RGPD: le principe de proportionnalité

§1 : Les textes

La LIL prévoit en son article 6, 3° que les données à caractère personnel « sont adéquates, pertinentes et non excessives au regard des finalités pour lesquelles elles sont collectées et de leurs traitements ultérieurs ».

Quant au RGPD, l’article 5, c) dispose que « les données à caractère personnel doivent être adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées (minimisation des données) ».

Il ressort de ces deux disposions que tout traitement de données à caractère personnel doit être guidé par l’observance du principe de proportionnalité.

Ce principe est issu de la directive du 24 octobre 1995 qui avait posé cette exigence. Le RGPD le qualifie encore de principe de minimisation des données.

§2 : Exposé du principe

Au fond, la règle véhiculée par le principe de proportionnalité est que seules les données à caractères personnel qui sont indispensables à l’opération envisagée ne peuvent faire l’objet d’un traitement. A défaut, le traitement est illicite.

La question qui alors se pose est de savoir à partir de quand peut-on considérer que le traitement d’une donnée à caractère personnel est indispensable.

Pour le déterminer il convient de se reporter à deux considérations que sont :

• La finalité du traitement
• La nature des données collectées

==> S’agissant de la finalité du traitement

Il convient de se reporter à la finalité déclarée par le responsable du traitement afin de déterminé si celui-ci est proportionné.

Exemples :

• Décision n° 2010-113 du 22 av. 2010 (ACADOMIA)
  • Les faits
    • La société ACADOMIA a pour activité principal de sélectionner des enseignants puis de proposer leurs services de soutien scolaire à ses clients, majoritairement des parents d’élèves.
    • Les enseignants ne sont pas recrutés par la société, mais par les familles l’ayant mandatée à ces fins.
    • En sa qualité de mandataire, la société gère ainsi pour le compte de ses clients tous les aspects commerciaux et de gestion de cette relation parent-enseignant, y compris l’accomplissement des formalités requises par l’URSSAF et les organismes de sécurité sociale lorsque ses clients souhaitent en être déchargés.
    • Sur son site web, la société enregistrait des commentaires sur les enseignants et les clients.
      • Ont ainsi été relevés la présence de mentions telles que :
        • Hyper hyper hyper stressée
        • Sa bouche tremble quand elle me parle
        • Le problème c’est qu’elle sent très mauvais (renfermé, sueur, tabac) malgré tout jeune femme très jolie et qui a un passé difficile (a eu une leucémie) , négligé, pas sain, sent le tabac et la cave, a l’air à l’ouest… , petit détail annexe : sent mauvais de la bouche
        • ATTENTION : présente mal /sent l’alcool / parle bizarrement , sent la transpiration (ne connait pas le déo) ;
        • GROS CON!! BEAUCOUP TROP SUR DE LUI NE SURTOUT PAS CONVOQUE .
  • La décision
    • La CNIL a considéré qu’il était parfaitement légitime de procéder à la collecte d’informations concernant les élèves et leurs parents, en vue d’adapter les prestations fournies par la société aux situations individuelles et de faciliter la relation commerciale avec la clientèle.
    • Elle a encore estimé légitime de collecter des informations concernant les enseignants qui seront amenés à travailler au contact d’enfants, dès lors que cette collecte a pour objet de permettre à la société d’évaluer leurs compétences professionnelles et leur aptitude à dispenser des cours.
    • En revanche, elle a jugé qu’on ne saurait admettre que soient enregistrés des commentaires excessifs et inappropriés sur ces personnes, qui seraient susceptibles de porter gravement atteinte à leur vie privée.
    • Ainsi, pour la CNIL, le traitement des données n’était pas proportionné à la finalité poursuivie.

