La bureaucratie réglementaire et son accumulation de textes n’est pas seulement pesante, elle est souvent inefficace, parfois dangereuse. L’empilement de normes à l’existence fugace, la pratique immodérée du « renvoi », un texte renvoyant à un second qui renvoie à un troisième, nuisent à la qualité de la loi et finissent par fragiliser les politiques publiques aussi essentielles que la lutte contre le blanchiment ou le terrorisme. Le Journal officiel du 2 juin 2021 en donne une illustration avec la (re)création du fichier « STARTRAC » (être bureaucrate n’interdit pas l’humour potache) de TRACFIN, l’agence chargée du contrôle des flux financiers criminels. Il faut en passer par un peu d’archéologie normative pour comprendre le problème.
Avec le développement de l’informatique, la multiplication des fichiers a conduit le législateur à concéder quelques garanties aux citoyens à travers la loi Informatique et Liberté du 6 janvier 1978. Au titre de ces garanties, il a soumis la plupart des traitements de données personnelles à une procédure d’autorisation préalable par la Commission nationale informatique et liberté (CNIL) et à des obligations de publicité. Mais, à peine cette publicité actée, il a fallu songer à des exceptions à cette obligation de transparence au nom de la sûreté de l’État et de la sécurité publique. À partir du 1er janvier 1980, une double exception a donc été prévue concernant les informations figurant dans les demandes d’avis de la CNIL et la publication des autorisations de traitements de données. L’article 19 de la loi Informatique et liberté permet d’expurger les demandes d’avis de certaines mentions lorsque le traitement intéresse la sûreté de l’État, la défense et la sécurité publique et l’article 20 dispose que le gouvernement peut, par décret, décider que les « actes réglementaires relatifs à certains traitements intéressant la sûreté de l’État, la défense et la sécurité publique ne seront pas publiés ». C’est là que les problèmes ont commencé.
La loi de 1978 a été modifiée à de très nombreuses reprises jusqu’à être totalement réécrite par l’ordonnance n° 2018-1115 du 12 décembre 2018. Conséquence, les numéros d’articles ne correspondent plus aux mêmes dispositions dans les versions successives. Ainsi la possibilité d’expurger les demandes d’avis de certaines mentions a été supprimée par la loi n° 2004-801 du 6 août 2004 avant de réapparaître au dernier alinéa de l’article 30, I de la loi Informatique et Liberté modifiée par la loi n° 2006-64 du 23 janvier 2006 puis au dernier alinéa de l’article 33, I, dans la version issue de l’ordonnance du 12 décembre 2018. Quant à la dispense de publication au JO inscrite à l’article 20 de la loi Informatique et liberté, on la retrouve dans l’article 26 à partir de la loi n° 2004-801 du 6 août 2004, puis dans l’article 31, III, à partir du 1er juin 2019, après la publication de l’ordonnance du 12 décembre 2018.
Ces changements successifs de contenus et de numérotation imposent un lourd travail de coordination puisqu’il faut modifier tous les articles qui, dans d’autres textes, renvoient aux dispositions de la loi Informatique et Liberté. Ainsi l’ordonnance du 12 décembre 2018 a pris soin de préciser que les références à l’article 30 sont remplacées par une référence à l’article 33 dans le code de procédure pénale et le code de commerce et que la référence à l’article 26 est remplacée par une référence à l’article 31 dans le code de procédure pénale, le code de la défense ou le code des douanes. Le même travail devait être réalisé au niveau réglementaire ; il ne l’a pas été.
Sous l’empire de la loi du 23 janvier 2006, et donc des articles 26 et 30,I de la loi Informatique et Liberté, un décret n° 2007-914 du 15 mai 2007 « pris en application du I de l’article 30 » dresse la liste des traitements automatisés pour lesquels la demande d’avis peut être expurgée de certaines mentions. Le texte dispose : « Relèvent des dispositions du dernier alinéa du I de l’article 30 de la loi du 6 janvier 1978 susvisée les traitements automatisés de données à caractère personnel intéressant la sûreté de l’État, la défense ou la sécurité publique autorisés par les actes réglementaires suivants… ». Si ce décret a été modifié à de nombreuses reprises pour mettre à jour la liste des traitements confidentiels, personne n’a songé à mettre à jour le visa. Or, depuis le 1er juin 2019, le dernier alinéa du I de l’article 30 de la loi du 6 janvier 1978 n’existe tout simplement plus ! Le texte ne comprend pas de « I », il concerne les traitements portant sur des données comportant le numéro d’inscription des personnes au répertoire national d’identification des personnes physiques, mais absolument pas la sûreté de l’État, la défense ou la sécurité publique.
Argutie de juriste me direz-vous ? Pas tout à fait. L’arrêté du 31 mai 2021 abroge l’arrêté du 23 décembre 2010 « portant création d’un traitement de données à caractère personnel dénommé « STARTRAC » mis en œuvre par le service à compétence nationale TRACFIN, mentionné au 10 de l’article 1er du décret n° 2007-914 du 15 mai 2007 ». Le décret du 31 mai 2021 dispose pour sa part : « Ainsi qu’il le prévoit, le décret en Conseil d’État du 31 mai 2021, autorisant la mise en œuvre par le service à compétence nationale TRACFIN d’un traitement automatisé de données à caractère personnel dénommé « STARTRAC », mentionné au 10 de l’article 1er du décret n° 2007-914 du 15 mai 2007, n’est pas publié ». Passe encore que le texte abrogé soit fondé sur une référence à un texte qui n’existe plus, mais la renaissance du même fichier visant un texte qui ne permet plus d’avoir une confidentialité totale en cas d’atteinte à la sûreté de l’État est beaucoup plus discutable et fragilise STARTRAC.
Pourrait-on invoquer l’erreur matérielle du pouvoir réglementaire ? L’erreur persistant depuis 2019, il paraît bien tard pour sortir un correctif au JO. On pourrait s’en remettre aux éditeurs juridiques pour « corriger » les maladresses du gouvernement ? Lors des débats sur le nouveau code pénal un parlementaire n’avait-il pas déclaré : « En vérité, il faut faire confiance aux maisons spécialisées – je n’en citerai aucune – pour, dans leurs petits codes rouges, par exemple, indiquer entre parenthèses la nouvelle référence lorsque le législateur aura oublié de la relever » (B. Pesquié, V. Dervieux, RSC, 1993, p.523)… Mais, comme l’écrivait à l’époque Jacques-Henri Robert dans la Revue de sciences criminelles : « Les juridictions judiciaires n’ont pas le pouvoir d’apprécier la constitutionnalité des lois et encore moins celui de redresser les erreurs du législateur » (RSC, 1995, p. 357). Alors que dire du pouvoir des éditeurs !
Le Conseil d’État a d’ailleurs déjà suspendu un décret en raison d’une erreur de renvoi entre deux articles du code de l’environnement (CE 8 juin 2012, n° 359570, France Nature Environnement, Lebon ; AJDA 2012. 1135 ; Constitutions 2012. 651, obs. N. Huten ). En toute logique, il devrait donc constater a minima que la demande d’avis concernant STARTRAC n’a pas été publiée et ne comportait pas les mentions requises ce qui conduirait à suspendre le décret…et la lutte contre le blanchiment et le terrorisme. À moins qu’une fois encore, la Haute Juridiction cède devant l’enjeu et revienne sur sa jurisprudence.