==> Présentation générale

Lorsqu’un litige exige qu’une solution, au moins provisoire, soit prise dans l’urgence par le juge, une procédure spécifique dite de référé est prévue par la loi.

Elle est confiée à un juge unique, généralement le président de la juridiction qui rend une ordonnance de référé.

L’article 484 du Code de procédure civile définit l’ordonnance de référé comme « une décision provisoire rendue à la demande d’une partie, l’autre présente ou appelée, dans les cas où la loi confère à un juge qui n’est pas saisi du principal le pouvoir d’ordonner immédiatement les mesures nécessaires. »

Il ressort de cette disposition que la procédure de référé présente trois caractéristiques :

  • D’une part, elle conduit au prononcé d’une décision provisoire, en ce sens que le juge des référés ne se prononce pas sur le fond du litige. L’ordonnance rendue en référé n’est donc pas définitive
  • D’autre part, la procédure de référé offre la possibilité à un requérant d’obtenir du Juge toute mesure utile afin de préserver ses droits et intérêts
  • Enfin, la procédure de référé est, à la différence de la procédure sur requête, placée sous le signe du contradictoire, le Juge ne pouvant statuer qu’après avoir entendu les arguments du défendeur

Le juge des référés, juge de l’urgence, juge de l’évidence, juge de l’incontestable, paradoxalement si complexes à saisir, est un juge au sens le plus complet du terme.

Il remplit une fonction sociale essentielle, et sa responsabilité propre est à la mesure du pouvoir qu’il exerce.

Selon les termes de Pierre DRAI, ancien Premier Président de la Cour de cassation « toujours présent et toujours disponible (…) (il fait) en sorte que l’illicite ne s’installe et ne perdure par le seul effet du temps qui s’écoule ou de la procédure qui s’éternise ».

Le référé ne doit cependant pas faire oublier l’intérêt de la procédure à jour fixe qui répond au même souci, mais avec un tout autre aboutissement : le référé a autorité provisoire de chose jugée alors que dans la procédure à jour fixe, le juge rend des décisions dotées de l’autorité de la chose jugée au fond.

En toute hypothèse, avant d’être une technique de traitement rapide aussi bien de l’urgence que de plusieurs cas d’évidence, les référés ont aussi été le moyen de traiter l’urgence née du retard d’une justice lente.

Reste que les fonctions des référés se sont profondément diversifiées. Dans bien des cas, l’ordonnance de référé est rendue en l’absence même d’urgence.

Mieux encore, lorsqu’elle satisfait pleinement le demandeur, il arrive que, provisoire en droit, elle devienne définitive en fait – en l’absence d’instance ultérieure au fond.

En outre, la Cour européenne des droits de l’homme applique désormais au juge du provisoire les garanties du procès équitable de l’article 6, § 1, de la Convention de sauvegarde des droits de l’homme et des libertés fondamentales (CEDH, gde ch., arrêt du 15 octobre 2009, Micallef c. Malte, no 17056/06). S’affirme ainsi une véritable juridiction du provisoire.

Le juge des référés est saisi par voie d’assignation. Il instruit l’affaire de manière contradictoire lors d’une audience publique, et rend une décision sous forme d’ordonnance, dont la valeur n’est que provisoire et qui n’est pas dotée au fond de l’autorité de la chose jugée.

L’ordonnance de référé ne tranche donc pas l’entier litige. Elle est cependant exécutoire à titre provisoire.

Le recours au juge des référés, qui n’est qu’un juge du provisoire et de l’urgence, n’est possible que dans un nombre limité de cas :

  • Le référé d’urgence
    • Dans les cas d’urgence, le juge peut prononcer toutes les mesures qui ne se heurtent à aucune contestation sérieuse ou que justifie l’existence du litige en question. On dit à cette occasion que le juge des référés est le juge de l’évidence, de l’incontestable.
  • Le référé conservatoire
    • Le juge des référés peut également prescrire les mesures conservatoires ou de remise en état qui s’imposent pour prévenir un dommage ou pour faire cesser un trouble manifestement illicite (il peut ainsi, par exemple, suspendre la diffusion d’une publication portant manifestement atteinte à la vie privée d’un individu).
  • Le référé provision
    • Le juge des référés est compétent pour accorder une provision sur une créance qui n’est pas sérieusement contestable.
  • Le référé injonction
    • Le juge des référés peut enjoindre une partie d’exécuter une obligation, même s’il s’agit d’une obligation de faire
  • Le référé probatoire
    • Lorsqu’il existe un motif légitime de conserver ou d’établir avant tout procès la preuve de certains faits dont pourrait dépendre la solution d’un litige, le juge peut ordonner des mesures d’instruction, par exemple une expertise.

Dans la pratique, les justiciables tendent à avoir de plus en plus recours au juge des référés, simplement dans le but d’obtenir plus rapidement une décision judiciaire, détournant ainsi la fonction initiale de cette procédure.

On peut en outre souligner que depuis la loi du 30 juin 2000, une procédure de référé administratif a été introduite dans cet ordre juridictionnel.

§1: L’instance en référé

I) La représentation des parties

Si, sous l’empire du droit antérieur, en matière de référé les parties disposaient de la faculté de se défendre elles-mêmes ou de se faire représenter, la réforme opérée par le décret n° 2019-1333 du 11 décembre 2019 réformant la procédure civile, pris en application de la loi n° 2019-222 du 23 mars 2019 de programmation 2018-2022 et de réforme pour la justice a modifié la règle.

Désormais, la procédure de référé est, s’agissant de la représentation des parties, alignée sur les mêmes règles que celles applicables dans le cadre de la procédure au fond.

Le principe est donc que la représentation est obligatoire. Par exception, les parties peuvent se défendre elles-mêmes ou se faire représenter.

==> La représentation obligatoire

L’article 760 du CPC prévoit que les parties sont, sauf disposition contraire, tenues de constituer avocat devant le tribunal judiciaire.

La représentation est ainsi, par principe, obligatoire devant le Tribunal judiciaire.

Cette représentation obligatoire relève, à cet égard, du monopole de postulation des avocats.

Il en résulte que les avocats ne sont autorisés à accomplir des actes de procédure que devant les tribunaux judiciaires du ressort de cour d’appel dans lequel ils ont établi leur résidence professionnelle et devant ladite cour d’appel.

Pour les avocats extérieurs au ressort de la Cour d’appel, leur intervention ne pourra se limiter qu’à l’activité de plaidoirie.

La conséquence en est pour le justiciable, qu’il devra s’attacher les services de deux avocats :

  • Un avocat plaidant pour défendre sa cause à l’oral devant la juridiction saisie
  • Un avocat postulant pour accomplir les actes de procédure

==> La représentation facultative

Devant le Tribunal judiciaire, la représentation par avocat n’est facultative que par exception.

L’article 761 du CPC prévoit en ce sens que les parties sont dispensées de constituer avocat lorsque la demande porte :

  • Soit sur un montant inférieur ou égal à 10 000 euros ou a pour objet une demande indéterminée ayant pour origine l’exécution d’une obligation dont le montant n’excède pas 10 000 euros
    • Sauf à ce que la matière relève de la compétence exclusive du Tribunal judiciaire, auquel cas la constitution d’avocat est obligatoire quel que soit le montant sur lequel porte la demande
  • Soit sur une matière relevant de la compétence du juge des contentieux de la protection ;
  • Soit sur l’une des matières énumérées par les articles R. 211-3-13 à R. 211-3-16, R. 211-3-18 à R. 211-3-21, R. 211-3-23 du code de l’organisation judiciaire
  • Soit sur l’une des matières énumérées au tableau IV-II annexé au code de l’organisation judiciaire

Lorsque la représentation est facultative, l’article 762 du CPC dispose que les parties peuvent :

  • Soit se défendre elles-mêmes.
  • Soit se faire assister ou représenter par :
    • Un avocat ;
    • Leur conjoint, leur concubin ou la personne avec laquelle elles ont conclu un pacte civil de solidarité ;
    • Leurs parents ou alliés en ligne directe ;
    • Leurs parents ou alliés en ligne collatérale jusqu’au troisième degré inclus ;
    • les personnes exclusivement attachées à leur service personnel ou à leur entreprise.
  • L’article 761, al. 3 du CPC précise que l’État, les départements, les régions, les communes et les établissements publics peuvent se faire représenter ou assister par un fonctionnaire ou un agent de leur administration.
  • Lorsque la représentation n’est pas obligatoire, les parties disposent ainsi du choix d’assurer leur propre défense ou de désigner un mandataire.
  • Lorsqu’elles choisissent de se faire représenter, le représentant, s’il n’est avocat, doit justifier d’un pouvoir spécial.

II) L’introduction de l’instance

A) L’acte introductif d’instance

==> L’assignation

L’article 485, al. 1er du Code de procédure civile prévoit que « la demande est portée par voie d’assignation à une audience tenue à cet effet aux jour et heure habituels des référés. »

Il n’existe ainsi qu’un seul mode de saisine du Juge des référés : l’assignation. Elle est définie à l’article 55 du CPC comme « l’acte d’huissier de justice par lequel le demandeur cite son adversaire à comparaître devant le juge. »

L’assignation consiste, autrement dit, en une citation à comparaître par-devant la juridiction saisie, notifiée à la partie adverse afin qu’elle prenne connaissance des prétentions du demandeur et qu’elles puissent, dans le cadre d’un débat contradictoire, fournir des explications.

L’assignation présente cette particularité de devoir être notifiée au moyen d’un exploit d’huissier.

Ainsi, doit-elle être adressée, non pas au juge, mais à la partie mise en cause qui, par cet acte, est informée qu’un procès lui est intenté, en conséquence de quoi elle est invitée à se défendre.

==> Formalisme

Dans le cadre de la procédure de référé par-devant le Tribunal judiciaire, l’assignation doit comporter, à peine de nullité, un certain nombre de mentions énoncées par le Code de procédure.

La teneur de ces mentions diffère selon que la représentation est obligatoire ou selon qu’elle est facultative

La procédure de référé avec représentation obligatoire

Mentions de droit commun
Art. 54A peine de nullité, la demande initiale mentionne :

1° L'indication de la juridiction devant laquelle la demande est portée ;

2° L'objet de la demande ;

3° a) Pour les personnes physiques, les nom, prénoms, profession, domicile, nationalité, date et lieu de naissance de chacun des demandeurs ;

b) Pour les personnes morales, leur forme, leur dénomination, leur siège social et l'organe qui les représente légalement ;

4° Le cas échéant, les mentions relatives à la désignation des immeubles exigées pour la publication au fichier immobilier ;

5° Lorsqu'elle doit être précédée d'une tentative de conciliation, de médiation ou de procédure participative, les diligences entreprises en vue d'une résolution amiable du litige ou la justification de la dispense d'une telle tentative.
Art. 56L'assignation contient à peine de nullité, outre les mentions prescrites pour les actes d'huissier de justice et celles énoncées à l'article 54 :

1° Les lieu, jour et heure de l'audience à laquelle l'affaire sera appelée ;

2° Un exposé des moyens en fait et en droit ;

3° La liste des pièces sur lesquelles la demande est fondée dans un bordereau qui lui est annexé ;

4° L'indication des modalités de comparution devant la juridiction et la précision que, faute pour le défendeur de comparaître, il s'expose à ce qu'un jugement soit rendu contre lui sur les seuls éléments fournis par son adversaire.

L'assignation précise également, le cas échéant, la chambre désignée
Art. 648• Tout acte d'huissier de justice indique, indépendamment des mentions prescrites par ailleurs

1. Sa date ;

2. a) Si le requérant est une personne physique : ses nom, prénoms, profession, domicile, nationalité, date et lieu de naissance ;

b) Si le requérant est une personne morale : sa forme, sa dénomination, son siège social et l'organe qui la représente légalement.

3. Les nom, prénoms, demeure et signature de l'huissier de justice

4. Si l'acte doit être signifié, les nom et domicile du destinataire, ou, s'il s'agit d'une personne morale, sa dénomination et son siège social.
Art. 473• Lorsque le défendeur ne comparaît pas, le jugement est rendu par défaut si la décision est en dernier ressort et si la citation n'a pas été délivrée à personne.

• Le jugement est réputé contradictoire lorsque la décision est susceptible d'appel ou lorsque la citation a été délivrée à la personne du défendeur.
Mentions spécifiques
Art. 752• Lorsque la représentation par avocat est obligatoire, outre les mentions prescrites aux articles 54 et 56, l'assignation contient à peine de nullité :

1° La constitution de l'avocat du demandeur

2° Le délai dans lequel le défendeur est tenu de constituer avocat

• Le cas échéant, l'assignation mentionne l'accord du demandeur pour que la procédure se déroule sans audience en application de l'article L. 212-5-1 du code de l'organisation judiciaire.
Art. 760• Les parties sont, sauf disposition contraire, tenues de constituer avocat devant le tribunal judiciaire.

• La constitution de l'avocat emporte élection de domicile.
Art. 763Lorsque la représentation par avocat est obligatoire, le défendeur est tenu de constituer avocat dans le délai de quinze jours, à compter de l'assignation. Toutefois, si l'assignation lui est délivrée dans un délai inférieur ou égal à quinze jours avant la date de l'audience, il peut constituer avocat jusqu'à l'audience.
Art. 764• Dès qu'il est constitué, l'avocat du défendeur en informe celui du demandeur ; copie de l'acte de constitution est remise au greffe.

• L'acte comporte, le cas échéant, l'accord du défendeur pour que la procédure se déroule sans audience en application de l'article L. 212-5-1 du code de l'organisation judiciaire.

