De l’esprit de la loi informatique et libertés: l’article 1er

L’article 1er de la loi informatique et libertés prévoit que « l’informatique doit être au service de chaque citoyen. Son développement doit s’opérer dans le cadre de la coopération internationale. Elle ne doit porter atteinte ni à l’identité humaine, ni aux droits de l’homme, ni à la vie privée, ni aux libertés individuelles ou publiques.

Toute personne dispose du droit de décider et de contrôler les usages qui sont faits des données à caractère personnel la concernant, dans les conditions fixées par la présente loi».

En raison de la portée générale, sinon symbolique de cette disposition, elle occupe une place à part dans le corpus de la loi informatique et libertés. Et pour cause, elle en exprime l’esprit ; elle est son réceptacle.

À cet égard, l’article 1er révèle, chez le législateur, à la fois l’espoir et l’inquiétude que le développement de l’informatique peut faire naître.

Il prescrit, en face d’un phénomène de société sans précédent, une attitude que les autorités publiques, en particulier la Commission Nationale de l’Informatique et des Libertés (CNIL), ont pour mission de faire respecter.

Aussi, cela leur impose-t-il d’être attentives aux évolutions, aux glissements de pouvoirs, aux centralisations excessives, dans tous les domaines sans exception, où l’informatique est utilisée.

Si l’on se focalise sur les termes de l’article qui introduit la loi informatique et libertés, trois enseignements majeurs peuvent en être tirés :

  • Le traitement des données à caractères personnels ne doit porter atteinte, ni à l’état des personnes, ni à leurs droits et libertés
  • Les individus jouissent d’un droit à l’autodétermination informationnelle
  • L’encadrement des traitements de données à caractère personnel doit s’opérer dans le cadre d’une coopération internationale

§1 : La protection de la personne humaine

L’article 1er de la loi informatique et libertés dispose que l’informatique « ne doit porter atteinte ni à l’identité humaine, ni aux droits de l’homme, ni à la vie privée, ni aux libertés individuelles ou publiques. »

La lecture de cette disposition révèle que la volonté du législateur a été de conférer une protection des plus larges aux personnes, en ce sens qu’elle ne vise pas seulement à prévenir les atteintes susceptibles d’être portées à la vie privée.

Pour rappel, le droit à la vie privée a été consacré par la loi n° 70-643 du 17 juillet 1970 tendant à renforcer la garantie des droits individuels des citoyens.

Ce droit est énoncé à l’article 9 du Code civil qui dispose :

« Les juges peuvent, sans préjudice de la réparation du dommage subi, prescrire toutes mesures, telles que séquestre, saisie et autres, propres à empêcher ou faire cesser une atteinte à l’intimité de la vie privée : ces mesures peuvent, s’il y a urgence, être ordonnées en référé. »

Au vrai, si le législateur a entendu inclure dans le champ de la protection conférée par la loi informatique et libertés, l’identité humaine, les droits de l’Homme ainsi que les libertés publiques ou individuelles, c’est qu’il a estimé que le droit à la vie privé, fusse-t-il inséré dans le Code civil, était trop étroit.

Dès 1978, les parlementaires avaient bien conscience que les atteintes aux personnes engendrées par le traitement automatisé des données dépassaient le simple cadre de la vie privée.

De surcroît, le droit à la vie privée n’est reconnu par aucun texte à valeur constitutionnelle.

A) L’étroitesse du droit à la vie privée

Il est particulièrement frappant de constater que les normes constitutionnelles qui protègent les droits et libertés fondamentaux des individus ne mentionnent nulle part le droit de chacun au respect de sa vie privée et à la protection de ses données personnelles.

Ces droits ne sont inscrits, ni dans la Constitution du 4 octobre 1958, ni dans son préambule.

Ces droits sont seulement protégés par des dispositions de nature législative.

  • L’article 9 du Code civil énonce le droit au respect de la vie privée
  • Certaines dispositions pénales répriment les violations de l’intimité de la vie privée, notamment les articles 226-1, 226-2, 226-3, 226-4-1 ou 226-22 du code pénal.

C’est seulement par effet de la jurisprudence développée par le Conseil constitutionnel que ces droits ont été progressivement et partiellement reconnus.

Le Conseil constitutionnel a jugé, dans une décision du 23 juillet 1999 que la liberté proclamée par l’article 2 de la Déclaration des droits de l’homme et du citoyen de 1789 « implique le respect de la vie privée », principe qui figure au nombre des droits et libertés constitutionnellement garantis dont la mise en œuvre incombe à la fois au juge judiciaire et au juge administratif.

