information des internautes relativement au traitement de leurs données personnelles lors de l’utilisation du téléservice (paragraphe 28 ci-dessus).

73.  La Cour rappelle à cet égard que la notion de « loi » figurant dans la Convention inclut l’ensemble constitué par le droit écrit, y compris les textes de rang infralégislatif (mutatis mutandis, Soros c. France, no 50425/06, §§ 51-53, 6 octobre 2011, Fernández Martínez c. Espagne [GC], no 56030/07, § 117, CEDH 2014, et Ebrahimian c. France, no 64846/11, § 48, CEDH 2015) et que, lorsqu’une disposition a été portée à la connaissance du public par d’autres moyens, elle est considérée comme accessible, même en l’absence de publication officielle (mutatis mutandis, Špaček, s.r.o., c. République tchèque, no 26449/95, §§ 57-60, 9 novembre 1999). La Cour accepte donc que l’acte réglementaire relatif au site web caf.fr puisse s’analyser en une « loi », au sens de sa jurisprudence, et que sa publication sur le site web de la Caf (paragraphe 30 ci-dessus) le rend accessible. La Cour relève, subsidiairement, le requérant n’allègue pas que l’acte réglementaire manquait d’accessibilité.

74.  La Cour considère également que le requérant était censé être informé en amont du traitement de l’adresse IP de son ordinateur. En effet, en tant qu’utilisateur du téléservice du site web caf.fr, il lui appartenait de lire et d’accepter les conditions d’utilisation de ce service, avant de s’authentifier, ou de renoncer à l’utilisation du téléservice (paragraphes 28, s’agissant de l’article 7 de l’acte réglementaire, et 35 ci-dessus). Elle note à cet égard que le site web caf.fr contenait, déjà à l’époque pertinente, des renvois à la délibération de la CNIL et à l’acte réglementaire précité, et que les CGU informent les internautes sans ambiguïté sur le traitement de leurs données personnelles (y compris de leurs « données de géolocalisation » ; voir l’article 5) et contiennent des références aux dispositions pertinentes du RGPD relatives au traitement des données personnelles.

75.  La Cour conclut que ce cadre légal, pris dans son ensemble, définissait avec suffisamment de précision l’étendue et les modalités de la collecte et de l’utilisation de l’adresse IP de l’ordinateur par les agents de la Caf, et permettait ainsi au requérant de régler sa conduite, c’est-à-dire de poursuivre ou non, en connaissance de cause, son authentification sur le site web de la Caf. Ne décelant aucun élément de nature à remettre en cause la légalité de la mesure litigieuse, la Cour considère que l’ingérence était « prévue par la loi ».

76.  Quant à un but légitime, la Cour s’accorde à dire, avec le Gouvernement, qu’il a consisté à vérifier l’éligibilité du requérant à l’allocation sociale demandée (prévention de la fraude), ainsi qu’à assurer la sécurité du site web caf.fr et des connexions des allocataires. Il s’ensuit que la mesure litigieuse poursuivait un but légitime dans l’intérêt du bien-être économique du pays et la prévention des infractions pénales, au sens du deuxième paragraphe de l’article 8 de la Convention.

γ)        Sur la proportionnalité de l’ingérence

77.  Les principes généraux concernant l’appréciation du caractère proportionné du traitement de données à caractère personnel sont rappelés dans la décision L.F. c. France ((déc.), nos 3866/20 et 9292/20, §§ 26-29, 13 février 2024). En particulier, dans son examen de la proportionnalité, la Cour tient compte du respect des principes relatifs à la protection des données personnelles tels qu’énoncés dans l’article 5 de la Convention 108 et repris dans l’article 5 du RGPD, ainsi que dans l’article 4 de la loi « Informatique et libertés » : la licéité, la loyauté et la transparence de la collecte, le caractère adéquat et pertinent, la minimisation des données et la limitation du traitement à ce qui est nécessaire au regard des finalités, l’exactitude des données (paragraphes 25, 34 et 37 ci-dessus).