La procédure de référé sans représentation obligatoire

Mentions de droit commun
Art. 54• A peine de nullité, la demande initiale mentionne :

1° L'indication de la juridiction devant laquelle la demande est portée ;

2° L'objet de la demande ;

3° a) Pour les personnes physiques, les nom, prénoms, profession, domicile, nationalité, date et lieu de naissance de chacun des demandeurs ;

b) Pour les personnes morales, leur forme, leur dénomination, leur siège social et l'organe qui les représente légalement ;

4° Le cas échéant, les mentions relatives à la désignation des immeubles exigées pour la publication au fichier immobilier ;

5° Lorsqu'elle doit être précédée d'une tentative de conciliation, de médiation ou de procédure participative, les diligences entreprises en vue d'une résolution amiable du litige ou la justification de la dispense d'une telle tentative.
Art. 56• L'assignation contient à peine de nullité, outre les mentions prescrites pour les actes d'huissier de justice et celles énoncées à l'article 54 :

1° Les lieu, jour et heure de l'audience à laquelle l'affaire sera appelée ;

2° Un exposé des moyens en fait et en droit ;

3° La liste des pièces sur lesquelles la demande est fondée dans un bordereau qui lui est annexé ;

4° L'indication des modalités de comparution devant la juridiction et la précision que, faute pour le défendeur de comparaître, il s'expose à ce qu'un jugement soit rendu contre lui sur les seuls éléments fournis par son adversaire.

L'assignation précise également, le cas échéant, la chambre désignée.
Art. 648• Tout acte d'huissier de justice indique, indépendamment des mentions prescrites par ailleurs

1. Sa date ;

2. a) Si le requérant est une personne physique : ses nom, prénoms, profession, domicile, nationalité, date et lieu de naissance ;

b) Si le requérant est une personne morale : sa forme, sa dénomination, son siège social et l'organe qui la représente légalement.

3. Les nom, prénoms, demeure et signature de l'huissier de justice

4. Si l'acte doit être signifié, les nom et domicile du destinataire, ou, s'il s'agit d'une personne morale, sa dénomination et son siège social.
Art. 473• Lorsque le défendeur ne comparaît pas, le jugement est rendu par défaut si la décision est en dernier ressort et si la citation n'a pas été délivrée à personne.

• Le jugement est réputé contradictoire lorsque la décision est susceptible d'appel ou lorsque la citation a été délivrée à la personne du défendeur.
Mentions spécifiques
Art. 753• Lorsque la représentation par avocat n'est pas obligatoire, l'assignation contient, à peine de nullité, outre les mentions prescrites aux articles 54 et 56, les nom, prénoms et adresse de la personne chez qui le demandeur élit domicile en France lorsqu'il réside à l'étranger.

• Le cas échéant, l'assignation mentionne l'accord du demandeur pour que la procédure se déroule sans audience en application de l'article L. 212-5-1 du code de l'organisation judiciaire.

• L'acte introductif d'instance rappelle en outre les dispositions de l'article 832 et mentionne les conditions dans lesquelles le défendeur peut se faire assister ou représenter, ainsi que, s'il y a lieu, le nom du représentant du demandeur.
Art. 832• Sans préjudice des dispositions de l'article 68, la demande incidente tendant à l'octroi d'un délai de paiement en application de l'article 1343-5 du code civil peut être formée par courrier remis ou adressé au greffe. Les pièces que la partie souhaite invoquer à l'appui de sa demande sont jointes à son courrier. La demande est communiquée aux autres parties, à l'audience, par le juge, sauf la faculté pour ce dernier de la leur faire notifier par le greffier, accompagnée des pièces jointes, par lettre recommandée avec demande d'avis de réception.

• L'auteur de cette demande incidente peut ne pas se présenter à l'audience, conformément au second alinéa de l'article 446-1. Dans ce cas, le juge ne fait droit aux demandes présentées contre cette partie que s'il les estime régulières, recevables et bien fondées.
Art. 762• Lorsque la représentation par avocat n'est pas obligatoire, les parties se défendent elles-mêmes.

• Les parties peuvent se faire assister ou représenter par :

-un avocat ;
-leur conjoint, leur concubin ou la personne avec laquelle elles ont conclu un pacte civil de solidarité ;
-leurs parents ou alliés en ligne directe ;
-leurs parents ou alliés en ligne collatérale jusqu'au troisième degré inclus ;
-les personnes exclusivement attachées à leur service personnel ou à leur entreprise.

• Le représentant, s'il n'est avocat, doit justifier d'un pouvoir spécial.

B) La constitution d’avocat

==> Représentation obligatoire/représentation facultative

La constitution d’avocat n’est exigée, en matière de référé, que pour les cas où la représentation est obligatoire, ce qui, devant le Tribunal judiciaire est, en application de l’article 760 du CPC, le principe.

Pour mémoire, en vertu de l’article 761 du CPC, la représentation n’est facultative que lorsque la demande porte :

  • Soit sur un montant inférieur ou égal à 10 000 euros ou a pour objet une demande indéterminée ayant pour origine l’exécution d’une obligation dont le montant n’excède pas 10 000 euros
    • Sauf à ce que la matière relève de la compétence exclusive du Tribunal judiciaire, auquel cas la constitution d’avocat est obligatoire quel que soit le montant sur lequel porte la demande
  • Soit sur une matière relevant de la compétence du juge des contentieux de la protection ;
  • Soit sur l’une des matières énumérées par les articles R. 211-3-13 à R. 211-3-16, R. 211-3-18 à R. 211-3-21, R. 211-3-23 du code de l’organisation judiciaire
  • Soit sur l’une des matières énumérées au tableau IV-II annexé au code de l’organisation judiciaire

==> L’obligation de constitution

L’article 760 du Code de procédure civile dispose que « les parties sont, sauf disposition contraire, tenues de constituer avocat devant le tribunal judiciaire. »

L’article 763 précise que « lorsque la représentation par avocat est obligatoire, le défendeur est tenu de constituer avocat dans le délai de quinze jours, à compter de l’assignation. »

Le texte précise toutefois que « si l’assignation lui est délivrée dans un délai inférieur ou égal à quinze jours avant la date de l’audience, il peut constituer avocat jusqu’à l’audience. »

Par ailleurs, en application de l’article 760, al. 2e, « la constitution de l’avocat emporte élection de domicile », ce qui signifie que tous les actes de procédure dont le défendeur est destinataire devront être adressés à son avocat et non lui être communiqués à son adresse personnelle.

Lorsque la représentation est obligatoire ne peuvent se constituer que les avocats inscrits au barreau du ressort de la Cour d’appel compétente.

Dans certains cas (procédures de saisie immobilière, partage et de licitation, en matière d’aide juridictionnelle etc.), seuls les avocats inscrits au Barreau relevant du Tribunal judiciaire sont autorisés à se constituer.

==> Le délai de constitution

  • Principe
    • Le défendeur dispose d’un délai de 15 jours pour constituer avocat à compter de la délivrance de l’assignation.
    • Ce délai est calculé selon les règles de computation des délais énoncées aux articles 640 et suivants du CPC.
  • Exceptions
    • Si l’assignation est délivrée au défendeur dans un délai inférieur ou égal à quinze jours avant la date de l’audience, il peut constituer avocat jusqu’à l’audience.
    • Lorsque le défendeur réside dans les DOM-TOM ou à l’étranger le délai de constitution d’avocat est d’augmenter d’un ou deux mois selon la situation ( 643 et 644 CPC)
    • Lorsque l’assignation n’a pas été délivrée à personne, l’article 471 du CPC prévoit que « le défendeur qui ne comparaît pas peut, à l’initiative du demandeur ou sur décision prise d’office par le juge, être à nouveau invité à comparaître si la citation n’a pas été délivrée à personne. »

==> La sanction du défaut de constitution

Le défaut de constitution d’avocat emporte des conséquences très graves pour le défendeur puisque cette situation s’apparente à un défaut de comparution.

Or aux termes de l’article 472 du CPC « si le défendeur ne comparaît pas, il est néanmoins statué sur le fond. »

La conséquence en est, selon l’article 54 que « faute pour le défendeur de comparaître, il s’expose à ce qu’un jugement soit rendu contre lui sur les seuls éléments fournis par son adversaire ».

Dans cette hypothèse deux possibilités :

  • Soit le jugement est rendu par défaut si la décision est en dernier ressort et si la citation n’a pas été délivrée à personne.
  • Soit le jugement est réputé contradictoire lorsque la décision est susceptible d’appel ou lorsque la citation a été délivrée à la personne du défendeur.

==> Le formalisme de la constitution

  • Contenu de l’acte de constitution
    • L’article 765 du CPC prévoit que l’acte de constitution d’avocat indique
      • Si le défendeur est une personne physique, ses nom, prénoms, profession, domicile, nationalité, date et lieu de naissance.
      • Si le défendeur est une personne morale, sa forme, sa dénomination, son siège social et l’organe qui le représente légalement.
    • L’article 764, al. 2e ajoute que « l’acte comporte, le cas échéant, l’accord du défendeur pour que la procédure se déroule sans audience en application de l’article L. 212-5-1 du code de l’organisation judiciaire. »
  • Notification de la constitution
    • L’article 765 du CPC prévoit que la constitution de l’avocat par le défendeur ou par toute personne qui devient partie en cours d’instance est dénoncée aux autres parties par notification entre avocats.
    • En application de l’article 764 précise qu’une copie de l’acte de constitution doit être remise au greffe.
    • L’article 767 précise que la remise au greffe de la copie de l’acte de constitution et des conclusions est faite soit dès leur notification, soit si celle-ci est antérieure à la saisine du tribunal, avec la remise de la copie de l’assignation.
    • En outre, cette dénonciation doit s’opérer soit par voie de RPVA soit en requérant les services des huissiers audienciers
    • En application de l’article 769 du CPC la remise au greffe de l’acte de constitution est constatée par la mention de la date de remise et le visa du greffier sur la copie ainsi que sur l’original, qui est immédiatement restitué.
  • Notification du greffe aux avocats constitués
    • L’article 773 du CPC prévoit qu’il appartient au greffe d’aviser aussitôt les avocats dont la constitution lui est connue du numéro d’inscription au répertoire général, des jour et heure fixés par le président du tribunal pour l’appel de l’affaire et de la chambre à laquelle celle-ci est distribuée.
    • Cet avis est donné aux avocats dont la constitution n’est pas encore connue, dès la remise au greffe de la copie de l’acte de constitution.

C) La comparution

Pour mémoire, la comparution est l’acte par lequel une partie se présente devant une juridiction.

Pour comparaître, encore faut-il que le justiciable ait eu connaissance de la citation en justice dont il fait l’objet.

Lorsque cette citation prend la forme d’une assignation, elle doit être délivrée au défendeur par voie d’huissier.

La question qui alors se pose est de savoir jusqu’à quelle date avant l’audience l’assignation peut être notifiée.

En effet, la partie assignée en justice doit disposer du temps nécessaire pour:

  • D’une part, prendre connaissance des faits qui lui sont reprochés
  • D’autre part, préparer sa défense et, le cas échéant, consulter un avocat

A l’analyse, ce délai de comparution, soit la date butoir au-delà de laquelle l’assignation ne peut plus être délivrée diffère d’une procédure à l’autre.

Qu’en est-il en matière de référé ?

==> Règles communes aux juridictions civiles et commerciales

  • Principe
    • Aucun délai de comparution n’est prévu par les textes. Il est seulement indiqué à l’article 486 du Code de procédure civile que « le juge s’assure qu’il s’est écoulé un temps suffisant entre l’assignation et l’audience pour que la partie assignée ait pu préparer sa défense».
    • Le défendeur doit, autrement dit, avoir pu disposer de suffisamment de temps pour assurer sa défense avant la tenue de l’audience, faute de quoi il sera fondé à solliciter du Juge un renvoi (V. en ce sens 2e civ., 9 nov. 2006, n° 06-10.714).
    • L’article 486 du CPC doit néanmoins être combiné à l’article 754 d’où il s’infère que, pour la procédure de référé, l’enrôlement de l’affaire doit intervenir dans un délai de 15 jours avant l’audience.
    • Il en résulte que le délai entre la date de signification de l’assignation et la date d’audience doit être suffisant pour que le demandeur puisse procéder au placement de l’assignation dans le délai fixé.
    • À défaut l’assignation encourt la caducité.
  • Exception
    • L’article 485, al. 2e du Code de procédure civile prévoit que si « le cas requiert célérité, le juge des référés peut permettre d’assigner, à heure indiquée, même les jours fériés ou chômés»
    • Cette procédure, qualifiée de référé d’heure à heure, permet ainsi à une personne d’obtenir une audience dans un temps extrêmement rapproché, l’urgence étant souverainement appréciée par le juge
    • Reste que pour assigner en référé d’heure à heure le requérant devra avoir préalablement obtenu l’autorisation du Juge
    • Pour ce faire, il devra lui adresser une requête selon la procédure prévue aux articles 493 et suivants du Code de procédure civile (procédure sur requête)
    • Cette requête devra être introduite aux fins d’obtenir l’autorisation d’assigner à heure indiquée
    • Quant au défendeur, il devra là encore disposer d’un délai suffisant pour assurer sa défense.
    • La faculté d’assigner d’heure à heure est permise par-devant toutes les juridictions à l’exception du Conseil de prud’hommes.

==> Règles spécifiques au Tribunal judiciaire

Les dispositions communes qui régissent les procédures pendantes devant le Tribunal judiciaire ne fixe aucun délai de comparution, de sorte qu’il y a lieu de se reporter aux règles particulières applicables à chaque procédure.

En matière de référé, c’est donc les articles 484 et suivants eu CPC qui s’appliquent, lesquels ne prévoient, ainsi qu’il l’a été vu, aucun délai de comparution.

Le juge doit seulement s’assurer qu’il s’est écoulé un temps suffisant entre l’assignation et l’audience pour que la partie assignée ait pu préparer sa défense.

Est-ce à dire que, si cette condition est remplie, l’assignation peut être délivrée – hors le cas du référé heure à heure – moins d’une semaine avant l’audience ?

A priori, aucun texte ne l’interdit, à tout le moins en référé. Il faut néanmoins compter avec un autre paramètre qui n’est autre que le délai d’enrôlement de l’assignation.

En effet, pour saisir le juge, il ne suffit pas de faire délivrer une citation en justice au défendeur avant l’audience. Il faut encore, que cette citation soit inscrite au rôle de la juridiction.

Or cette formalité doit être accompli dans un certain délai, lequel est parfois plus long que le délai de comparution, étant précisé que l’enrôlement suppose la production de l’acte de signification de la citation.

