Arrêt du Tribunal fédé­ral 1C_​273/​2020 du 05.01.2021 (destiné à la publication)

Le Conseil muni­ci­pal de la commune d’Auenstein en Argovie décide la conver­sion des comp­teurs d’eau conven­tion­nels en dispo­si­tifs intel­li­gents par modi­fi­ca­tion de son Règlement commu­nal sur l’eau (Règlement sur l’eau). Le 30 octobre 2017, un tel comp­teur est installé chez le recou­rant. Le comp­teur mesure de façon conti­nue la quan­tité d’eau consom­mée et collecte, puis conserve loca­le­ment, pendant 252 jours, des données horaires concer­nant l’état de l’alarme, le relevé du comp­teur et le débit maxi­mal et mini­mal mesuré, mais les deux opéra­tions sont indé­pen­dantes l’une de l’autre. Ces données sont chif­frées et émises par radio toutes les 30 ou 45 secondes pour être acces­sibles à une certaine distance par l’intermédiaire d’un dispo­si­tif protégé par un mot de passe. Cela permet au four­nis­seur d’eau de traver­ser un quar­tier et ainsi de récol­ter ces données. Une valeur unique de consom­ma­tion est récol­tée une fois par an par le four­nis­seur pour être utili­sée à des fins de facturation.

Le recou­rant s’oppose sans succès à l’installation de ce nouveau comp­teur devant les auto­ri­tés commu­nales puis canto­nales. En paral­lèle, il agit devant le Préposé canto­nal à la protec­tion des données et à la trans­pa­rence, lequel, sans rendre une recom­man­da­tion formelle, conseille l’usage d’un comp­teur méca­nique ou un comp­teur intel­li­gent, soit en désac­ti­vant l’émission radio des données soit en le para­mé­trant par défaut de manière favo­rable au respect de la vie privée (privacy by default). Débouté par le Tribunal canto­nal argo­vien, le recou­rant dépose un recours devant le Tribunal fédéral.

Le recou­rant invoque une viola­tion du droit à la protec­tion de la sphère privée (art. 13 Cst.), au motif que des tiers non auto­ri­sés pour­raient accé­der aux données via le système radio et que l’État pour­rait, par les données récol­tées, créer un profil de consom­ma­teur (Verbraucherprofil). Pour le Tribunal fédé­ral, le risque d’utilisation abusive est très faible. En effet, la créa­tion d’un tel profil serait contraire à Loi argo­vienne sur la trans­pa­rence, la protec­tion des données et les archives (RS-AG 150.700 ; IDAG) et au Règlement sur l’eau. Techniquement, cela suppo­se­rait de procé­der à un relevé quoti­dien pour pouvoir tirer des conclu­sions sur le compor­te­ment des citoyens, ce qui pour­rait rétros­pec­ti­ve­ment être établi. Enfin, les protec­tions mises en place, dont le chif­frage 128 bits des données, sont suffi­santes pour parer à l’ac­cès par un tiers aux données. Ce moyen doit donc être écarté.

En outre, le recou­rant conteste l’atteinte exces­sive causée par la trans­mis­sion conti­nue de ses données. À cet égard, l’art. 13 al. 2 Cst. consacre le droit à l’autodétermination infor­ma­tion­nelle et dispose que « toute personne a le droit d’être proté­gée contre l’emploi abusif des données qui la concerne ». Les « données qui la concerne » corres­pondent à la notion de « donnée person­nelle » telle que prévue par l’art. 3 let. a de la Loi sur la protec­tion des données (LPD), laquelle ne s’ap­plique toute­fois pas au cas d’espèce.

À cet égard, le Tribunal fédé­ral juge que les données rela­tives à la consom­ma­tion d’eau sont des données person­nelles des habi­tants, du moins dans la mesure où il est possible de tirer des conclu­sions à leur sujet. C’est le cas pour les villas indi­vi­duelles et les immeubles au sein desquels un comp­teur d’eau corres­pond à un appar­te­ment. Il en va ainsi dans le cas présent. Étant donné que les données sont collec­tées et conser­vées, elles font l’objet d’un trai­te­ment. Il s’agit qui plus est d’un trai­te­ment par une auto­rité publique, car les comp­teurs d’eau conser­vant ces données sont la propriété du four­nis­seur d’eau de la commune d’Auenstein, lequel est une insti­tu­tion publique auto­nome sous le contrôle de la muni­ci­pa­lité (art. 2 Règlement sur l’eau).