Le Conseil constitutionnel n’a, toutefois, tiré que très récemment les conséquences de ce droit en matière de protection des données personnelles, en jugeant à partir de 2012 que « la collecte, l’enregistrement, la conservation, la consultation et la communication de données à caractère personnel doivent être justifiés par un motif d’intérêt général et mis en œuvre de manière adéquate et proportionnée à cet objectif » (Décisions nos 2012-652 DC du 22 mars 2012).

Cette situation, qui démontre la relative obsolescence et l’inadaptation de notre corpus constitutionnel aux réalités de la société numérique, tranche également avec la reconnaissance dont ces droits ont fait l’objet en droit international.

Le principe du respect de la vie privée est explicitement affirmé et protégé par plusieurs instruments internationaux, parmi lesquels :

  • La Déclaration universelle des droits de l’homme du 10 décembre 1948
  • Le Pacte international relatif aux droits civils et politiques du 16 novembre 1966 (3), entré en vigueur le 23 mars 1976 et ratifié par la France le 4 novembre 1966
  • La Convention européenne de sauvegarde des droits de l’homme et des libertés fondamentales (CESDH) du 4 novembre 1950 (4), ratifiée par la France le 3 mai 1974.

Quant au droit à la protection des données à caractère personnel, il a notamment été consacré par la Convention du Conseil de l’Europe du 28 janvier 1981 pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel (6), dite « 108 ».

Fait notable, il est, depuis 2007, un droit fondamental dans l’ordre juridique de l’Union européenne, distinct du droit au respect de la vie privée.

L’article 8 de la Charte européenne des droits fondamentaux de l’Union européenne du 7 décembre 2000, à laquelle le traité de Lisbonne du 13 décembre 2007 a conféré valeur juridique contraignante, prévoit ainsi, distinctement de son article 7 relatif au respect de la vie privée, que :

  • Les données à caractère personnel doivent être traitées loyalement, à des fins déterminées et sur la base du consentement de la personne concernée ou en vertu d’un autre fondement légitime prévu par la loi
  • Toute personne a le droit d’accéder aux données collectées la concernant et d’en obtenir la rectification »
  • Le respect de ces règles est soumis au contrôle d’une autorité indépendante

Enfin, si la CESDH ne comporte pas d’article spécifiquement consacré à la protection des données personnelles, la CEDH protège expressément ce droit sur le fondement du droit au respect de la vie privée mentionné par l’article 8 de la Convention en jugeant que « la protection des données à caractère personnel joue un rôle fondamental pour l’exercice du droit au respect de la vie privée et familiale »[1].

Pour l’heure, la constitutionnalisation des droits au respect de la vie privée et à la protection des données à caractère personnel n’est toujours pas intervenue.

Pourtant, il a été proposé par Commission de réflexion et de propositions sur le droit et les libertés à l’âge numérique de consacrer explicitement et séparément dans la Constitution du 4 octobre 1958 les droits, d’une part, au respect de la vie privée, et, d’autre part, à la protection des données à caractère personnel.

Selon cette commission, la définition du droit au respect de la vie privée pourrait s’inspirer de la conception qu’en a développée jusqu’à ce jour le Conseil constitutionnel et la définition qu’en ont donné les normes et les juridictions communautaires et européennes.

Une telle consécration permettrait, pour ce qui concerne son volet numérique, de mieux protéger notamment le droit au secret des correspondances numériques et le droit à l’inviolabilité du domicile numérique face à certaines technologies intrusives.

La définition du droit à la protection des données personnelles pourrait pour sa part reprendre celle qu’en a donnée l’article 8 de la Charte européenne des droits fondamentaux de l’Union européenne, en parfaite cohérence avec les exigences posées par le droit communautaire dans ce domaine.

Sa consécration permettrait d’élever les conditions d’exploitation des données personnelles à l’ère numérique en soumettant leur traitement à l’exigence de loyauté et à l’existence de fins déterminées ainsi que d’un fondement légitime ou du consentement de l’intéressé.

Une telle consécration présenterait plusieurs avantages :

  • Tout d’abord, ainsi consacrés, ces droits se verraient érigés en exigences constitutionnelles de valeur équivalente à d’autres, comme la liberté d’entreprendre ou la liberté d’expression respectivement protégées par les articles 4 et 11 de la Déclaration des droits de l’homme et du citoyen de 1789, rendant plus aisée leur conciliation.
  • Par ailleurs, une telle consécration permettrait, comme suggéré par Isabelle Falque-Pierrotin, « d’afficher une protection du plus haut niveau dans ce domaine, ce qui serait très utile lors des négociations internationales» engagées au niveau de l’Union européenne et avec d’autres pays comme les États-Unis.
  • Enfin, elle rapprocherait la France des treize autres pays européens qui ont également procédé à la constitutionnalisation spécifique du droit à la protection des données à caractère personnel, en particulier l’Allemagne, l’Autriche, l’Espagne, la Grèce, la Hongrie, les Pays-Bas, le Portugal ou la Suède.