En pareille hypothèse, cela signifie que l’assignation devra avoir été délivrée avant l’expiration du délai d’enrôlement, ce qui n’est pas sans affecter le délai de comparution qui, mécaniquement, s’en trouve allongé.

Pour exemple :

Dans l’hypothèse où aucun délai de comparution n’est prévu, ce qui est le cas pour la procédure de référé pendante devant le Tribunal judiciaire et que le délai d’enrôlement de l’assignation est fixé à 15 jours, il en résulte l’obligation pour le demandeur de faire signifier l’assignation au défendeur avant l’expiration de ce délai.

En pratique, il devra se ménager une marge de sécurité d’un ou deux jours compte tenu des contraintes matérielles inhérentes à la notification et à l’accomplissement des formalités d’enrôlement.

Aussi, afin de déterminer la date butoir de délivrance de l’assignation, il y a lieu de se référer tout autant au délai de comparution, qu’au délai d’enrôlement les deux étant très étroitement liés.

D) L’enrôlement de l’affaire

Il ressort des articles 754 et 756 du CPC que la saisine du Tribunal judiciaire ne s’opère qu’à la condition que l’acte introductif d’instance accompli par les parties fasse l’objet d’un « placement » ou, dit autrement, d’un « enrôlement ».

Ces expressions sont synonymes : elles désignent ce que l’on appelle la mise au rôle de l’affaire. Par rôle, il faut entendre le registre tenu par le secrétariat du greffe du Tribunal qui recense toutes les affaires dont il est saisi, soit celles sur lesquels il doit statuer.

Cette exigence de placement d’enrôlement de l’acte introductif d’instance a été généralisée pour toutes les juridictions, de sorte que les principes applicables sont les mêmes, tant devant le Tribunal judiciaire, que devant le Tribunal de commerce.

À cet égard, la saisine proprement dite de la juridiction comporte trois étapes qu’il convient de distinguer

  • Le placement de l’acte introductif d’instance
  • L’enregistrement de l’affaire au répertoire général
  • La constitution et le suivi du dossier

1. Le placement de l’assignation

a. La remise de l’assignation au greffe

L’article 754 du CPC dispose, en effet, que le tribunal est saisi, à la diligence de l’une ou l’autre partie, par la remise au greffe d’une copie de l’assignation.

C’est donc le dépôt de l’assignation au greffe du Tribunal judiciaire qui va opérer la saisine et non sa signification à la partie adverse.

À cet égard, l’article 769 du CPC précise que « la remise au greffe de la copie d’un acte de procédure ou d’une pièce est constatée par la mention de la date de remise et le visa du greffier sur la copie ainsi que sur l’original, qui est immédiatement restitué. »

b. Le délai

b.1 Principe

i. Droit antérieur

L’article 754 du CPC, modifié par le décret n°2020-1452 du 27 novembre 2020, disposait dans son ancienne rédaction que « sous réserve que la date de l’audience soit communiquée plus de quinze jours à l’avance, la remise doit être effectuée au moins quinze jours avant cette date ».

L’alinéa 2 précisait que « lorsque la date de l’audience est communiquée par voie électronique, la remise doit être faite dans le délai de deux mois à compter de cette communication. »

Il ressortait de la combinaison de ces deux dispositions que pour déterminer le délai d’enrôlement de l’assignation, il y avait lieu de distinguer selon que la date d’audience est ou non communiquée par voie électronique.

==> La date d’audience n’était pas communiquée par voie électronique

Il s’agit de l’hypothèse où les actes de procédures ne sont pas communiqués par voie électronique (RPVA).

Tel est le cas, par exemple, en matière de procédure orale ou de procédure à jour fixe, la voie électronique ne s’imposant, conformément à l’article 850 du CPC, qu’en matière de procédure écrite.

Cette disposition prévoit, en effet, que « à peine d’irrecevabilité relevée d’office, en matière de procédure écrite ordinaire et de procédure à jour fixe, les actes de procédure à l’exception de la requête mentionnée à l’article 840 sont remis à la juridiction par voie électronique. »

Dans cette hypothèse, il convenait donc de distinguer deux situations :

  • La date d’audience est communiquée plus de 15 jours avant l’audience
    • Le délai d’enrôlement de l’assignation devait être alors porté à 15 jours
  • La date d’audience est communiquée moins de 15 jours avant l’audience
    • L’assignation devait être enrôlée avant l’audience sans condition de délai

==> La date d’audience était communiquée par voie électronique

Il s’agit donc de l’hypothèse où la date d’audience est communiquée par voie de RPVA ce qui, en application de l’article 850 du CPC, intéresse :

  • La procédure écrite ordinaire
  • La procédure à jour fixe

L’article 754 du CPC prévoyait que pour ces procédures, l’enrôlement de l’assignation doit intervenir « dans le délai de deux mois à compter de cette communication. »

Ainsi, lorsque la communication de la date d’audience était effectuée par voie électronique, le demandeur devait procéder à la remise de son assignation au greffe dans un délai de deux mois à compter de la communication de la date d’audience.

Le délai de placement de l’assignation était censé être adapté à ce nouveau mode de communication de la date de première audience.

Ce système n’a finalement pas été retenu lors de la nouvelle réforme intervenue un an plus tard.

ii. Droit positif

L’article 754 du CPC, modifié par le décret n° 2021-1322 du 11 octobre 2021, dispose désormais en son alinéa 2 que « sous réserve que la date de l’audience soit communiquée plus de quinze jours à l’avance, la remise doit être effectuée au moins quinze jours avant cette date. »

Il ressort de cette disposition que pour déterminer le délai d’enrôlement de l’assignation, il y a lieu de distinguer selon que la date d’audience est ou non communiquée 15 jours avant la tenue de l’audience

  • La date d’audience est communiquée plus de 15 jours avant la tenue de l’audience
    • Dans cette hypothèse, l’assignation doit être enrôlée au plus tard 15 jours avant l’audience
  • La date d’audience est communiquée moins de 15 jours avant la tenue de l’audience
    • Dans cette hypothèse, l’assignation doit être enrôlée avant l’audience sans condition de délai

Le décret n° 2021-1322 du 11 octobre 2021 a ainsi mis fin au système antérieur qui supposait de déterminer si la date d’audience avait ou non été communiquée par voie électronique.

b.2 Exception

L’article 755 prévoit que dans les cas d’urgence ou de dates d’audience très rapprochées, les délais de comparution des parties ou de remise de l’assignation peuvent être réduits sur autorisation du juge.

Cette urgence sera notamment caractérisée pour les actions en référé dont la recevabilité est, pour certaines, subordonnée à la caractérisation d’un cas d’urgence (V. en ce sens l’art. 834 CPC).

c. La sanction

L’article 754 prévoit que le non-respect du délai d’enrôlement est sanctionné par la caducité de l’assignation, soit son anéantissement rétroactif, lequel provoque la nullité de tous les actes subséquents.

Cette disposition précise que la caducité de l’assignation est « constatée d’office par ordonnance du juge »

À défaut, le non-respect du délai d’enrôlement peut être soulevé par requête présentée au président ou au juge en charge de l’affaire en vue de faire constater la caducité. Celui-ci ne dispose alors d’aucun pouvoir d’appréciation.

En tout état de cause, lorsque la caducité est acquise, elle a pour effet de mettre un terme à l’instance.

Surtout, la caducité de l’assignation n’a pas pu interrompre le délai de prescription qui s’est écoulé comme si aucune assignation n’était intervenue (Cass. 2e civ., 11 oct. 2001, n°9916.269).

2. L’enregistrement de l’affaire au répertoire général

L’article 726 du CPC prévoit que le greffe tient un répertoire général des affaires dont la juridiction est saisie. C’est ce que l’on appelle le rôle.

Le répertoire général indique la date de la saisine, le numéro d’inscription, le nom des parties, la nature de l’affaire, s’il y a lieu la chambre à laquelle celle-ci est distribuée, la nature et la date de la décision

Consécutivement au placement de l’acte introductif d’instance, il doit inscrire au répertoire général dans la perspective que l’affaire soit, par suite, distribuée.

3. La constitution et le suivi du dossier

Consécutivement à l’enrôlement de l’affaire, il appartient au greffier de constituer un dossier, lequel fera l’objet d’un suivi et d’une actualisation tout au long de l’instance.

==> La constitution du dossier

L’article 727 du CPC prévoit que pour chaque affaire inscrite au répertoire général, le greffier constitue un dossier sur lequel sont portés, outre les indications figurant à ce répertoire, le nom du ou des juges ayant à connaître de l’affaire et, s’il y a lieu, le nom des personnes qui représentent ou assistent les parties.

Sont versés au dossier, après avoir été visés par le juge ou le greffier, les actes, notes et documents relatifs à l’affaire.

Y sont mentionnés ou versés en copie les décisions auxquelles celle-ci donne lieu, les avis et les lettres adressés par la juridiction.

Lorsque la procédure est orale, les prétentions des parties ou la référence qu’elles font aux prétentions qu’elles auraient formulées par écrit sont notées au dossier ou consignées dans un procès-verbal.

Ainsi, le dossier constitué par le greffe a vocation à recueillir tous les actes de procédure. C’est là le sens de l’article 769 du CPC qui prévoit que « la remise au greffe de la copie d’un acte de procédure ou d’une pièce est constatée par la mention de la date de remise et le visa du greffier sur la copie ainsi que sur l’original, qui est immédiatement restitué. »

==> Le suivi du dossier

L’article 771 prévoit que le dossier de l’affaire doit être conservé et tenu à jour par le greffier de la chambre à laquelle l’affaire a été distribuée.

Par ailleurs, il est établi une fiche permettant de connaître à tout moment l’état de l’affaire.

En particulier, en application de l’article 728 du CPC, le greffier de la formation de jugement doit tenir un registre où sont portés, pour chaque audience :

  • La date de l’audience ;
  • Le nom des juges et du greffier ;
  • Le nom des parties et la nature de l’affaire ;
  • L’indication des parties qui comparaissent elles-mêmes dans les matières où la représentation n’est pas obligatoire ;
  • Le nom des personnes qui représentent ou assistent les parties à l’audience.

Le greffier y mentionne également le caractère public ou non de l’audience, les incidents d’audience et les décisions prises sur ces incidents.

L’indication des jugements prononcés est portée sur le registre qui est signé, après chaque audience, par le président et le greffier.

Par ailleurs, l’article 729 précise que, en cas de recours ou de renvoi après cassation, le greffier adresse le dossier à la juridiction compétente, soit dans les quinze jours de la demande qui lui en est faite, soit dans les délais prévus par des dispositions particulières.

Le greffier établit, s’il y a lieu, copie des pièces nécessaires à la poursuite de l’instance.

Depuis l’adoption du décret n°2005-1678 du 28 décembre 2005, il est admis que le dossier et le registre soient tenus sur support électronique, à la condition que le système de traitement des informations garantisse l’intégrité et la confidentialité et permettre d’en assurer la conservation.

II) Le déroulement de l’instance

A) Une procédure contradictoire

 À la différence de la procédure sur requête, la procédure de référé présente un caractère contradictoire

Conformément à l’article 15 du CPC il est donc exigé que les parties se fassent connaître mutuellement en temps utile :

  • Les moyens de fait sur lesquels elles fondent leurs prétentions
  • Les éléments de preuve qu’elles produisent
  • Les moyens de droit qu’elles invoquent, afin que chacune soit à même d’organiser sa défense.

L’article 16 ajoute que le juge ne peut retenir, dans sa décision, les moyens, les explications et les documents invoqués ou produits par les parties que si celles-ci ont été à même d’en débattre contradictoirement.

À cet égard, en application de l’article 132 la partie qui fait état d’une pièce s’oblige à la communiquer à toute autre partie à l’instance et la communication des pièces doit être spontanée.

À défaut, le juge peut écarter du débat les pièces qui n’ont pas été communiquées en temps utile.

Reste que dans la mesure où la procédure de référé est animée par l’urgence, la question se pose du délai de la communication des écritures et des pièces.

Quid dans l’hypothèse où ces éléments seraient communiqués la veille de l’audience voire le jour-même ?

Dans un arrêt du 12 juin 2002, la Cour de cassation a admis que des écritures puissent être communiquées le jour-même dès lors que la partie concluante ne soulevait aucune prétention nouvelle (Cass. 3e civ. 12 juin 2002, n°01-01233).

Lorsque toutefois des circonstances particulières empêchent la contradiction, la Cour de cassation considère que la communication d’écriture au dernier moment n’est pas recevable (Cass. 2e civ. 4 déc. 2003, n°01-17604).

Dans un arrêt du 1er mars 2006, la Cour de cassation a encore considéré que « les conclusions doivent être communiquées en temps utile au sens de l’article 15 du nouveau code de procédure civile ; qu’ayant relevé que les conclusions de M. P., appelant, avaient été remises au greffe de la juridiction huit minutes avant le début de l’audience, la cour d’appel [statuant en référé] a, par ce seul motif, souverainement rejeté des débats ces conclusions tardives, auxquelles l’adversaire était dans l’incapacité de répondre » (Cass. 3e civ, 1er mars 2006, n° 04-18327).

B) Une procédure orale

 La procédure de référé est orale, de sorte qu’il appartient à chaque partie de développer verbalement à l’audience ses arguments en fait et en droit.

Bien que les conclusions écrites ne soient pas obligatoires, il est d’usage qu’elles soient adressées au juge des référés

Dans un arrêt du 25 septembre 2013 la Cour de cassation a eu l’occasion de préciser que « la procédure de référé étant orale et en l’absence de disposition particulière prévoyant que les parties peuvent être autorisées à formuler leurs prétentions et leurs moyens par écrit sans se présenter à l’audience, le dépôt par une partie d’observations écrites, ne peut suppléer le défaut de comparution » (Cass. soc. 25 sept. 2013, n° 12-17968).

Si le contenu des débats oraux diffère de ce qui figure dans les écritures des parties, le juge ne doit, en principe, fonder sa décision que sur les seuls arguments oraux développés en audience.