Comme les autres droits fonda­men­taux, celui à l’autodétermination infor­ma­tion­nelle peut faire l’objet de restric­tions confor­mé­ment à l’art. 36 Cst. En l’es­pèce, le Tribunal fédé­ral distingue les données rela­tives à la factu­ra­tion et les autres pour axer son analyse sur les secondes. En effet, le trai­te­ment des premières données qui se rapporte à la collecte du relevé au moment déter­mi­nant, sa trans­mis­sion et son utili­sa­tion à des fins de factu­ra­tion repose sur une base légale suffi­sante. De plus, ce trai­te­ment pour­suit un inté­rêt public et, en parti­cu­lier, la mise en place de comp­teurs intel­li­gents est jugée répondre à un inté­rêt public, en ce qu’ils offrent un gain d’efficacité à l’État, en permet­tant à ses agents de procé­der aux rele­vés des comp­teurs à distance et donc plus rapi­de­ment et ce sans s’introduire chez les parti­cu­liers. Le trai­te­ment est égale­ment conforme au prin­cipe de proportionnalité.

En revanche, il en va autre­ment s’agissant des autres données, à savoir les valeurs horaires conser­vées sur le comp­teur d’eau pendant 252 jours et émises par radio toutes les 30 ou 45 secondes. Aucune base légale ne prévoit ni la collecte, ni la conser­va­tion de ces données ou encore leur émis­sion par radio. Le fait que la commune n’ait pas l’intention de faire usage des données collec­tées ne saurait rien y chan­ger. La ques­tion de l’existence d’un inté­rêt public est en revanche lais­sée ouverte.

Le prin­cipe de propor­tion­na­lité, condi­tion de l’art. 36 Cst., est traduit dans le contexte de la protec­tion des données au travers des prin­cipes de l’évitement (Datenvermeidung) et de la mini­mi­sa­tion (Datensparsamkeit) des données, en ce sens que des données ne doivent être trai­tées que si et dans la mesure où cela est néces­saire au but poursuivi.

En l’espèce, les données horaires conser­vées pendant 252 jours sont trai­tées sans but appa­rent et sans volonté de l’autorité d’en faire un usage quel­conque. Le fait que ces données soient très bien proté­gées et qu’un accès abusif puisse être quasi­ment exclu ou soit très impro­bable ne change pas cette conclu­sion. En effet, le prin­cipe de la sécu­rité des données (cf. art. 7 LPD) ne peut compen­ser le fait que plus de données que néces­saire sont trai­tées. La condi­tion de la néces­sité décou­lant du prin­cipe de propor­tion­na­lité perdrait de sa perti­nence si l’autorité pouvait démon­trer qu’elle a pris des mesures de sécu­rité suffi­santes. Or les prin­cipes d’évitement et de mini­mi­sa­tion des données visent à garan­tir que des données qui ne sont pas néces­saires ne soient ni collec­tées ni trai­tées. Des données qui n’existent pas ne peuvent être utili­sées à mauvais escient et, ainsi, elles béné­fi­cient d’une meilleure protection.

Il s’ensuit que le recours doit être admis, l’ar­rêt canto­nal annulé et la cause renvoyée à la muni­ci­pa­lité d’Auenstein pour nouvelle déci­sion. Elle devra exami­ner d’autres pistes, dont la désac­ti­va­tion de la conser­va­tion interne des données ou la mise en place d’un autre dispo­si­tif conforme au prin­cipe de la proportionnalité.