B) Une protection qui déborde le droit à la vie privée

En désignant comme objet de la protection assurée par la loi informatique et libertés, l’identité humaine, les droits de l’homme ainsi que les libertés individuelles ou publiques, le législateur a, sans nul doute, souhaité garantir le respect de la personne humaine dans toutes ses composantes.

L’étendue de cette protection se retrouve notamment à l’article 1er de la Convention 108 du Conseil de l’Europe aux termes duquel :

« le but de la présente Convention est de garantir, sur le territoire de chaque Partie, à toute personne physique, quelles que soient sa nationalité ou sa résidence, le respect de ses droits et de ses libertés fondamentales, et notamment de son droit à la vie privée, à l’égard du traitement automatisé des données à caractère personnel la concernant ».

La Directive du 24 octobre 1995 abondait dans le même sens en prévoyant à son article 1er que :

« Les États membres assurent, conformément à la présente directive, la protection des libertés et droits fondamentaux des personnes physiques, notamment de leur vie privée, à l’égard du traitement des données à caractère personnel. »

Quant au Règlement général sur la protection des données, son article 2 dispose, sensiblement dans les mêmes termes, que :

« Le présent règlement protège les libertés et droits fondamentaux des personnes physiques, et en particulier leur droit à la protection des données à caractère personnel. »

Ainsi, la protection de la personne humaine contre le traitement des données à caractère personnel doit être envisagée à l’aune des droits et libertés qui lui sont conférées.

En écho à l’article 1er de la loi informatique et libertés, le considérant 2 du RGPD prévient que « le traitement des données à caractère personnel devrait être conçu pour servir l’humanité », raison pour laquelle « les principes et les règles régissant la protection des personnes physiques à l’égard du traitement des données à caractère personnel les concernant devraient, quelle que soit la nationalité ou la résidence de ces personnes physiques, respecter leurs libertés et droits fondamentaux »

Au nombre des textes qui énoncent, en droit interne, ces droits et libertés figurent la Déclaration des Droits de l’Homme et du Citoyen, complétée par le préambule de la Constitution de 1946, le tout étant visé par le préambule de la Constitution du 4 octobre 1958.

L’article 1er de la loi informatique et libertés doit, en sus, être interprétée à la lumière de la jurisprudence du Conseil constitutionnel et des juridictions de l’ordre judiciaire et administratif.

Au bilan, il apparaît que la protection de la personne humaine contre les atteintes susceptibles d’être engendrées par le traitement des données à caractère personnel est bien plus étendue que celle garantie par le droit à la vie privée.

§2 : Le droit à l’autodétermination informationnelle

L’alinéa 2 de l’article 1er de la loi informatique et liberté dispose que « toute personne dispose du droit de décider et de contrôler les usages qui sont faits des données à caractère personnel la concernant, dans les conditions fixées par la présente loi. »

Cet alinéa, qui ne figurait pas dans le texte initial, est issu de la loi n° 2016-1321 du 7 octobre 2016 pour une République numérique.

Pourquoi cette précision ? Son ajout procède d’une réflexion sur le rapport que les sujets de droit entretiennent avec leurs données à caractère personnel.

Comme relevé par la Commission de réflexion et de propositions sur le droit et les libertés à l’âge numérique la monétisation économique croissante dont font aujourd’hui l’objet les données personnelles a pu conduire certains à considérer que la protection de la vie privée à l’ère numérique serait mieux assurée par la reconnaissance d’un droit de propriété de l’individu sur ses données permettant de mieux concilier l’exigence de protection avec le souhait de nombreuses personnes de valoriser leurs informations personnelles, en échange d’une rémunération ou d’un service.

Cette position est, cependant, loin d’être partagée par tous. Comme l’a indiqué Isabelle Falque-Pierrotin une telle logique ferait perdre « des leviers d’action considérables sur lesdites données : étant propriétaire de ses données, l’individu pourrait les vendre, notamment à des acteurs étrangers. Or la grande supériorité intellectuelle du droit à la protection des données personnelles réside dans le fait qu’il reconnaît le droit d’un individu même si les données sont traitées par d’autres ».