S’agissant de l’invocation des exceptions de procédure, dans un arrêt du 16 octobre 2003 la Cour de cassation a jugé que ces « exceptions doivent, à peine d’irrecevabilité, être soulevées avant toute défense au fond ; que, devant le tribunal de commerce, la procédure étant orale, les prétentions des parties peuvent être formulées au cours de l’audience et qu’il en est notamment ainsi des exceptions de procédure » (Cass. 2e civ. 16 oct. 2003, n°01-13036).

C) Renvoi de l’affaire au fond

==> Le renvoi de l’affaire

L’article 837, al. 1er du CPC dispose « à la demande de l’une des parties et si l’urgence le justifie, le président du tribunal judiciaire ou le juge des contentieux de la protection saisi en référé peut renvoyer l’affaire à une audience dont il fixe la date pour qu’il soit statué au fond. »

Il est ainsi des cas où le juge des référés peut estimer que la question qui lui est soumise ne relève pas de l’évidence et qu’elle se heurte à une contestation sérieuse.

Dans cette hypothèse, il dispose de la faculté, en cas d’urgence, de renvoyer l’affaire au fond, soit pour qu’il soit tranché au principal et non seulement au provisoire.

Lorsque le Juge des référés procède à un tel renvoi, il doit veiller, en fixant la date d’audience, à ce que le défendeur dispose d’un temps suffisant pour préparer sa défense.

Par ailleurs, l’article 837, al. 2 in fine précise que « lorsque le président de la juridiction a ordonné la réassignation du défendeur non comparant, ce dernier est convoqué par acte d’huissier de justice à l’initiative du demandeur. »

L’ordonnance rendue emporte alors saisine de la juridiction.

==> Le jugement au fond de l’affaire

L’alinéa 2 de l’article 837 du CPC précise que lorsque la représentation est obligatoire, il y a lieu de faire application d’un certain nombre de règles empruntées à la procédure à jour fixe :

  • D’une part, le défendeur est tenu de constituer avocat avant l’audience ( 842 CPC)
  • D’autre part, le juge auquel l’affaire est renvoyée dispose de trois options :
    • Première option
      • S’il considère que l’affaire est en état d’être jugée, le juge peut décider qu’elle sera plaidée sur-le-champ en l’état où elle se trouve, même en l’absence de conclusions du défendeur ou sur simples conclusions verbales.
    • Deuxième option
      • En application de l’article 779 du CPC, le président peut décider que les avocats se présenteront à nouveau devant lui, à une date d’audience qu’il fixe, pour conférer une dernière fois de l’affaire s’il estime qu’un ultime échange de conclusions ou une ultime communication de pièces suffit à mettre l’affaire en état ou que les conclusions des parties doivent être mises en conformité avec les dispositions de l’article 768.
    • Troisième option
      • Le juge peut considérer que l’affaire n’est pas en état d’être jugée raison pour laquelle il y a lieu de la renvoyer devant le juge de la mise en état aux fins d’instruction
      • Dans cette hypothèse, l’affaire sera ainsi redirigée vers la voie du circuit long.
      • Elle sera donc instruite selon les règles énoncées aux articles 780 à 797 du CPC.

§2: L’ordonnance de référé

I) L’autorité de l’ordonnance

==> Une décision provisoire

L’article 484 du Code de procédure civile prévoit que « l’ordonnance de référé est une décision provisoire ».

Par provisoire il faut entendre que la décision rendue par le Juge des référés a vocation à être substituée par une décision définitive qui sera rendue par une juridiction statuant au fond.

Aussi, les mesures prises par le Juge des référés ne sont pas destinées à être pérennes. Elles sont motivées, le plus souvent, par l’urgence, à tout le moins par la nécessité de sauvegarder, à titre conservatoire, les intérêts du demandeur.

==> Une décision dépourvue de l’autorité de la chose jugée au principal

L’article 488 du Code de procédure civile ajoute que « l’ordonnance de référé n’a pas, au principal, l’autorité de la chose jugée. »

Cela signifie que la décision rendue par le juge des référés ne lie pas le juge du fond saisi ultérieurement ou concomitamment pour les mêmes fins.

Dans un arrêt du 13 novembre 2014, la Cour de cassation a considéré en ce sens que « l’ordonnance de référé étant dépourvue d’autorité de la chose jugée au principal, il est toujours loisible à l’une des parties à la procédure de référé de saisir le juge du fond pour obtenir un jugement définitif » (Cass. 2e civ., 13 nov. 2014, no 13-26708).

Sensiblement dans les mêmes termes elle a encore affirmé dans un arrêt du 25 février 2016 que « une décision de référé étant dépourvue d’autorité de la chose jugée au principal, l’une des parties à l’instance en référé a la faculté de saisir le juge du fond afin d’obtenir un jugement » (Cass. 3e civ. 25 févr. 2016, n°14-29760).

Les parties disposent donc de la faculté de saisir la juridiction au fond pour trancher un litige dont l’objet est identique à celui sur lequel le juge des référés s’est prononcé.

Quant au juge statuant au fond, il n’est nullement tenu de statuer dans le même sens que la décision rendue par le Juge des référés ni même de tenir compte de la solution adoptée qui, par nature, est provisoire.

En résumé, les juges du fond ne sont tenus, ni par les constatations de fait ou de droit du juge des référés, ni par les déductions qu’il a pu en faire, ni par sa décision (V. en ce sens Cass. 2e civ., 2 févr. 1982)

==> Une décision pourvue de l’autorité de la chose jugée au provisoire

Si la décision du juge des référés est dépourvue de l’autorité de la chose jugée au principal, elle possède, en revanche, l’autorité de la chose jugée au provisoire.

Cela signifie que, tant qu’aucune décision au fond n’est intervenue, l’ordonnance du juge des référés s’impose aux parties.

L’article 488, al. 2 du Code de procédure civile prévoit en ce sens que l’ordonnance de référé « ne peut être modifiée ou rapportée en référé qu’en cas de circonstances nouvelles ».

Ce n’est donc qu’en cas de survenance de circonstances nouvelles que les parties peuvent solliciter du Juge des référés la rétractation de son ordonnance.

Dans un arrêt du 16 décembre 2003, la Cour de cassation a précisé que « ne constituent pas une circonstance nouvelle autorisant la rétractation d’une ordonnance de référé des faits antérieurs à la date de l’audience devant le juge des référés qui a rendu l’ordonnance et connus de celui qui sollicite la rétractation » (Cass. 3e civ. 16 déc. 2003, n°02-17316).

Pour être une circonstance nouvelle, il est donc nécessaire que :

  • D’une part, le fait invoqué soit intervenu postérieurement à l’audience de référé ou ait été ignoré du plaideur au jour de l’audience
  • D’autre part, qu’il soit un élément d’appréciation nécessaire à la décision du Juge ou ayant une incidence sur elle

La Cour de cassation a, par exemple, considéré que des conclusions d’expertise rendues par un expert pouvaient constituer des circonstances nouvelles au sens de l’article 488 du Code de procédure civile (Cass. 3e civ. 20 oct. 1993).

Enfin, pour la Cour de cassation, le recours en rétractation prévu à l’article 488 du Code de procédure civile écarte le recours en révision de l’article 593 du code de procédure civile. Dans un arrêt du 11 juillet 2013 elle a, en effet, jugé que « le recours en révision n’est pas ouvert contre les ordonnances de référé susceptibles d’être rapportées ou modifiées en cas de circonstances nouvelles » (Cass. 2e civ., 11 juill. 2013, n°12-22630).

II) L’exécution de l’ordonnance

En application de l’article 514 du CPC l’ordonnance de référé en de droit exécutoire à titre provisoire à l’instar de l’ensemble des décisions de première instance.

Le caractère exécutoire à titre provisoire de l’ordonnance de référé lui est conféré de plein droit, c’est-à-dire sans qu’il soit besoin pour les parties d’en formuler la demande auprès du juge.

À la différence néanmoins d’une ordonnance sur requête qui est exécutoire sur minute, l’ordonnance de référé doit, au préalable, avoir été signifiée à la partie adverse pour pouvoir être exécutée, sauf à ce que le juge ordonne expressément dans sa décision, comme le lui permet « en cas de nécessité » l’alinéa 3 de l’article 489, que « l’exécution de l’ordonnance aura lieu au seul vu de la minute ».

Une fois signifiée, l’ordonnance de référé pourra alors donner lieu à l’exécution forcée des mesures prononcées par le Juge.

Il convient enfin d’observer que cette ordonnance est exécutoire à titre provisoire en toutes ces dispositions, y compris celles statuant sur les dépens et l’article 700.

III) Les voies de recours

A) Les voies de recours ordinaires

==> L’appel

  • Taux de ressort
    • L’article 490 du CPC prévoit que « l’ordonnance de référé peut être frappée d’appel à moins qu’elle n’émane du premier président de la cour d’appel ou qu’elle n’ait été rendue en dernier ressort en raison du montant ou de l’objet de la demande. »
    • Ainsi, est-il possible pour une partie d’interjeter appel d’une ordonnance de référé à la condition
      • Soit qu’elle n’émane pas du Premier Président de la Cour d’appel
      • Soit qu’elle n’ait pas été rendue en dernier ressort
  • Délai d’appel
    • Le délai pour interjeter appel d’une ordonnance de référé est, en application de l’article 490 du CPC, de 15 jours
    • Ce délai court à compter de la signification de l’ordonnance à la partie adverse
    • Dans la mesure où les ordonnances de référé sont exécutoires de plein droit, l’appel n’est ici pas suspensif

==> L’opposition

L’article 490 du CPC envisage la possibilité de former opposition d’une ordonnance de référé dans un cas très spécifique : lorsque l’ordonnance a été rendue en dernier ressort par défaut.

Le délai d’opposition est de 15 jours à compter de la signification de l’ordonnance.

B) Les voies de recours extraordinaires

==> La tierce opposition

Pour rappel, définie à l’article 582 du CPC la tierce opposition tend à faire rétracter ou réformer un jugement au profit du tiers qui l’attaque.

Aussi, a-t-elle pour effet de remettre en question relativement à son auteur les points jugés qu’elle critique, pour qu’il soit à nouveau statué en fait et en droit.

À cet égard, l’article 585 du CPC prévoit que « tout jugement est susceptible de tierce opposition si la loi n’en dispose autrement. »

Il est de jurisprudence constante que l’ordonnance de référé est regardée comme un jugement au sens de ce texte, raison pour laquelle il est admis que la tierce opposition est admise en matière de référé.

==> Le pourvoi en cassation

Si le pourvoi en cassation n’est pas ouvert pour les ordonnances de référés susceptibles d’appel (Cass. 3e civ., 25 nov. 2014, n° 13-10653), il est admis pour les ordonnances rendues en dernier ressort.

Le délai pour former un pourvoi auprès de la Cour de cassation est de deux mois à compter de la notification de l’ordonnance (Cass. soc., 30 janv. 2002, n° 99-45140).

(6)

Tandis que pèse sur le responsable du traitement un certain nombre d’obligations, la personne concernée jouit de plusieurs droits qui lui conférés par la loi informatique et libertés et le RGPD.

Au nombre de ces droits figurent le droit de rectification des données à caractère personnel.

Le droit de rectification est le pendant de l’obligation qui échoit au responsable du traitement de traiter, en application de l’article 6, 4° de la LIL, des données à caractère personnel « exactes, complètes, si nécessaire, mises à jour ».

Pour assurer le respect de cette obligation, il appartient au responsable du traitement de « prendre les mesures appropriées pour que les données inexactes ou incomplètes au regard des finalités pour lesquelles elles sont collectées ou traitées soient effacées ou rectifiées ».

A cet égard, dans une délibération du 1er mars 2016, la CNIL a précisé que « l’article 6-4° consiste sans ambiguïté en une obligation de résultat en ce qu’il impose au responsable de traitement de garantir l’exactitude des données à caractère personnel qu’il traite en prenant toutes les mesures utiles afin de rectifier ou d’effacer les données inexactes. Le droit pour les personnes concernées d’obtenir du responsable de traitement la rectification ou l’effacement de données inexactes, énoncé à l’article 40 de la loi Informatique et Libertés, est le corollaire de cette obligation. Il s’agit ainsi pour ce dernier d’atteindre un objectif déterminé et non de déployer ses meilleurs efforts afin d’y parvenir » (CNIL Délib. 2016-053 du 1 mars 2016).

Reste qu’il s’infère du RGPD que l’exigence d’un traitement portant sur des données exactes et complètes est une obligation, non pas de résultat mais de moyen.

Le texte prévoit, en effet, que « toutes les mesures raisonnables doivent être prises pour que les données à caractère personnel qui sont inexactes, eu égard aux finalités pour lesquelles elles sont traitées, soient effacées ou rectifiées sans tarder ».

Dans l’hypothèse où les données traitées par le responsable du traitement ne seraient pas complètes, exactes ou non actualisées, la personne concernée dispose d’un droit de rectification.

==> Le contenu du droit de rectification

L’article 16 du RGPD prévoit en ce sens que « la personne concernée a le droit d’obtenir du responsable du traitement, dans les meilleurs délais, la rectification des données à caractère personnel la concernant qui sont inexactes. Compte tenu des finalités du traitement, la personne concernée a le droit d’obtenir que les données à caractère personnel incomplètes soient complétées, y compris en fournissant une déclaration complémentaire ».

De son côté, l’article 40 de la LIL dispose que « toute personne physique justifiant de son identité peut exiger du responsable d’un traitement que soient, selon les cas, rectifiées, complétées, mises à jour, verrouillées ou effacées les données à caractère personnel la concernant, qui sont inexactes, incomplètes, équivoques, périmées, ou dont la collecte, l’utilisation, la communication ou la conservation est interdite. »

Il ressort de cette disposition que le droit de rectification est entendu par les textes dans un sens large.

Cette rectification peut, en effet, consister à appliquer plusieurs traitements sur les données visées.