78.  En l’espèce, la Cour relève, en premier lieu, que la donnée litigieuse – l’adresse IP, transformée en indication géographique « Autres pays », ne présente pas de caractère sensible et ne porte ni sur les aspects les plus intimes (voir, a contrario, Drelon, précité, § 95, les arrêts cités dans la décision L.F. c. France, précitée, § 34, ainsi que dans l’arrêt L.B. c. Hongrie, précité, § 119), ni sur les aspects particulièrement importants de l’existence ou de l’identité d’un individu (S. et Marper c. Royaume-Uni [GC], nos 30562/04 et 30566/04, § 102, CEDH 2008). Par ailleurs, cette donnée, en tant que telle, ne fournit pas d’« informations nombreuses et précises » sur le requérant (au sens du paragraphe 16 de la décision QPC du 14 juin 2019) et ne permet pas d’établir son profil détaillé par le traçage exhaustif de son parcours sur internet. Au contraire, il s’agit d’une information approximative de nature purement géographique, ne méritant pas, de l’avis de la Cour, de protection accrue. En effet, ainsi que le fait valoir le Gouvernement, la Cnaf ne procède pas à une collecte et une conservation généralisée des données de connexion des utilisateurs d’internet, contrairement à un fournisseur de communications électroniques.

79.  En l’absence d’un tel caractère sensible, la marge d’appréciation accordée aux autorités est plus étendue (ibidem, § 93, et, mutatis mutandis, S. et Marper, précité, § 102).

80.  La Cour relève, en deuxième lieu, que la donnée litigieuse a été collectée de manière licite, loyale et transparente (paragraphes 70-75 ci‑dessus). Certes, le traitement de l’adresse IP a entraîné des répercussions importantes sur la situation du requérant, dès lors qu’il a été à l’origine d’un contrôle de sa situation ayant finalement abouti à supprimer le RSA. Il reste que pour bénéficier des allocations sociales via l’utilisation du téléservice, le requérant ne pouvait pas raisonnablement s’attendre, lors de sa connexion sur son espace « Mon compte » de la Caf, à ce que sa localisation reste inconnue des agents de ce prestataire public.

81.  En troisième lieu, la Cour s’accorde à dire, avec le Gouvernement, que le principe de minimisation des données a été respecté, dès lors que seule l’indication « Autres pays » a été traitée par la Caf dans le but de vérifier la résidence du requérant en sa qualité d’allocataire. À cet égard, la Cour considère important de noter que l’utilisation de cette donnée a été strictement limitée par la finalité de sa collecte : la détermination du lieu de résidence du requérant en France afin de contrôler sa situation et de vérifier son éligibilité au RSA. Partant, elle s’est avérée strictement nécessaire dans le cadre de l’exercice du service public de versement des allocations (voir également l’article 2 de l’acte réglementaire relatif au site web caf.fr énonçant que les données personnelles – notamment les données de connexion – traitées par les téléservices sont « strictement nécessaires à la Cnaf et aux Caf pour rendre le service public dont elles ont la charge » ; paragraphe 28 ci-dessus). Aucune collecte ou utilisation abusive, excessive ou inutile de l’adresse IP n’a été établie.

82.  S’agissant de l’exactitude de cette donnée, la Cour note que, malgré le fait que le requérant s’était connecté depuis la France, l’utilisation du VPN a entraîné une localisation erronée à l’étranger, imputable à son choix de ne pas révéler sa véritable adresse en France. Or, par la suite, il a pu faire rectifier cette inexactitude, en donnant des explications aux agents de la Caf (paragraphe 6 ci-dessus ; voir, a contrario, Khelili c. Suisse, no 16188/07, 18 octobre 2011).

83.  Enfin et subsidiairement, même si le requérant ne soulève pas cet aspect, la Cour relève le nombre limité des personnes habilitées à accéder directement à cette donnée, à savoir uniquement les agents de la Caf.