Certes la reconnaissance d’un droit de propriété de l’individu sur ses données ne conduirait pas à une privatisation irréversible de ses informations personnelles et à la perte de tout contrôle sur leur devenir. Le droit de la propriété intellectuelle enseigne, dans d’autres domaines, qu’il est possible de ménager des outils d’inaliénabilité limitant la portée du droit de cession, ouvrant des possibilités de licence et, en définitive, modulant cette patrimonialisation.

Mais, ainsi que l’a souligné Maryvonne de Saint-Pulgent, présidente de la section du rapport et des études du Conseil d’État, il est incontestable qu’elle fragiliserait considérablement le cadre juridique qui régit aujourd’hui les conditions d’utilisation des données personnelles.

Elle se heurterait encore aux limites territoriales de la reconnaissance du droit de propriété, à l’heure où les grands responsables de traitements de données sont implantés à l’étranger.

Et « la reconnaissance de ce droit de propriété rendrait plus difficile l’action de l’État pour protéger les individus confrontés à de multiples pièges car toutes ses interventions pourraient alors être regardées comme portant atteinte à un droit de valeur constitutionnelle ».

Par ailleurs, il est défendu, à juste titre, que les principes actuels de la loi informatique et libertés permettent déjà une valorisation économique des données, en autorisant, sous certaines conditions, leur recueil, leur exploitation et leur conservation en échange de la délivrance de services ou de facilités.

Qui plus est, un droit de propriété individuel sur les données ne permettrait pas de rééquilibrer la relation asymétrique qui existe aujourd’hui entre les éditeurs de services numériques et les internautes, marquée par la très faible valeur accordée aux données d’un seul individu.

Il serait donc pour le moins paradoxal d’accorder un droit de propriété à des individus pris isolément alors que c’est la masse des données de plusieurs centaines d’individus qui constitue une valeur économique aux yeux des responsables de traitements.

Enfin, cette reconnaissance romprait avec l’approche généraliste et personnaliste de notre législation, qui considère la donnée personnelle comme le support indirect d’un droit fondamental et inaliénable reconnu à l’individu dont elle émane et non comme un objet économique.

En lieu et place d’une privatisation de ses données personnelles, le législateur a don décidé de procéder à une plus grande autonomisation de l’individu dans l’univers numérique, en lui permettant non plus seulement de bénéficier de droits à la protection mais aussi d’être maître de son épanouissement dans l’univers numérique.

Jusqu’alors, l’approche par l’autonomisation individuelle était relativement absente de la législation française, à la différence d’autres pays européens comme l’Allemagne dont la Cour constitutionnelle fédérale a dégagé, dès 1983, des principes de dignité de l’homme et de droit au libre développement de sa personnalité un droit à l’autodétermination informationnelle de l’individu.

Pour la Cour de Karlsruhe qui s’est exprimée dans un arrêt du 15 décembre 1983, « la Constitution [allemande] garantit en principe la capacité de l’individu à décider de la communication et de l’utilisation de ses données à caractère personnel » car s’il « ne sait pas prévoir avec suffisamment de certitude quelles informations le concernant sont connues du milieu social et à qui celles-ci pourraient être communiquées, sa liberté de faire des projets ou de décider sans être soumis à aucune pression est fortement limitée ». Pour elle, « l’autodétermination est une condition élémentaire fonctionnelle dans une société démocratique libre, basée sur la capacité des citoyens d’agir et de coopérer ».

Séduit par cette approche, le législateur français a manifestement estimé, en complétant l’article 1er de la loi informatique et libertés que l’individu devait pouvoir disposer de moyens plus importants pour assurer sa protection face aux risques soulevés par le numérique.

Pratiquement, cette consécration du droit à l’autodétermination informationnelle présente quatre avantages parfaitement résumés par le Conseil d’État :

  • elle donne sens à tous les autres droits relatifs à la protection des données à caractère personnel qui ne constitue pas un but en soi ;
  • alors que le droit à la protection des données peut être perçu comme un concept défensif, le droit à l’autodétermination lui donne un contenu positif à la fois plus efficace et plus conforme à la logique personnaliste et non patrimoniale qui a toujours prévalu en Europe en matière de protection des données ;
  • elle souligne que la législation relative à la protection des données protège non seulement l’individu mais aussi les intérêts collectivement défendus par la société tout entière ;
  • elle apparaît d’une grande ambition, au regard de la perte générale de maîtrise par les individus de leurs données dans un contexte où la donnée personnelle est de plus en plus traitée comme une marchandise.