Elles peuvent, en effet, être :

  • Rectifiées
  • Complétées
  • Mises à jour
  • Verrouillées

Pour ce faire, il est cependant nécessaire que ces données soient :

  • Inexactes
  • Incomplètes
  • Équivoques
  • Périmées

Dans l’hypothèse où les données visées par la demande de rectification seraient parfaitement exactes et n’auraient pas été collectées en contravention de la LIL, le responsable du traitement sera légitimement en droit de refuser de procéder à la rectification sollicitée.

==> L’exercice du droit de rectification

  • Le destinataire de la demande
    • La demande de rectification doit être adressé au responsable du traitement qui est le débiteur de l’obligation
    • Il est donc inopérant de formuler cette demande auprès de la CNIL
  • La justification de l’identité
    • Pour accéder à la demande de la personne concernée, le responsable du traitement sera fondé à exiger du demander qu’il justifie son identité.
    • Il ne devra pas, néanmoins, lui imposer des pièces justificatives qui seraient disproportionnées eu égard à la demande formulées
  • Le coût de la demande
    • L’exercice du droit de rectification est gratuit, de sorte que le demandeur ne saurait supporter aucune charge.
    • A cet égard, l’article 40, I, al. 4 de la LIL prévoit que lorsqu’il obtient une modification de l’enregistrement, l’intéressé est en droit d’obtenir le remboursement des frais correspondant au coût de la copie

==> L’exécution du droit de rectification

  • Délai
    • A réception de la demande de rectification, le responsable du traitement devra s’exécuter dans les meilleurs délais et, au plus tard, dans un délai d’un mois.
    • En cas d’absence de réponse du responsable du traitement dans le délai d’un mois à compter de la demande, la personne concernée peut saisir la Commission nationale de l’informatique et des libertés, qui se prononce sur cette demande dans un délai de trois semaines à compter de la date de réception de la réclamation.
  • Preuve
    • L’article 40, I de la LIL prévoit que lorsque l’intéressé en fait la demande, le responsable du traitement doit justifier, sans frais pour le demandeur, qu’il a procédé aux opérations exigées en vertu de l’alinéa précédent.
    • En cas de contestation, la charge de la preuve incombe au responsable auprès duquel est exercé le droit d’accès sauf lorsqu’il est établi que les données contestées ont été communiquées par l’intéressé ou avec son accord.
(0)

Dans le cadre de la mise en œuvre du principe d’accountability, le RGPD prévoit la désignation, obligatoire, dans certains cas, d’un délégué à la protection des données (DPD ou DPO pour Data Protection Officer).

Le DPD joue un rôle clé dans la promotion d’une culture de la protection des données au sein de l’organisme et contribue à mettre en œuvre des éléments essentiels du RGPD, tels que les principes relatifs au traitement des données, les droits des personnes concernées, la protection des données dès la conception et la protection des données par défaut, le registre des activités de traitement, la sécurité du traitement ainsi que la notification et la communication des violations de données.

Le DPD est présenté par le Groupe de l’article 29 comme « l’une des pierres angulaires du régime de responsabilité » institué par le législateur européen.

Plus précisément, il a pour finalité :

  • D’une part, de faciliter le respect des règles grâce à la mise en œuvre d’outils de responsabilité (comme la facilitation d’analyses d’impact relatives à la protection des données et la facilitation ou la réalisation d’audits relatifs à la protection des données)
  • D’autre part, d’agir comme un intermédiaire entre les acteurs concernés (par exemple, les autorités de contrôle, les personnes concernées et les entités économiques au sein d’un organisme).

Au vrai, la désignation d’une personne chargée de veiller au respect de la conformité des procédures internes de l’entreprise avec les principes édictés par les textes n’est pas nouvelle.

La directive du 24 novembre 1995 prévoyait déjà la possibilité pour les États membres de désigner une personne détachée à la protection des données, laquelle sera connue, en France, sous le nom de Correspondant Informatique et Libertés (CIL).

Autant dire que le DPD a vocation à remplacer ce CIL, à la nuance près néanmoins, que la désignation du DPD est, dans certains cas, rendue obligatoire par le RGPD.

Étonnement, tandis que le RGPD détaille le statut du DPD, la loi française de transposition du 20 juin 2018 se limite à prévoir sa désignation. Pour le reste, elle renvoie au règlement européen qui, bien qu’il soit d’application directe, comporte de nombreuses zones d’imprécision.

Aussi, c’est à la CNIL et à la jurisprudence qu’il reviendra de préciser le statut juridique du DPD.

Pour l’heure, il convient de se reporter au RGPD et aux lignes directives du Groupe de l’article 29 afin d’appréhender le régime juridique du DPD.

I) La désignation du délégué à la protection des données

A) Les cas de désignation d’un DPD

Il ressort du RGPD qu’il convient de distinguer les cas où la désignation d’un DPD est obligatoire et ceux où la désignation est facultative.

  1. La désignation d’un DPD est obligatoire

A titre de remarque liminaire, il peut être observé que l’article 37 du RGPD s’applique à la fois aux responsables du traitement et aux sous-traitants en ce qui concerne la désignation d’un DPD.

En fonction de la personne qui remplit les critères de désignation obligatoire, dans certains cas, seul le responsable du traitement ou le sous-traitant est tenu de désigner un DPD, dans d’autres, le responsable de traitement et le sous-traitant sont tenus de désigner chacun un DPD (les deux DPD devant alors collaborer entre eux).

Il est important de souligner que, quand bien même le responsable du traitement remplit les critères de désignation obligatoire, son sous-traitant n’est pas nécessairement tenu de désigner un DPD.

Pour déterminer si la désignation est obligatoire, il convient de se reporter à l’article 37, 1. du RGPD qui énonce trois cas.

Dans le silence de la LIL et de la jurisprudence qui n’a pas encore eu l’opportunité de se prononcer, le champ d’application de ces trois cas doit être appréhendée à la lumière Lignes directrices concernant les délégués à la protection des données adoptées par le Groupe de l’article 29 en date du 13 décembre 2016.

  • Premier cas: le traitement est effectué par une autorité publique ou un organisme public, à l’exception des juridictions agissant dans l’exercice de leur fonction juridictionnelle
    • Le G29 considère que cette notion doit être définie en fonction du droit national.
    • Bien qu’il n’y ait pas d’obligation dans ce cas, le G29 recommande, à titre de bonne pratique, que les organismes privés chargés d’effectuer des missions de service public ou exerçant l’autorité publique désignent un DPD. Les activités de ce DPD couvrent l’ensemble des opérations de traitement effectuées, y compris celles qui ne sont pas liées à la réalisation d’une mission de service public ou à l’exercice d’une charge officielle (par exemple, la gestion d’une base de données des employés).
  • Deuxième cas: les activités de base du responsable du traitement ou du sous-traitant consistent en des opérations de traitement qui, du fait de leur nature, de leur portée et/ou de leurs finalités, exigent un suivi régulier et systématique à grande échelle des personnes concernées
    • Sur la notion d’« activité de base »
      • Les « activités de base » peuvent être considérées comme les opérations essentielles nécessaires pour atteindre les objectifs du responsable du traitement ou du sous-traitant.
      • Toutefois, les « activités de base » ne doivent pas être interprétées comme excluant les activités pour lesquelles le traitement de données fait partie intégrante de l’activité du responsable du traitement ou du sous-traitant.
      • Par exemple, l’activité de base d’un hôpital est de fournir des soins de santé.
      • Toutefois, un hôpital ne peut fournir de soins de santé de manière sûre et efficace sans traiter des données concernant la santé, telles que les dossiers médicaux des patients.
      • Par conséquent, le traitement de ces données doit être considéré comme l’une des activités de base de tout hôpital, et les hôpitaux doivent donc désigner un DPD.
    • Sur la notion de suivi régulier et systématique
      • La notion de suivi régulier et systématique des personnes concernées n’est pas définie dans le RGPD, mais celle de « suivi du comportement des personnes concernées » est mentionnée au considérant 24 et inclut clairement toutes les formes de suivi et de profilage sur l’internet, y compris à des fins de publicité comportementale.
      • Toutefois, la notion de suivi n’est pas limitée à l’environnement en ligne et le suivi en ligne ne doit être considéré que comme un exemple de suivi du comportement des personnes concernées.
        • Sur le terme « régulier»
          • Le G29 interprète le terme « régulier » comme recouvrant une ou plusieurs des significations suivantes
            • Continu ou se produisant à intervalles réguliers au cours d’une période donnée
            • Récurrent ou se répétant à des moments fixes
            • Ayant lieu de manière constante ou périodique.
        • Sur le terme « systématique»
          • Le G29 interprète le terme « systématique » comme recouvrant une ou plusieurs des significations suivantes
            • Se produisant conformément à un système
            • Préétabli, organisé ou méthodique
            • Ayant lieu dans le cadre d’un programme général de collecte de données
            • Effectué dans le cadre d’une stratégie.
          • Exemples d’activités pouvant constituer un suivi régulier et systématique des personnes concernées:
            • Exploitation d’un réseau de télécommunications
            • Fourniture de services de télécommunications
            • Reciblage par courrier électronique
            • Activités de marketing fondées sur les données
            • Profilage et notation à des fins d’évaluation des risques (par exemple, aux fins de l’évaluation du risque de crédit, de l’établissement des primes d’assurance, de la prévention de la fraude ou de la détection du blanchiment d’argent)
            • Géolocalisation, par exemple, par des applications mobiles
            • Programmes de fidélité
            • Publicité comportementale
            • Surveillance des données sur le bien-être, la santé et la condition physique au moyen de dispositifs portables
            • Systèmes de télévision en circuit fermé
            • Dispositifs connectés tels que les voitures et compteurs intelligents, la domotique, etc.
  • Troisième cas: les activités de base du responsable du traitement ou du sous-traitant consistent en un traitement à grande échelle de catégories particulières de données visées à l’article 9 et de données à caractère personnel relatives à des condamnations pénales et à des infractions visées à l’article 10
    • Si le RGPD ne définit pas la notion de traitement à « grande échelle », le considérant 91 fournit toutefois certaines orientations.
    • En effet, il n’est pas possible de donner un chiffre précis, que ce soit pour la quantité de données traitées ou le nombre d’individus concernés, qui soit applicable dans toutes les situations.
    • Cela n’exclut toutefois pas la possibilité qu’au fil du temps, une pratique courante puisse émerger, permettant de déterminer en des termes plus spécifiques ou quantitatifs ce qui constitue un traitement « à grande échelle » pour certains types d’activités de traitement courantes.
    • En tout état de cause, le G29 recommande que les facteurs suivants, en particulier, soient pris en considération pour déterminer si le traitement est mis en œuvre à grande échelle :
      • Le nombre de personnes concernées, soit en valeur absolue, soit en valeur relative par rapport à la population concernée
      • Le volume de données et/ou le spectre des données traitées
      • La durée, ou la permanence, des activités de traitement des données
      • L’étendue géographique de l’activité de traitement

2. La désignation d’un DPD est facultative

L’article 37, 4. du RGPD prévoit que « le responsable du traitement ou le sous-traitant ou les associations et autres organismes représentant des catégories de responsables du traitement ou de sous-traitants peuvent désigner ou, si le droit de l’Union ou le droit d’un État membre l’exige, sont tenus de désigner un délégué à la protection des données ».

Cette désignation résultera d’une évaluation du niveau de risque de non-conformité auquel est exposé le responsable du traitement ou le sous-traitant.

A cet égard, il peut être observé que le G29 recommande que les responsables du traitement et les sous-traitants documentent l’analyse interne effectuée afin de déterminer si, oui ou non, il y a lieu de désigner un DPD, afin qu’ils soient en mesure de démontrer que les facteurs pertinents ont été correctement pris en considération.

Cette analyse fait partie de la documentation requise au titre du principe de responsabilité. Elle peut être exigée par l’autorité de contrôle et doit être tenue à jour le cas échéant, par exemple si les responsables du traitement ou les sous-traitants exercent de nouvelles activités ou s’ils proposent de nouveaux services susceptibles de correspondre aux cas énumérés à l’article 37.

B) Les modalités de désignation du DPD

  1. La désignation d’un DPD externe

Le Groupe de l’article 29 prévient : lorsqu’un organisme désigne un DPD sur une base volontaire, les conditions prévues aux articles 37 à 39 s’appliquent à la désignation, à la fonction et aux missions de celui-ci comme si la désignation avait été obligatoire.

Rien n’empêche un organisme qui n’est pas tenu légalement de désigner un DPD et ne souhaite pas en désigner sur une base volontaire d’employer du personnel ou des consultants extérieurs chargés de missions liées à la protection des données à caractère personnel.

En pareil cas, il importe de veiller à ce qu’il n’y ait pas de confusion quant à leur titre, leur statut, leur fonction et leurs missions.

Ainsi, il convient d’indiquer clairement, dans toute communication au sein de l’entreprise ainsi qu’avec les autorités chargées de la protection des données, les personnes concernées et le public au sens large, que cette personne ou ce consultant ne porte pas le titre de délégué à la protection des données (DPD).

2. La désignation d’un DPD unique pour plusieurs organismes

L’article 37, 4 du RGPD prévoit que « un groupe d’entreprises peut désigner un seul délégué à la protection des données à condition qu’un délégué à la protection des données soit facilement joignable à partir de chaque lieu d’établissement ».

Pour le Groupe de l’article 29 la notion de joignabilité renvoie aux missions du DPD en tant que point de contact pour les personnes concernées, pour l’autorité de contrôle, mais également en interne au sein de l’organisme, compte tenu du fait que l’une des missions du DPD consiste à « informer et conseiller le responsable du traitement ou le sous-traitant ainsi que les employés qui procèdent au traitement sur les obligations qui leur incombent en vertu du présent règlement ».

Afin de veiller à ce que le DPD, qu’il soit interne ou externe, soit joignable, il est important de

s’assurer que ses coordonnées sont mises à disposition conformément aux exigences du RGPD.

Il doit donc être en mesure, avec l’aide d’une équipe si nécessaire, de communiquer efficacement avec les personnes concernées et de coopérer avec les autorités de contrôle compétentes, ce qui implique également que cette communication s’effectue dans la ou les langues utilisées par les autorités de contrôle et les personnes concernées en question.