Destiné à la publi­ca­tion, cet arrêt met en lumière le carac­tère très étendu de la notion de « données person­nelles ». À cet égard, les données rela­tives à la consom­ma­tion d’eau ne sont pas per se quali­fiées de « person­nelles », mais ne le sont que si elles peuvent être reliées à une ou des personnes déter­mi­nées. Cette quali­fi­ca­tion est impor­tante, car elle entraîne l’en­trée en jeu du droit consti­tu­tion­nel à l’au­to­dé­ter­mi­na­tion infor­ma­tion­nelle (art. 13 al. 2 Cst.). Cela a pour effet que tout trai­te­ment à l’égard de ces données est consti­tu­tif d’une restric­tion devant repo­ser sur une base légale, un inté­rêt public ou privé et être propor­tion­née au but visé (art. 36 Cst.). Il est vrai qu’à côté du droit consti­tu­tion­nel, ou la LPD ou la loi canto­nale sur la protec­tion des données s’ap­plique en fonc­tion de la personne du respon­sable du trai­te­ment (cf. art. 2 al. 1 LPD et son équi­valent canto­nal) et de l’ob­jet du trai­te­ment (cf. art. 2 al. 2 LPD et son équi­valent canto­nal). Toutefois, la viola­tion du droit canto­nal ne peut être exami­née par le Tribunal fédé­ral que sous l’angle de l’ar­bi­traire, raison pour laquelle l’art. 13 al. 2 Cst. a un rôle impor­tant d’un point de vue procé­du­ral en présence de trai­te­ments par des auto­ri­tés cantonales.

Par rapport au prin­cipe de propor­tion­na­lité surtout, le Tribunal fédé­ral souligne l’importance des prin­cipes de l’évitement et de la mini­mi­sa­tion des données, lesquels sont défi­nis comme suit par le Conseil fédé­ral : « [l]e premier implique que si le but du trai­te­ment peut être atteint sans collecte de données nouvelles, cette option doit être privi­lé­giée. Le second veut que seules les données abso­lu­ment néces­saires au but pour­suivi soient trai­tées » (FF 2017 6565, 6644). Ces prin­cipes ne sont pas consa­crés expres­sis verbis dans la LPD, mais ils découlent du prin­cipe de propor­tion­na­lité (art. 4 al. 2 LPD et art. 6 al. 2 nLPD). Pour le Tribunal fédé­ral, ils concré­tisent dans le domaine de la protec­tion des données la maxime de la néces­sité dans l’ana­lyse combi­née des art. 13 al. 2 et 36 al. 3 Cst., c’est-à-dire au niveau du droit consti­tu­tion­nel. En tant que (sous-)principes, ils existent de manière indé­pen­dante et doivent donc être respec­tés en tant que tels et pour eux-mêmes. De ce fait, un manque­ment à leur égard ne peut pas être compensé par le respect de façon accrue d’un autre principe.

D’un point de vue métho­do­lo­gique, l’art. 36 Cst. voudrait que soit d’abord établi l’in­té­rêt (al. 2) avant que la propor­tion­na­lité ne soit exami­née (al. 3). En l’oc­cur­rence, le Tribunal fédé­ral laisse étran­ge­ment ouverte la ques­tion de savoir si la collecte des données horaires, leur émis­sion toutes les 30 ou 45 secondes et leur conser­va­tion pendant une durée aussi longue repose sur un quel­conque inté­rêt public. Il était d’évi­dence plus aisé de consta­ter la viola­tion du prin­cipe de propor­tion­na­lité, mais il nous paraît qu’il aurait été tout aussi simple de conclure à son inexis­tence, tant il nous semble impos­sible qu’un tel trai­te­ment puisse corres­pondre à un inté­rêt public.

Enfin, la mise en place de comp­teurs intel­li­gents et plus géné­ra­le­ment du « comp­tage intel­li­gent » (« smart mete­ring ») néces­site une véri­table réflexion de la part des auto­ri­tés quant au respect de la vie privée. Celle-ci doit inter­ve­nir à un stade précoce et donc dans le proces­sus légis­tique d’éla­bo­ra­tion des règles de droit, afin de tenir compte des normes rela­tives à la protec­tion des données person­nelles. En quelque sorte, le légis­la­teur et plus géné­ra­le­ment les auto­ri­tés doivent égale­ment prendre en compte le prin­cipe privacy by design dans l’ac­tion étatique.