Une ordonnance rendue le 22 mai 2025 par la formation spécialisée du Conseil d’État illustre les difficultés procédurales liées à l’exercice du droit d’accès aux données personnelles contenues dans des traitements intéressant la sûreté de l’État. En l’espèce, une personne, après avoir saisi la Commission nationale de l’informatique et des libertés, a cherché à obtenir la communication des informations la concernant au sein du système de données des passagers aériens, dénommé API-PNR. Face à une réponse jugée insuffisante, elle a saisi le tribunal administratif de Paris d’une requête en annulation du refus implicite et en injonction de communication, de rectification ou d’effacement de ses données. Estimant que la sûreté de l’État pouvait être concernée, le tribunal administratif a transmis le dossier au Conseil d’État. La question soulevée devant la haute juridiction portait sur la recevabilité d’une telle requête, compte tenu de l’architecture des fichiers de données et de l’existence d’une procédure judiciaire antérieure. Le Conseil d’État a finalement décidé qu’il n’y avait pas lieu de statuer sur la demande. Cette solution, bien que procédurale, repose sur une analyse stricte des conditions d’accès aux fichiers interconnectés et sur l’application rigoureuse d’un principe directeur du procès administratif.
Le raisonnement des juges met en lumière la complexité des voies de droit ouvertes à l’administré lorsque ses données sont susceptibles de figurer dans plusieurs fichiers aux régimes distincts (I). La solution retenue, fondée sur l’autorité de la chose jugée, constitue un obstacle dirimant à l’examen au fond de la requête (II).
L’ordonnance expose la coexistence de procédures d’accès différenciées pour le traitement API-PNR et le fichier des personnes recherchées (A), affirmant la prééminence de la procédure applicable au fichier source en matière de sûreté de l’État (B).
La décision rappelle que le traitement API-PNR, qui centralise les données de voyage, et le fichier des personnes recherchées (FPR) sont deux entités juridiquement distinctes. Le premier est soumis à un droit d’accès direct auprès du directeur de l’agence nationale des données de voyage, conformément à l’article R. 232-22 du code de la sécurité intérieure. Le second, pour les données intéressant la sûreté de l’État, relève d’une compétence exclusive de la formation spécialisée du Conseil d’État après une procédure de vérification indirecte par la Commission nationale de l’informatique et des libertés.
Toutefois, la complexité naît de ce que le traitement API-PNR intègre, pour les besoins de ses missions, « une copie partielle et actualisée » du FPR. Cette imbrication technique ne conduit pas pour autant à une fusion des régimes juridiques. Le Conseil d’État prend soin de souligner que, bien que le traitement API-PNR contienne des données potentiellement sensibles, il ne figure pas sur la liste des traitements relevant de la compétence directe de sa formation spécialisée, fixée par l’article R. 841-2 du code de la sécurité intérieure. Cette distinction maintient une séparation stricte des voies de recours, obligeant le requérant à identifier la nature exacte des données auxquelles il cherche à accéder pour engager la procédure adéquate.
Le juge en déduit logiquement que l’accès aux données du FPR, même lorsqu’elles sont techniquement stockées au sein du système API-PNR, reste soumis à la procédure spécifique du FPR. Il affirme que « la mise en œuvre du droit d’accès aux données du FPR contenues dans le traitement API-PNR (…) ne saurait se faire autrement que selon les modalités propres au fichier des personnes recherchées ». Pour être recevable à contester un refus d’accès à ces informations spécifiques devant la juridiction administrative, la requérante aurait donc dû préalablement saisir la CNIL d’une demande visant explicitement le fichier des personnes recherchées.
En l’espèce, la demande initiale adressée à la CNIL visait le traitement API-PNR. Bien que ce dernier puisse contenir des informations issues du FPR, la requête n’était pas formellement dirigée contre ce dernier. Cette subtilité procédurale est déterminante, car elle conditionne la compétence du juge et la recevabilité de l’action. La démarche de la requérante était donc, sur ce point, imparfaite. L’ordonnance clarifie ainsi l’itinéraire procédural à suivre, imposant une démarche ciblée sur le fichier source pour toute donnée intéressant la sûreté de l’État, indépendamment de son lieu de stockage final.
L’ordonnance ne s’arrête pas à cette analyse procédurale et fonde sa solution finale sur l’existence d’une décision antérieure (A), conférant à cette application d’un principe général une portée limitée à l’espèce (B).
Le Conseil d’État relève un fait décisif : sa formation spécialisée a déjà statué, par une décision du 5 décembre 2023, sur une demande de la même requérante visant l’accès aux données la concernant dans le fichier des personnes recherchées. Le juge considère que la nouvelle requête, bien que visant formellement le traitement API-PNR, a en réalité « le même fondement » que la précédente. Il regarde au-delà de l’intitulé du fichier pour se concentrer sur la substance de la demande, qui porte sur les mêmes données sensibles relatives à la sûreté de l’État.
C’est sur cette identité de fondement que se cristallise l’application de l’autorité de la chose jugée. Ce principe fondamental du procès interdit de soumettre à un juge une demande qui a déjà été tranchée et qui présente la même cause, le même objet et les mêmes parties. Le Conseil d’État déclare ainsi que « L’autorité de la chose jugée qui s’attache à la décision précitée (…) fait obstacle à ce qu’il soit à nouveau statué sur les conclusions ». La requête est donc neutralisée par cette fin de non-recevoir, sans que le juge n’ait à se prononcer sur le fond du droit à l’information de la requérante dans ce cadre précis.
En choisissant de prononcer un non-lieu à statuer, le président de la formation spécialisée opte pour une solution d’économie procédurale. La décision est avant tout une décision d’espèce, sa solution étant entièrement dictée par la circonstance particulière de l’existence d’un jugement antérieur. Elle ne crée pas de règle nouvelle sur le droit d’accès aux données mais illustre la rigueur avec laquelle le juge administratif applique les principes régissant le déroulement du procès.
La portée de cette ordonnance est donc principalement pédagogique. Elle rappelle aux justiciables que la multiplication des recours portant sur des objets similaires, même sous des qualifications formellement différentes, se heurte à l’autorité de la chose jugée. Pour les contentieux relatifs aux fichiers de sécurité, elle souligne l’importance d’une stratégie procédurale claire et non redondante. En définitive, cette décision, tout en résolvant un cas particulier, sert de rappel sur la nécessité de respecter la structure et les principes du contentieux administratif, même dans un domaine aussi sensible que celui de la protection des données personnelles face aux impératifs de la sûreté de l’État.