La disponibilité d’un DPD (qu’il se trouve physiquement dans le même lieu que les employés ou qu’il soit joignable à travers un service d’assistance téléphonique ou d’autres moyens de communication sécurisés) est essentielle pour que les personnes concernées puissent prendre contact avec lui.

En outre, l’article 37 du RGPD autorise la désignation d’un seul délégué à la protection des données pour plusieurs autorités publiques ou organismes publics, compte tenu :

  • De leur structure organisationnelle
  • De leur taille.

Les mêmes considérations en matière de ressources et de communication s’appliquent.

Étant donné que le DPD est chargé d’une série de missions, le responsable du traitement ou le sous-traitant doit s’assurer qu’un seul DPD peut, avec l’aide d’une équipe si nécessaire, s’acquitter efficacement de ces missions en dépit du fait qu’il soit désigné par plusieurs autorités publiques et organismes publics.

C) La publicité de la désignation du DPD

L’article 37, 7 du RGPD met à la charge du responsable du traitement une obligation de publier « les coordonnées du délégué à la protection des données et les communiquent à l’autorité de contrôle ».

Ces exigences visent à garantir que les personnes concernées (tant à l’intérieur qu’à l’extérieur de l’organisme) et les autorités de contrôle puissent aisément et directement prendre contact avec le DPD sans devoir s’adresser à un autre service de l’organisme.

==> Sur la communication des coordonnées du DPD

Les coordonnées du DPD doivent contenir des informations permettant aux personnes concernées et aux autorités de contrôle de joindre celui-ci facilement (une adresse postale, un numéro de téléphone spécifique et/ou une adresse de courrier électronique spécifique).

Le cas échéant, aux fins de la communication avec le public, d’autres moyens de communication pourraient également être prévus, par exemple, une assistance par téléphone spécifique, ou un formulaire de contact spécifique adressé au DPD sur le site web de l’organisme.

==> Sur la communication du nom du DPD

L’article 37, 7 n’exige pas que les coordonnées publiées incluent le nom du DPD.

Toutefois, la communication du nom du DPD à l’autorité de contrôle est essentielle pour que le DPD puisse faire office de point de contact entre l’organisme et l’autorité de contrôle.

II) La fonction de délégué à la protection des données

A) Les conditions d’éligibilité à la fonction de DPD

L’article 37, 5. du RGPD prévoit que « le délégué à la protection des données est désigné sur la base de ses qualités professionnelles et, en particulier, de ses connaissances spécialisées du droit et des pratiques en matière de protection des données, et de sa capacité à accomplir les missions visées à l’article 39 ».

Le considérant 97 précise que le niveau de connaissances spécialisées requis doit être déterminé notamment en fonction des opérations de traitement de données effectuées et de la protection exigée pour les données à caractère personnel traitées par le responsable du traitement ou le sous-traitant. L’appréciation doit, autrement dit, être effectuée au cas par cas.

En tout état de cause, pour être éligible à la fonction de DPD, la personne désignée doit justifier :

  • D’un niveau adéquat expertise
    • Bien que le niveau d’expertise requis ne soit pas défini, il doit être proportionné à la sensibilité, à la complexité et au volume des données traitées par un organisme.
    • Par exemple, lorsqu’une opération de traitement de données est particulièrement complexe, ou lorsqu’une grande quantité de données sensibles est concernée, il est possible que le DPD doive disposer d’un niveau plus élevé d’expertise et de soutien.
  • De qualités professionnelles suffisantes
    • Pour le Groupe de l’article 29, il est nécessaire il est nécessaire que le DPD dispose d’une expertise dans le domaine des législations et pratiques nationales et européennes en matière de protection des données, ainsi que d’une connaissance approfondie du RGPD.
    • Il doit encore disposer d’une bonne compréhension des opérations de traitement effectuées, ainsi que des systèmes d’information et des besoins du responsable du traitement en matière de protection et de sécurité des données
  • D’une aptitude à exercer ses missions
    • L’aptitude à exercer les missions qui incombent au DPD doit être interprétée tant au regard des qualités personnelles et connaissances du DPD que de sa fonction au sein de l’organisme.
    • Parmi les qualités personnelles figurent par exemple l’intégrité et un haut niveau de déontologie, la préoccupation première du DPD doit être de permettre le respect du RGPD.

B) La fonction du DPD

L’article 38 du RGPD prévoit que « le responsable du traitement et le sous-traitant veillent à ce que le délégué à la protection des données soit associé, d’une manière appropriée et en temps utile, à toutes les questions relatives à la protection des données à caractère personnel ».

Il ressort de cette disposition que, dès lors qu’une situation intéresse le traitement de données à caractères personnel, le DPD doit, a minima, en être informé par le responsable du traitement, voire être consulté pour avis.

C) Les ressources du DPD

L’article 38 du RGPD met à la charge du responsable du traitement une obligation de fourniture, au DPD :

  • Des ressources nécessaires pour exercer ces missions
  • De l’accès aux données à caractère personnel et aux opérations de traitement, et lui permettant d’entretenir ses connaissances spécialisées.

Le Groupe de l’article 29 précise que, d’une manière générale, plus les opérations de traitement sont complexes ou sensibles, plus les ressources octroyées au DPD devront être importantes. La fonction de protection des données doit être effective et dotée de ressources adéquates au regard du traitement de données réalisé.

D) Les garanties d’exercice de la fonction

L’article 38 du RGPD pose un certain nombre de règles qui sont destinées à permettre au DPD d’exercer ses missions en toute indépendance.

A cet égard, le considérant 97 précise que le DPD soit ou non employé du responsable du traitement, il doit, en tout état de cause, être en mesure d’exercer ses fonctions et missions en toute indépendance.

Cette indépendance est garantie par :

  • L’autonomie dont jouit le DPD dans l’exercice de ses missions
    • A cet égard, le responsable du traitement et le sous-traitant doivent veiller à ce que le délégué à la protection des données ne reçoive aucune instruction en ce qui concerne l’exercice des missions.
    • Cela signifie que, dans l’exercice de ses missions, en application de l’article 39 du RGPD, le DPD ne doit pas recevoir d’instructions sur la façon de traiter une affaire, par exemple, quel résultat devrait être obtenu, comment enquêter sur une plainte ou s’il y a lieu de consulter l’autorité de contrôle.
    • LE RGPD précise que le délégué à la protection des données fait directement rapport au niveau le plus élevé de la direction du responsable du traitement ou du sous-traitant.
  • L’immunité dont il jouit quant au licenciement et aux sanctions disciplinaires
    • Le DPD ne peut être relevé de ses fonctions ou pénalisé par le responsable du traitement ou le sous-traitant pour l’exercice de ses missions.
    • Cette exigence renforce l’autonomie des DPD et contribue à garantir que ceux-ci agissent en toute indépendance et bénéficient d’une protection suffisante dans l’exercice de leurs missions relatives à la protection des données.
    • Par exemple, si un DPD considère qu’un traitement particulier est susceptible d’engendrer un risque élevé et conseille au responsable du traitement ou au sous-traitant de procéder à une analyse d’impact relative à la protection des données, mais que le responsable du traitement ou le sous-traitant n’est pas d’accord avec l’évaluation du DPD, ce dernier ne peut être relevé de ses fonctions pour avoir formulé cet avis.
  • La prévention du conflit d’intérêts
    • Si le RGPD autorise le DPD à exercer d’autres missions et tâches au sein de l’entreprise, le responsable du traitement ou le sous-traitant doivent veiller à ce que ces missions et tâches n’entraînent pas de conflit d’intérêts.
    • Pour le Groupe de l’article 29 cela signifie que le DPD ne peut exercer au sein de l’organisme une fonction qui l’amène à déterminer les finalités et les moyens du traitement de données à caractère personnel.
    • S’agissant d’un DPD externe, il peut y avoir conflit d’intérêt s’il est appelé à représenter le responsable du traitement ou le sous-traitant devant les tribunaux dans des affaires ayant trait à des questions liées à la protection des données.

III) Les missions du délégué à la protection des données

Les missions qui doivent être confiées au DPD sont énoncées, non exhaustivement, à l’article 39 du RGPD.

Cette disposition prévoit en ce sens que le DPD a pour mission :

  • D’informer et conseiller le responsable du traitement ou le sous-traitant ainsi que les employés qui procèdent au traitement sur les obligations qui leur incombent
    • Le DPD se voit ainsi confié une mission pédagogique auprès des différents acteurs de l’entreprise.
    • Cette mission peut se traduire par la mise en place de formation et de notes informatives
  • De contrôler le respect du RGPD
    • Le contrôle du respect du RGPD ne signifie pas que le DPD est personnellement responsable en cas de non-respect de celui-ci.
    • Le RGPD établit clairement que c’est le responsable du traitement, et non le DPD, qui est tenu de mettre « en œuvre des mesures techniques et organisationnelles appropriées pour s’assurer et être en mesure de démontrer que le traitement est effectué conformément au présent règlement» (article 24).
    • Le respect de la protection des données relève de la responsabilité du responsable du traitement des données, et non du DPD.
  • De dispenser des conseils, sur demande, en ce qui concerne l’analyse d’impact relative à la protection des données et vérifier l’exécution de celle-ci
    • Conformément à l’article 35, il incombe au responsable du traitement, et non au DPD, d’effectuer, si nécessaire, une analyse d’impact relative à la protection des données.
    • Le G29 recommande que le responsable du traitement demande conseil au DPD sur les questions suivantes notamment :
      • La question de savoir s’il convient ou non de procéder à une analyse d’impact relative à la protection des données ;
      • La méthodologie à suivre lors de la réalisation d’une analyse d’impact relative à la protection des données ;
      • La question de savoir s’il convient d’effectuer l’analyse d’impact relative à la protection des données en interne ou de la sous-traiter ;
      • Les mesures (y compris des mesures techniques et organisationnelles) à appliquer pour atténuer les risques éventuels pesant sur les droits et les intérêts des personnes concernées ;
      • La question de savoir si l’analyse d’impact relative à la protection des données a été correctement réalisée et si ses conclusions (opportunité ou non de procéder au traitement et garanties à mettre en place) sont conformes au RGPD.
    • Si le responsable du traitement est en désaccord avec l’avis fourni par le DPD, la documentation de l’analyse d’impact relative à la protection des données devrait expressément justifier, par écrit, la raison pour laquelle l’avis n’a pas été pris en considération.
  • De coopérer avec l’autorité de contrôle et de faire office de point de contact
    • Selon le Groupe de l’article 29, ces missions ont trait au rôle de « facilitateur » du DPD.
    • En effet, celui-ci fait office de point de contact pour faciliter l’accès de l’autorité de contrôle aux documents et informations nécessaires à l’exécution de ses missions, ainsi qu’à l’exercice de ses pouvoirs d’enquête, de ses pouvoirs d’adopter des mesures correctrices, de ses pouvoirs d’autorisation et de ses pouvoirs consultatifs
(0)

Section 1 : le droit international

§1 : Principes directeurs de l’ONU

Dans le cadre de sa résolution A/RES/45/95, l’Assemblée générale des Nations Unis a adopté, le 14 décembre 1990, des « principes directeurs pour la réglementation des fichiers personnels informatisés »

Ce texte envisage un certain nombre de garanties minimales qui doivent être prévues par les États membres, étant précisé que, contrairement aux décisions prises par le Conseil de sécurité, les résolutions adoptées par l’Assemblée générale des Nations Unis sont dépourvues de force contraignante.

Les principes directeurs énoncés par la résolution ainsi adoptée sont au nombre de 10 :

A) Champ d’application

Les présents principes s’appliquent :

  • D’une part, à tous les fichiers informatisés publics et privés et, par voie d’extension facultative et sous réserve des adaptations adéquates, aux fichiers traités manuellement.
  • D’autre part, si cela est expressément prévu par les législations nationales, aux fichiers de personnes morales, notamment lorsqu’ils contiennent pour partie des informations concernant des personnes physiques.

B) Principe de licéité et de loyauté

Les données concernant les personnes ne doivent pas être obtenues ou traitées à l’aide de procédés illicites ou déloyaux, ni utilisées à des fins contraires aux buts et aux principes de la Charte des Nations Unies.

C) Principe d’exactitude

Les personnes responsables de l’établissement d’un fichier ou celles responsables de leur mise en œuvre doivent être tenues de vérifier l’exactitude et la pertinence des données enregistrées et de veiller à ce qu’elles demeurent aussi complètes que possible pour éviter les erreurs par omission et qu’elles soient mises à jour, périodiquement ou lors de l’utilisation des informations contenues dans un dossier, tant qu’elles font l’objet d’un traitement.

D) Principe de finalité

La finalité en vue de laquelle est créé un fichier et son utilisation en fonction de cette finalité doivent être spécifiées, justifiées et, lors de sa mise en œuvre, faire l’objet d’une mesure de publicité ou être portées à la connaissance de la personne concernée, afin qu’il soit ultérieurement possible de vérifier :

  • Si toutes les données personnelles collectées et enregistrées restent pertinentes par rapport à la finalité poursuivie ;
  • Si aucune desdites données personnelles n’est utilisée ou divulguée, sauf accord de la personne concernée, à des fins incompatibles avec celles ainsi spécifiées ;
  • Si la durée de conservation des données personnelles n’excède pas celle permettant d’atteindre la finalité pour laquelle elles ont été enregistrées.

E) Principe de l’accès par les personnes concernées

Toute personne justifiant de son identité a le droit de savoir si des données la concernant font l’objet d’un traitement, d’en avoir communication sous une forme intelligible, sans délais ou frais excessifs, d’obtenir les rectifications ou destructions adéquates en cas d’enregistrements illicites, injustifiés ou inexacts, et, lorsqu’elles sont communiquées, d’en connaître les destinataires.

Une voie de recours doit être prévue, le cas échéant, auprès de l’autorité de contrôle prévue.

En cas de rectification, le coût devrait être à la charge du responsable du fichier.

Il est souhaitable que les dispositions de ce principe s’appliquent à toute personne, quelle que soit sa nationalité ou sa résidence.