• Décision n°2010-112 du 22 octobre 2010
  • Les faits
    • La CNIL a été saisie le 24 juin 2009 d’une plainte d’un salarié de la société, relative à la mise en œuvre en 2006 d’un dispositif de vidéosurveillance sur le lieu de travail
    • Le plaignant reprochait notamment à la société de n’avoir pas effectué de formalités préalables auprès de la CNIL concernant ce dispositif, de n’avoir pas informé les institutions représentatives du personnel et de n’avoir mis en place aucun support d’information sur la vidéosurveillance.
    • A la demande du comité d’entreprise de la société, celle-ci a effectivement mis en place un système de vidéosurveillance sur l’un de ses sites.
    • L’installation de ce dispositif répondait à des actes de dégradation et de vols commis sur ce site.
    • Le dispositif installé visait le local de repos des salariés (concernés par les dégradations et le vol précités), ainsi que le parking et un bureau de travail.
    • La société n’avait procédé à aucune formalité préalable concernant ce dispositif installé en 2006.
  • La décision
    • Dans cette affaire, la CNIL a jugé le traitement de données à caractère personnel effectué par la société illicite, en conséquence de quoi elle a ordonné l’interruption dudit traitement.
    • Pour la Commission
      • D’une part, le dispositif mis en place n’est pas justifié au regard de la nature des tâches accomplies par les salariés et disproportionné par rapport à l’objectif de sécurité, dès lors qu’il apparaît que ce dispositif place les salariés sous la surveillance constante de leur employeur
      • D’autre part, il a été relevé que la console du poste de gardiennage permettait d’accéder à des enregistrements vidéo conservés depuis plus de deux mois au jour du contrôle sur place. Or il s’agit là d’une durée a priori excessive au regard de la finalité du traitement, et en tout état de cause contraire aux engagements pris par la société dans sa déclaration effectuée auprès de la CNIL qui prévoyait une durée de conservation d’un mois.

• Décisions du 17 décembre 2009 n°5335/06 B.B. c. France (n°5335/06) et n°22115/06 Gardel c. France et M.B. c. France
  • Les requérants dans ces affaires, qui avaient été condamnés à des peines de réclusion criminelle de viol sur mineurs de 15 ans par personne ayant autorité, se plaignaient en particulier de leur inscription au Fichier judiciaire national automatisé des auteurs d’infractions sexuelles (« FIJAIS »).
  • Dans les trois affaires, la Cour a conclu à la non-violation de l’article 8 de la Convention, jugeant que l’inscription au FIJAIS, telle qu’elle avait été appliquée aux requérants, avait ménagé un juste équilibre entre les intérêts privés et publics concurrents en jeu.
  • La Cour a réaffirmé en l’espèce que la protection des données à caractère personnel joue un rôle fondamental dans le respect de la vie privée et familiale, d’autant plus quand il s’agit de données personnelles soumises à un traitement automatique, en particulier lorsque ces données sont utilisées à des fins policières.
  • Cela étant, la Cour ne saurait mettre en doute les objectifs de prévention du fichier en question. En outre, les requérants ayant la possibilité concrète de présenter une requête en effacement des données, la Cour a estimé que la durée de conservation des données – de 30 maximum – n’était pas disproportionnée au regard du but poursuivi par la mémorisation des informations.
  • Enfin, la consultation de telles données par les autorités judiciaires, de police et administratives était régie par une obligation de confidentialité et des circonstances précisément déterminées

==> S’agissant de la nature des données

Le caractère proportionné du traitement s’apprécie, non seulement au regard de la finalité poursuivie, mais encore au regard de la nature des données à caractère personnel collectées.

Exemples :

• CEDH 4 déc. 2008, S. et Marper c. Royaume-Uni
  • Cette affaire concernait la rétention indéfinie dans une base de donnée des empreintes digitales et données ADN (échantillons cellulaires et profil ADN6) des requérants après que les procédures pénales dirigées contre eux se furent soldées par un acquittement pour l’un et un classement sans suite pour l’autre.
  • La Cour a conclu à la violation de l’article 8 de la Convention, jugeant que la conservation en cause s’analysait en une atteinte disproportionnée au droit des requérants au respect de leur vie privée et ne pouvait passer pour nécessaire dans une société démocratique.
  • La Cour a considéré en particulier que l’usage des techniques scientifiques modernes dans le système de la justice pénale ne pouvait être autorisé à n’importe quel prix et sans une mise en balance attentive des avantages pouvant résulter d’un large recours à ces techniques, d’une part, et des intérêts essentiels s’attachant à la protection de la vie privée, d’autre part, et que tout État revendiquant un rôle de pionnier dans l’évolution de nouvelles technologies portait la responsabilité particulière de « trouver le juste équilibre» en la matière.
  • Elle a conclu que le caractère général et indifférencié du pouvoir de conservation des empreintes digitales, échantillons biologiques et profils ADN des personnes soupçonnées d’avoir commis des infractions mais non condamnées, tel qu’il avait été appliqué aux requérants en l’espèce, ne traduisait pas un juste équilibre entre les intérêts publics et privés concurrents en jeu.