δ)        Conclusion

84.  La Cour conclut que la collecte et l’utilisation de l’adresse IP reposait sur une base légale conforme aux exigences conventionnelles. Eu égard à la marge d’appréciation accordée aux autorités dans le domaine de la répression de la fraude aux allocations sociales, à la finalité poursuivie par le traitement de cette donnée personnelle par la Caf et des garanties dont est entourée, en droit interne, sa mise en œuvre, la Cour déduit que la mesure reposait sur des motifs pertinents et suffisants et ne portait manifestement pas une atteinte disproportionnée au droit du requérant au respect de sa vie privée.

85.  Il ressort de tout ce qui précède que ce grief est manifestement mal fondé et qu’il doit être rejeté, en application de l’article 35 §§ 3 a) et 4 de la Convention.

1. Sur le grief tiré de l’article 6 § 1 de la Convention

86.  Invoquant l’article 6 § 1 de la Convention, le requérant se plaint de ce que le Conseil d’État a rejeté son pourvoi sans répondre au grief tiré d’une violation de l’article 8 de la Convention. L’article 6 § 1 est ainsi libellé dans ses parties pertinentes :

« Toute personne a droit à ce que sa cause soit entendue équitablement (...) par un tribunal (...), qui décidera (...) des contestations sur ses droits et obligations de caractère civil (...) »

1. Thèses des parties

87.  Le Gouvernement réitère ses observations sur le terrain de la recevabilité de l’article 8 de la Convention (paragraphes 55-56 ci-dessus). Il conclut qu’il ne peut être reproché au Conseil d’État d’omettre de répondre au moyen tiré de la méconnaissance de l’article 8, dès lors qu’un tel moyen n’a pas été présenté ou, au mieux, qu’il s’agissait d’un moyen nouveau, irrecevable en cassation. Concluant à l’absence de toute apparence de violation de l’article 6 § 1, le Gouvernement invite la Cour à rejeter le grief pour défaut manifeste de fondement.

88.  Le requérant soutient que le Conseil d’État était valablement saisi de trois moyens portant effectivement mais indirectement sur le respect de l’article 8 de la Convention, mais n’y a pas répondu, privant l’intéressé du droit d’accès en cassation. Ces moyens auraient déjà été soulevés en première instance et n’étaient donc pas nouveaux. Il soutient avoir subi une charge excessive en raison de l’erreur dans la lecture de ses moyens commise par le Conseil d’État.

89.  Par ailleurs, aux yeux du requérant, la non-admission de son pourvoi s’analyse en un défaut de motivation contraire aux exigences de l’article 6 de la Convention.

1. Appréciation de la Cour

90.  La Cour juge, à la lumière de l’ensemble des éléments dont elle dispose, que le grief susmentionné ne révèle aucune apparence de violation des droits et libertés énoncés dans la Convention. Partant, il doit être rejeté, en application de l’article 35 §§ 3 a) et 4 de la Convention.

Par ces motifs, la Cour, à l’unanimité,

Déclare la requête irrecevable.

Fait en français puis communiqué par écrit le 28 novembre 2024.

 Martina Keller María Elósegui
 Greffière adjointe Présidente

[1] Au moment où la Commission nationale de l’informatique et des libertés (CNIL) a adopté son Avis sur le projet de décision de la Cnaf relative au simulateur de droit au RSA et au téléservice de demande de RSA sur le site web caf.fr (paragraphe 27 ci-dessous).

[2] La loi n° 86-1067 du 30 septembre 1986 relative à la liberté de communication définit la communication au public en ligne comme toute transmission, sur demande individuelle, de données numériques n’ayant pas un caractère de correspondance privée, par un procédé de communication électronique permettant un échange réciproque d’informations entre l’émetteur et le récepteur.

[3] L’article R. 10-13 du code des postes et des communications électroniques définit les adresses IP en tant que données techniques permettant d’identifier la source de la connexion ou celles relatives aux équipements terminaux utilisés.