F) Principe de non-discrimination

Sous réserve des cas de dérogations limitativement prévus sous le principe 6, les données pouvant engendrer une discrimination illégitime ou arbitraire, notamment les informations sur l’origine raciale ou ethnique, la couleur, la vie sexuelle, les opinions politiques, les convictions religieuses, philosophiques ou autres, ainsi que l’appartenance à une association ou un syndicat, ne doivent pas être collectées.

G) Faculté de dérogation

Deux catégories de dérogations doivent être distinguées :

  • Les dérogations relatives aux principes de licéité et de loyauté, d’exactitude, de finalité et de libre accès peuvent faire l’objet de dérogations.
    • Ces dérogations peuvent être envisagées par les États à la double condition
      • D’une part, que ces dérogations soient nécessaires pour protéger la sécurité nationale, l’ordre public, la santé ou la moralité publique ainsi que, notamment, les droits et libertés d’autrui, spécialement de personnes persécutées (clause humanitaire)
      • D’autre part, que ces dérogations soient expressément prévues par la loi ou par une réglementation équivalente prise en conformité avec le système juridique interne qui en fixe expressément les limites et édicte des garanties appropriées.
  • Les dérogations relatives au principe de la prohibition de la discrimination
    • Outre qu’elles doivent être soumises aux mêmes garanties que celles prévues pour les dérogations précédentes, elles ne peuvent être autorisées que dans les limites prévues par la Charte internationale des droits de l’homme et les autres instruments pertinents dans le domaine de la protection des droits de l’homme et de la lutte contre les discriminations.

H) Principe de sécurité

Des mesures appropriées doivent être prises pour protéger les fichiers tant contre les risques naturels, tels que la perte accidentelle ou la destruction par sinistre, que les risques humains, tels que l’accès non autorisé, l’utilisation détournée de données ou la contamination par des virus informatiques.

I) Contrôle et sanctions

Chaque législation doit désigner l’autorité qui, en conformité avec le système juridique interne, est chargée de contrôler le respect des principes précités.

Cette autorité doit présenter des garanties d’impartialité, d’indépendance à l’égard des personnes ou organismes responsables des traitements et de leur mise en œuvre, et de compétence technique.

En cas de violation des dispositions de la loi interne mettant en œuvre les principes précités, des sanctions pénales ou autres doivent être prévues ainsi que des recours individuels appropriés.

J) Flux transfrontières de données

Lorsque la législation de deux ou plusieurs pays, concernés par un flux transfrontière de données, présente des garanties comparables au regard de la protection de la vie privée, les informations doivent pouvoir circuler aussi librement qu’à l’intérieur de chacun des territoires concernés.

En l’absence de garanties comparables, des limitations à cette circulation ne peuvent être imposées indûment et seulement dans la stricte mesure où la protection de la vie privée l’exige.

§2 : Les lignes directrices de l’OCDE

A) Ratio legis

Par décision du 23 septembre 1980, l’Organisation de Coopération et de Développement Économiques (OCDE) a adopté des lignes directrices régissant la protection de la vie privée et les flux transfrontières de données de caractère personnel.

Les États membre de cette organisation internationale sont partis du constat, dès 1980, que le traitement automatique de l’information, qui permet de transmettre de vastes quantités de données en quelques secondes à travers les frontières nationales et même à travers les continents tendait à se généraliser et à prendre un essor qui n’aurait de cesse de s’accroître.

Il a encore été relevé que, en réaction, des législations relatives à la protection de la vie privée ont été adoptées en vue de prévenir des actes considérés comme constituant des violations des droits fondamentaux de l’homme, tels que le stockage illicite de données de caractère personnel qui sont inexactes, l’utilisation abusive ou la divulgation non autorisée de ces données.

L’OCDE y a vu le risque que des disparités se créent dans les législations nationales et qu’elles entravent la libre circulation des données de caractère personnel à travers les frontières.

Des restrictions imposées à ces flux pourraient, en effet, entraîner de graves perturbations dans d’importants secteurs de l’économie, tels que la banque et les assurances.

C’est pourquoi, les pays Membres de l’OCDE ont jugé nécessaire d’élaborer des lignes directrices qui permettraient d’harmoniser les législations nationales relatives à la protection de la vie privée et qui, tout en contribuant au maintien de ces droits de l’homme, empêcheraient que les flux internationaux de données ne subissent des interruptions.

Ces lignes directrices sont l’expression d’un consensus sur des principes fondamentaux qui peuvent être intégrés à la législation nationale en vigueur ou servir de base à une législation dans les pays qui ne sont pas encore dotés.

B) Énoncé des principes

Deux catégories de principes sont envisagées par les Lignes directrices de l’OCDE

Les principes fondamentaux applicables au plan national

  • Principe de la limitation en matière de collecte
    • Il convient d’assigner des limites à la collecte des données de caractère personnel et toute donnée de ce type devrait être obtenue par des moyens licites et loyaux et, le cas échéant, après en avoir informé la personne concernée ou avec son consentement.
  • Principe de la qualité des données
    • Les données de caractère personnel doivent être pertinentes par rapport aux finalités en vue desquelles elles doivent être utilisées et, dans la mesure où ces finalités l’exigent, elles doivent être exactes, complètes et tenues à jour.
  • Principe de la spécification des finalités
    • Les finalités en vue desquelles les données de caractère personnel sont collectées doivent être déterminées au plus tard au moment de la collecte des données et lesdites données ne doivent être utilisées par la suite que pour atteindre ces finalités ou d’autres qui ne soient pas incompatibles avec les précédentes et qui seraient déterminées dès lors qu’elles seraient modifiées.
  • Principe de la limitation de l’utilisation
    • Les données de caractère personnel ne doivent pas être divulguées, ni fournies, ni utilisées à des fins autres que celles spécifiées conformément au paragraphe 9, si ce n’est :
      • Avec le consentement de la personne concernée
      • Lorsqu’une règle de droit le permet.
  • Principe des garanties de sécurité
    • Il convient de protéger les données de caractère personnel, grâce à des garanties de sécurité raisonnables, contre des risques tels que la perte des données ou leur accès, destruction, utilisation, ou divulgation non autorisés.
  • Principe de la transparence
    • Il convient d’assurer, d’une façon générale, la transparence des progrès, pratiques et politiques, ayant trait aux données de caractère personnel.
    • Il doit être possible de se procurer aisément les moyens de déterminer l’existence et la nature des données de caractère personnel, et les finalités principales de leur utilisation, de même que l’identité du maître du fichier et le siège habituel de ses activités.
  • Principe de la participation individuelle
    • Toute personne physique doit avoir le droit :
      • D’obtenir du maître d’un fichier, ou par d’autres voies, confirmation du fait que le maître du fichier détient ou non des données la concernant ;
      • De se faire communiquer les données la concernant :
        • Dans un délai raisonnable ;
        • Moyennant, éventuellement, une redevance modérée ;
        • Selon des modalités raisonnables ;
        • Sous une forme qui lui soit aisément intelligible ;
      • D’être informée des raisons pour lesquelles une demande quelle aurait présentée est rejetée et de pouvoir contester un tel rejet,
      • De contester les données la concernant et, si la contestation est fondée, de les faire effacer, rectifier, compléter ou corriger.
  • Principe de la responsabilité
    • Tout maître de fichier devrait être responsable du respect des mesures donnant effet aux principes énoncés ci-dessus.

Les principes fondamentaux applicables au plan international

  • Libre circulation
    • Les pays Membres doivent prendre en considération les conséquences pour d’autres pays Membres d’un traitement effectué sur leur propre territoire et de la réexportation des données de caractère personnel
    • Les pays Membres doivent prendre toutes les mesures raisonnables et appropriées pour assurer que les flux transfrontières de données de caractère personnel, et notamment le transit par un pays Membre, aient lieu sans interruption et en toute sécurité.
    • Un pays Membre doit s’abstenir de limiter les flux transfrontières de données de caractère personnel entre son territoire et celui d’un autre pays Membre, sauf lorsqu’un ce dernier ne se conforme pas encore pour l’essentiel aux Lignes directrices ou lorsque la réexportation desdites données permettrait de contourner sa législation interne sur la protection de la vie privée et des libertés individuelles.
  • Restrictions légitimes
    • Un pays Membre peut imposer des restrictions à l’égard de certaines catégories de données de caractère personnel pour lesquelles sa législation interne sur la protection de la vie privée et les libertés individuelles prévoit des réglementations spécifiques en raison de la nature de ces données et pour lesquelles l’autre pays Membre ne prévoit pas de protection équivalente.
    • Les pays Membres doivent néanmoins éviter d’élaborer des lois, des politiques et des procédures, qui, sous couvert de la protection de la vie privée et des libertés individuelles, créeraient des obstacles à la circulation transfrontière des données de caractère personnel qui iraient au-delà des exigences propres à cette protection.

§3 : La convention STE 108

Adoption de la convention

Les pays membres du Conseil de l’Europe ont adopté le 28 janvier 1981 la Convention pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel, dite Convention STE 108.

Cette convention fut, indéniablement, le premier instrument international juridique contraignant dans le domaine de la protection des données.

Il a été convenu, entre ses signataires, qu’ils devaient prendre toutes les mesures nécessaires en droit interne pour en appliquer les principes afin d’assurer, sur leur territoire, le respect des droits fondamentaux de la personne humaine au regard de l’application de la protection des données.

Concrètement, le but poursuivi par la Convention STE 108 est de garantir, sur le territoire des États membres, à toute personne physique, quelles que soient sa nationalité ou sa résidence, le respect de ses droits et de ses libertés fondamentales, et notamment de son droit à la vie privée, à l’égard du traitement automatisé des données à caractère personnel la concernant.

Applicabilité directe

Dans un arrêt du 18 novembre 1992, la Conseil d’État a reconnu l’applicabilité directe de la Convention STE 108 (CE, 18 nov. 1992, n° 115367)

Évolution de la convention

  • Amendements à la Convention 108 permettant l’adhésion des Communautés Européennes
    • Le Comité des Ministres du Conseil de l’Europe a adopté, le 15 juin 1999, des amendements permettant l’adhésion des Communautés Européennes à la Convention
    • L’adhésion des Communautés correspondait à la volonté de l’Union européenne de renforcer la coopération avec le Conseil de l’Europe et de contribuer au renforcement d’un large forum international en matière de protection des données, notamment à l’égard des pays tiers.
    • Selon le texte initial, seuls les États pouvaient en devenir Parties.
    • C’est la raison pour laquelle il a été nécessaire de procéder par voie d’amendements
  • Protocole additionnel à la Convention 108 sur les autorités de contrôle et les flux transfrontières de données (STE N°181)
    • Le Protocole additionnel, ouvert à la signature le 8 novembre 2001 à Strasbourg, exige des parties la mise en place des autorités de contrôle, exerçant leurs fonctions en parfaite indépendance, et qui sont un élément de la protection effective des individus au regard du traitement des données personnelles.
    • Avec l’accroissement des échanges de données personnelles à travers les frontières nationales, il est nécessaire d’assurer la protection effective des droits de l’homme et des libertés fondamentales, et en particulier du droit à la vie privée par rapport à de tels échanges de données personnelles.
    • Ce texte renforce la protection des données personnelles et de la vie privée, en complétant la Convention de 1981 (STE n° 108) sur deux points.
      • Premier point
        • Il prévoit tout d’abord l’établissement d’autorités de contrôle chargées d’assurer le respect des lois ou règlements introduits par les États en application de la Convention concernant la protection des données personnelles et les flux transfrontières de données.
      • Second point
        • Il prévoit que les flux transfrontières de données vers des pays tiers ne peuvent être transférées que si elles bénéficient dans l’État ou l’organisation internationale destinataire, d’un niveau de protection adéquat.

Contenu de la convention

Plusieurs principes ont été posés dans la Convention STE n°108:

  • Sur la qualité des données
    • Les données à caractère personnel faisant l’objet d’un traitement automatisé sont :
      • Obtenues et traitées loyalement et licitement ;
      • Enregistrées pour des finalités déterminées et légitimes et ne sont pas utilisées de manière incompatible avec ces finalités ;
      • Adéquates, pertinentes et non excessives par rapport aux finalités pour lesquelles elles sont enregistrées ;
      • Exactes et si nécessaire mises à jour ;
      • Conservées sous une forme permettant l’identification des personnes concernées pendant une durée n’excédant pas celle nécessaire aux finalités pour lesquelles elles sont enregistrées.
  • Sur les catégories particulières de données
    • Les données à caractère personnel révélant l’origine raciale, les opinions politiques, les convictions religieuses ou autres convictions, ainsi que les données à caractère personnel relatives à la santé ou à la vie sexuelle, ne peuvent être traitées automatiquement à moins que le droit interne ne prévoie des garanties appropriées.
    • Il en est de même des données à caractère personnel concernant des condamnations pénales.
  • Sur la sécurité des données
    • Des mesures de sécurité appropriées sont prises pour la protection des données à caractère personnel enregistrées dans des fichiers automatisés contre la destruction accidentelle ou non autorisée, ou la perte accidentelle, ainsi que contre l’accès, la modification ou la diffusion non autorisés.
  • Sur les droits d’accès et de rectification
    • Toute personne doit pouvoir :
      • Connaître l’existence d’un fichier automatisé de données à caractère personnel, ses finalités principales, ainsi que l’identité et la résidence habituelle ou le principal établissement du maître du fichier ;
      • Obtenir à des intervalles raisonnables et sans délais ou frais excessifs la confirmation de l’existence ou non dans le fichier automatisé, de données à caractère personnel la concernant ainsi que la communication de ces données sous une forme intelligible ;
      • Obtenir, le cas échéant, la rectification de ces données ou leur effacement lorsqu’elles ont été traitées en violation des dispositions du droit interne donnant effet aux principes de base énoncés dans les articles 5 et 6 de la présente Convention ;
      • Disposer d’un recours s’il n’est pas donné suite à une demande de confirmation ou, le cas échéant, de communication, de rectification ou d’effacement, visée aux paragraphes b et c du présent article.