§3 : L’exigence de coopération internationale

L’article 1er de la loi informatique et libertés prévoit que le développement de l’informatique « doit s’opérer dans le cadre de la coopération internationale ».

Cette précision fait écho au développement des flux transfrontaliers de données à caractère personnel.

La mondialisation, l’essor de l’Internet et l’effondrement des coûts des télécommunications augmentent, en effet, considérablement le volume des informations de caractère personnel qui franchissent les frontières.

Cet accroissement de la circulation transfrontière de l’information a des retombées positives tant pour les organisations que pour les personnes en abaissant les coûts, en induisant des gains d’efficience et en améliorant le service au client.

Dans le même temps, ces flux d’informations de caractère personnel accentuent les préoccupations pour la vie privée, en soulevant de nouveaux problèmes de protection des informations de caractère personnel des individus.

Lorsque des données de caractère personnel partent à l’étranger, le risque que les personnes perdent leur capacité d’exercer leurs droits à la vie privée, ou de se protéger contre l’utilisation ou la divulgation illicite de cette information, augmente. Dans le même temps, les autorités chargées de faire appliquer les lois sur la vie privée peuvent constater qu’elles sont dans l’incapacité de donner suite aux plaintes ou de procéder à des investigations en relation avec les activités d’organisations implantées à l’étranger.

Les efforts qu’elles déploient pour œuvrer ensemble dans un contexte transfrontière pourraient également être entravés par des pouvoirs insuffisants en matière de mesures préventives ou correctives, par des disparités dans les régimes juridiques et par des obstacles pratiques comme des contraintes de ressources.

Dans ce contexte, un consensus s’est dessiné sur la nécessité de promouvoir une coopération plus étroite entre les autorités chargées de faire appliquer la législation sur la vie privée, afin de les aider à échanger des informations et procéder à des enquêtes avec leurs homologues à l’étranger.

L’importance de la coopération dans l’application des lois relatives à la protection de la vie privée est reconnue non seulement au sein de l’OCDE, mais aussi dans d’autres enceintes, notamment la Conférence internationale des commissaires à la protection des données et à la vie privée, le Conseil de l’Europe, la Coopération économique AsiePacifique (APEC), ainsi que l’Union européenne et son groupe de protection des personnes à l’égard du traitement des données de caractère personnel (Groupe de travail « Article 29 »).

De fait, les instruments régionaux et autres mécanismes moins formels destinés à faciliter la coopération transfrontière se multiplient. Cependant, aucun de ces instruments n’a de portée mondiale.

De fait, la nécessité d’un renforcement de la coopération dans l’application des lois est apparue pour la première fois dans les Lignes directrices de l’OCDE de 1980 régissant la protection de la vie privée et les flux transfrontières de données de caractère personnel (« Lignes directrices sur la vie privée »), rappelé dans la Déclaration ministérielle d’Ottawa de 1998 et souligné plus récemment en 2003 dans le rapport « Protection de la vie privée en ligne : orientations politiques et pratiques de l’OCDE ».

Bien que les Lignes directrices sur la vie privée servent de point de départ à l’initiative actuelle, l’environnement a changé.

Lorsque les Lignes directrices sur la vie privée ont été adoptées, environ un tiers seulement des pays Membres disposaient d’une législation sur la protection de la vie privée.

Aujourd’hui, la quasi-totalité des pays Membres de l’OCDE se sont dotés de lois protégeant la vie privée et ont mis en place des autorités ayant des pouvoirs pour les faire appliquer – signe que la protection de la vie privée et de la sécurité des informations personnelles est essentielle dans les sociétés démocratiques et concourt à la confiance des consommateurs sur les marchés tant intérieurs que mondiaux.

Pour toutes ces raisons, il est absolument nécessaire de satisfaire à cette exigence de coopération internationale, gravée dans le marbre de la loi informatique et libertés.

Pratiquement, afin d’élaborer des mécanismes de coopération internationale destinés à faciliter et à mettre en place une assistance mutuelle internationale pour faire appliquer les législations relatives à la protection des données à caractère personnel, il est un impératif que les autorités nationales puissent échanger des informations et coopérer dans le cadre d’activités liées à l’exercice de leurs compétences avec les autorités compétentes dans les pays tiers, sur une base réciproque.

Cette base réciproque est constituée notamment :

  • Des lignes directrices de l’OCDE
  • Des principes directeurs de l’ONU
  • De la convention STE 108
  • De la Convention européenne des droits de l’homme

[1] CEDH, 4 décembre 2008, S. et Marper c. Royaume-Uni, n° 30562/04 et 305566/04

Laisser un commentaire

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.