• CE, 28 mars 2014, n° 361042, SNES
  • Par requête enregistrée le 13 juillet 2012, un syndicat avait demandé au Conseil d’État d’annuler le décret n° 2012-342 du 8 mars 2012 portant création d’un traitement automatisé de données à caractère personnel dénommé « SIRHEN » (système d’information des ressources humaines de l’éducation nationale) relatif à la gestion des ressources humaines du ministère de l’éducation nationale, de la jeunesse et de la vie associative et du ministère de l’enseignement supérieur et de la recherche.
  • La création de SIRHEN a été autorisée par le décret du 8 mars 2012 précité, publié au J.O. du 10 mars 2012, après avis motivé de la Commission nationale de l’informatique et des libertés (CNIL), en application du I de l’article 27 de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés.
  • Ce traitement, qui réunit les différentes bases de gestion des ressources humaines du ministère de l’éducation nationale, de l’enseignement supérieur et de la recherche en une seule application, a pour finalités la gestion administrative et financière des personnels, la gestion des moyens et le pilotage national et académique, par la production d’indicateurs statistiques.
  • En l’espèce, le Conseil d’État a rejeté la requête, à l’exception des seules dispositions des troisième et sixième alinéas du 1° du B du I de l’annexe du décret du 8 mars 2012 en tant qu’elles prévoient la collecte d’informations relatives au sexe et à la nationalité des conjoints des agents figurant dans SIRHEN.
  • Le Conseil d’État a ensuite estimé « que la liste des données à caractère personnel et des informations ainsi collectées (…) sont relatives à l’identification des agents, à leur situation familiale, à leur vie professionnelle, auxquelles s’ajoutent des éléments économiques et financiers ; que la collecte de ces catégories de données est nécessaire à la finalité légitime du traitement ; que la collecte et le traitement de données telles que le nom, le prénom, la date et le lieu de naissance, ainsi que le NIR [numéro d’inscription au répertoire] des membres de la famille des agents, nécessaires pour permettre à ces derniers de bénéficier des avantages liés à leur situation de famille, sont proportionnés au regard des finalités du traitement»
  • Le Conseil relève, en revanche, que « l’administration ne fait état, dans ses écritures, d’aucune nécessité ou utilité quant au recueil des informations relatives au sexe et à la nationalité des conjoints ou partenaires des agents ; qu’en l’absence de toute justification sur ce point, la collecte de ces informations ne peut, en l’espèce, qu’être regardée comme excessive au regard des dispositions précitées du 3° de l’article 6 de la loi du 6 janvier 1978 ».

• CE., 26 octobre 2011, Association pour la promotion de l’image et autres
  • Par requête enregistrée le 30 juin 2008 L’association pour la promotion de l’image a saisi le Conseil d’État aux fins d’annuler pour excès de pouvoir le décret n° 2008-426 du 30 avril 2008 modifiant le décret n° 2005-1726 du 30 décembre 2005 relatif aux passeports électroniques, ainsi que la circulaire n° INT/1/08/00105/C du 7 mai 2008 relative au choix des deux mille communes appelées à recevoir des stations d’enregistrement des données personnelles pour le nouveau passeport
  • La requérante contestait ce décret en ce qu’il autorisait, lors de l’établissement ou du renouvellement de passeports la collecte de huit empreintes digitales au lieu de deux prévues initialement par les dispositions européenne.
  • En l’espèce, le Conseil d’État a considéré que si le ministre soutient que la conservation dans le traitement automatisé des empreintes digitales de huit doigts, alors que le composant électronique du passeport n’en contient que deux, permettrait de réduire significativement les risques d’erreurs d’identification, cette assertion générale n’a été ni justifiée par une description précise des modalités d’utilisation du traitement dans les productions du ministre, ni explicitée lors de l’audience d’instruction à laquelle il a été procédé
  • Il estime, en outre, que « l’utilité du recueil des empreintes de huit doigts et non des deux seuls figurant sur le passeport n’étant pas établie, la collecte et la conservation d’un plus grand nombre d’empreintes digitales que celles figurant dans le composant électronique ne sont ni adéquates, ni pertinentes et apparaissent excessives au regard des finalités du traitement informatisé»