§4 : La Convention européenne des droits de l’homme

A) Le silence du texte

La Convention de sauvegarde des droits de l’homme et des libertés fondamentales ne comporte aucune stipulation relative à la protection des données à caractère personnel.

Ce silence du texte n’a, toutefois, pas empêché la Cour européenne des droits de l’homme de veiller à garantir aux ressortissants des États membres une protection à l’égard des traitements automatisés de données à caractère personnel.

Pour ce faire, elle se fonde essentielle sur l’article 8 de la Convention relatif au respect de la vie privée et familiale

Aux termes de cette disposition « toute personne a droit au respect de sa vie privée et familiale, de son domicile et de sa correspondance »

Dans un arrêt du 7 août 1997, la Cour européenne des droits de l’homme a affirmé que « la protection des données à caractère personnel […] revêt une importance fondamentale pour l’exercice du droit au respect de la vie privée et familiale garanti par l’article 8 de la Convention » (CEDH, 27 août 1997, aff. 20837/92,  M. S. c/ Suède)

Encore, dans un arrêt du 4 décembre 2008, elle a précisé que « la protection des données à caractère personnel joue un rôle fondamental pour l’exercice du droit au respect de la vie privée et familiale consacré par l’article 8. La législation interne doit donc ménager des garanties appropriées pour empêcher toute utilisation de données à caractère personnel qui ne serait pas conforme aux garanties prévues dans cet article (…). La nécessité de disposer de telles garanties se fait d’autant plus sentir lorsqu’il s’agit de protéger les données à caractère personnel soumises à un traitement automatique, en particulier lorsque ces données sont utilisées à des fins policières. Le droit interne doit notamment assurer que ces données soient pertinentes et non excessives par rapport aux finalités pour lesquelles elles sont enregistrées, et qu’elles soient conservées sous une forme permettant l’identification des personnes concernées pendant une durée n’excédant pas celle nécessaire aux finalités pour lesquelles elles sont enregistrées (…). [Il] doit aussi contenir des garanties de nature à protéger efficacement les données à caractère personnel enregistrées contre les usages impropres et abusifs (…) » (CEDH, 4 déc. 1997, aff. 30562/04 S. et Marper c/ Royaume-Uni).

B) La jurisprudence

Aff. Klass et autres c. Allemagne – 6 septembre 1978

  • Les faits
    • Dans cette affaire, les requérants, cinq avocats allemands, dénonçaient en particulier la législation allemande qui permettait aux autorités de surveiller leur correspondance et leurs communications téléphoniques sans qu’elles aient l’obligation de les informer ultérieurement des mesures prises contre eux.
  • Décision
    • La Cour a conclu à la non-violation de l’article 8 de la Convention, jugeant que le législateur allemand était fondé à considérer l’ingérence résultant de la législation litigieuse dans l’exercice du droit consacré par l’article 8 § 1 comme nécessaire, dans une société démocratique, à la sécurité nationale, la défense de l’ordre et la prévention des infractions pénales (article 8 § 2).
    • La Cour a observé en particulier que le pouvoir de surveiller en secret les citoyens, caractéristique de l’État policier, n’était tolérable d’après la Convention que dans la mesure strictement nécessaire à la sauvegarde des institutions démocratiques.
    • Constatant toutefois que les sociétés démocratiques se trouvent menacées de nos jours par des formes très complexes d’espionnage et par le terrorisme, de sorte que l’État doit être capable, pour combattre efficacement ces menaces, de surveiller en secret les éléments subversifs opérant sur son territoire, elle a estimé que l’existence de dispositions législatives accordant des pouvoirs de surveillance secrète de la correspondance, des envois postaux et des télécommunications était, devant une situation exceptionnelle, nécessaire dans une société démocratique à la sécurité nationale et/ou à la défense de l’ordre et à la prévention des infractions pénales.

Aff. Rotaru c. Roumanie – 4 mai 2000

  • Faits
    • Le requérant se plaignait de l’impossibilité de réfuter les données, selon lui contraires à la réalité, détenues dans un dossier à son sujet par le Service roumain des renseignements (SRI).
    • L’intéressé avait été condamné en 1948 à une peine d’emprisonnement d’un an pour avoir exprimé des opinions critiques à l’égard du régime communiste.
  • Décision
    • La Cour a conclu à la violation de l’article 8 de la Convention, jugeant que la détention et l’utilisation par le SRI d’informations sur la vie privée du requérant n’étaient pas prévues par la loi.
    • La Cour a observé en particulier que des données de nature publique peuvent relever de la vie privée lorsqu’elles sont, d’une manière systématique, recueillies et mémorisées dans des fichiers tenus par les pouvoirs publics.
    • Cela vaut davantage encore lorsque ces données concernent le passé lointain d’une personne.
    • Elle a ensuite relevé qu’aucune disposition de droit interne ne définissait ni le genre d’informations pouvant être consignées, ni les catégories de personnes susceptibles de faire l’objet des mesures de surveillance telles que la collecte et la conservation de données, ni les circonstances dans lesquelles pouvaient être prises ces mesures, ni la procédure à suivre.
    • De même, la loi ne fixait pas de limites quant à l’ancienneté des informations détenues et la durée de leur conservation. Enfin, il n’existait aucune disposition explicite et détaillée de droit interne sur les personnes autorisées à consulter les dossiers, la nature de ces derniers, la procédure à suivre et l’usage qui pouvait être donné aux informations ainsi obtenues.
    • Dès lors, la Cour la Cour a estimé que le droit roumain n’indiquait pas avec assez de clarté l’étendue et les modalités d’exercice du pouvoir d’appréciation des autorités dans le domaine considéré.
    • La Cour a également conclu dans cette affaire à la violation de l’article 13 (droit à un recours effectif) de la Convention, en raison de l’impossibilité pour le requérant de contester sa détention ou de réfuter la véracité des renseignements en question.

Aff. Gaskin c. Royaume-Uni – 7 juillet 1989

  • Faits
    • Le requérant, pris en charge par les services sociaux pendant son enfance, chercha à connaître son passé à sa majorité pour surmonter ses problèmes personnels.
    • L’accès à son dossier lui fut refusé au motif qu’il contenait des informations confidentielles.
  • Décision
    • La Cour a conclu à la violation de l’article 8 de la Convention, jugeant que les procédures suivies n’avaient pas assuré à la vie privée et familiale du requérant le respect voulu par cet article.
    • Elle a observé en particulier que les personnes se trouvant dans la situation du requérant ont un intérêt primordial, protégé par la Convention, à recevoir les renseignements nécessaires pour connaître et comprendre leur enfance et leurs années de formation.
    • Cependant, le caractère confidentiel des dossiers officiels revêt de l’importance si l’on souhaite recueillir des informations objectives et dignes de foi et peut être nécessaire pour préserver des tiers.
    • Sous ce dernier aspect, un système subordonnant l’accès aux dossiers à l’acceptation des informateurs, comme alors au Royaume-Uni, peut en principe être tenu pour compatible avec l’article 8, eu égard à la marge d’appréciation de l’État.
    • La Cour a toutefois estimé qu’un tel système doit sauvegarder, quand un informateur n’est pas disponible ou refuse abusivement son accord, les intérêts de quiconque cherche à consulter des pièces relatives à sa vie privée et familiale et qu’il ne cadre avec le principe de proportionnalité que s’il charge un organe indépendant, au cas où un informateur ne répond pas ou ne donne pas son consentement, de prendre la décision finale sur l’accès.
    • Or, il n’en allait pas ainsi en l’espèce.

Aff. Perry c. Royaume-Uni – 17 juillet 2003

  • Faits
    • Le requérant fut arrêté après qu’eut été commise une série de vols à main armée sur la personne de chauffeurs de taxi, puis relâché en attendant que se tienne une séance d’identification.
    • Comme il ne s’était pas présenté à la séance prévue ni à plusieurs autres séances ultérieures, la police sollicita l’autorisation de le filmer en secret avec une caméra vidéo. Le requérant se plaignait que la police l’avait filmé en secret en vue de l’identifier puis avait utilisé le film vidéo dans le cadre des poursuites dirigées contre lui.
  • Décision
    • La Cour a conclu à la violation de l’article 8 de la Convention.
    • Elle a relevé que rien n’indiquait que le requérant s’attendait à ce qu’on le filme au poste de police à des fins d’identification au moyen d’un enregistrement vidéo ni à ce que le film soit éventuellement utilisé comme preuve à charge lors de son procès.
    • Le stratagème adopté par la police avait outrepassé l’utilisation normale de ce type de caméra et constitué une ingérence dans l’exercice par le requérant de son droit au respect de sa vie privée.
    • Cette ingérence n’était par ailleurs pas prévue par la loi, la police n’ayant pas respecté les procédures énoncées par le code applicable : elle n’avait pas obtenu le consentement du requérant, ne l’avait pas averti de l’enregistrement vidéo et, de surcroît, ne l’avait pas informé de ses droits à cet égard.

Aff. Z. c. Finlande – 25 février 1997

  • Faits
    • Cette affaire concernait la révélation de la séroposivité de la requérante au cours d’une procédure pénale dirigée contre son mari.
  • Décision
    • La Cour a conclu à la violation de l’article 8 de la Convention, jugeant que la divulgation de l’identité et de la séropositivité de la requérante dans le texte de l’arrêt de la cour d’appel communiqué à la presse ne se justifiait pas par quelque motif impérieux que ce soit et que la publication de ces informations avait dès lors porté atteinte au droit au respect de la vie privée et familiale de la requérante.
    • La Cour a observé en particulier que le respect du caractère confidentiel des informations sur la santé constitue un principe essentiel du système juridique de toutes les Parties contractantes à la Convention et est capital non seulement pour protéger la vie privée des malades mais également pour préserver leur confiance dans le corps médical et les services de santé en général.
    • La législation interne doit donc ménager des garanties appropriées pour empêcher toute communication ou divulgation de données à caractère personnel relatives à la santé qui ne serait pas conforme aux garanties prévues à l’article 8 de la Convention.

Section 2 : Le droit de l’Union européenne

§1 : La directive du 24 octobre 1995

A) La genèse de la directive

Par l’adoption de directive 95/46 CE du 24 octobre 1995, l’Union européenne s’est, pour la première fois, dotée d’un cadre commun de protection des personnes physiques à l’égard des traitements de données à caractère personnel.

Compétence matérielle

Il peut être observé que, lors des travaux législatifs, la question de la compétence de la Communauté européenne pour légiférer dans cette matière s’est posée, la protection des libertés et de la vie privée étant exclue de son champ de compétence.

Néanmoins, la Commission des Communautés européennes a considéré qu’il s’agissait principalement d’établir la libre circulation des données à caractère personnel, considérées comme des marchandises, ce qui explique que la directive 95/46 CE soit une directive « marché intérieur ».

Sa négociation fut longue et difficile, s’agissant d’un problème de liberté opposant des cultures différentes.

Socle de protection minimum

Le Conseil d’État s’est prononcé en assemblée générale par un avis du 10 juin 1999 invitant le Gouvernement à veiller à ce que la directive « ne contienne pas de dispositions qui conduiraient à priver des principes de valeur constitutionnelle de la protection que leur accorde la loi du 6 janvier 1978 actuellement en vigueur » afin de prévenir « tout risque d’inconstitutionnalité de la future loi assurant la transposition de cette directive » et énumérant certaines dispositions du projet susceptibles de conduire à une régression du niveau de protection.

En outre, le Parlement a adopté des résolutions sur ce projet en application de l’article 88-4 de la Constitution issu de la révision du 25 juin 1992.

L’Assemblée nationale a estimé dans une résolution du 25 juin 1993 que l’intervention de la Communauté européenne ne devait pas nuire au haut degré de protection dont devaient bénéficier les personnes, ni assimiler ces données à de simples marchandises.

Elle craignait également que les options très larges laissées aux États membres pour la transposition ne garantissent pas l’homogénéité de cette protection dans la Communauté européenne.

Elle demandait donc au Gouvernement :

  • D’une part, de subordonner son accord au maintien intégral du niveau de protection assuré par la loi du 6 janvier 1978
  • D’autre part, de prévenir le risque de divergences dangereuses au moment de la transposition de la directive par les États membres
  • Enfin, de garantir aux États membres le pouvoir d’interdire le transfert de données à caractère personnel vers des pays tiers n’assurant pas un niveau de protection adéquat, au besoin par l’instauration d’une procédure d’urgence.

Le Sénat a adopté une résolution le 7 juin 1994, par laquelle il observait que la référence à des articles du Traité de nature économique, appliquée en l’espèce au domaine des libertés publiques conduisait à une interprétation extensive des compétences de la Communauté, mais que cette intervention était justifiée. Il appelait en outre à une harmonisation préalable de leur législation par les États membres.

Ces recommandations ont été suivies dans une large mesure.

B) Le contenu de la directive

Champ d’application

Tout d’abord, la directive ne s’applique qu’aux traitements relevant du champ de compétences de l’Union européenne, c’est-à-dire qu’elle exclut notamment les « traitements de souveraineté » (défense, sécurité publique, sûreté de l’État, droit pénal).

En revanche, son champ d’application est élargi puisqu’elle s’étend non seulement aux traitements automatisés, mais aussi aux fichiers manuels à l’expiration d’un délai de 12 ans à compter de son adoption, c’est-à-dire en octobre 2007.

Par ailleurs, elle couvre les sons et les images à l’exclusion des traitements de vidéosurveillance mis en œuvre à des fins de sécurité publique.

Méthodologie

Selon l’article 189 du traité instituant la Communauté européenne, « la directive lie tout État membre quant aux résultats à atteindre, tout en laissant aux instances nationales la compétence quant à la forme et aux moyens ».

De surcroît, les directives de l’Union imposent généralement aux États la mise en œuvre de leurs dispositions dans des délais qu’elles déterminent : en l’espèce, l’article 32 de la directive 95/46 impliquait que « les États membres mettent en vigueur les dispositions législatives, réglementaires et administratives nécessaires pour se conformer à la présente directive au plus tard à l’issue d’une période de trois ans à compter de son adoption », soit le 24 octobre 1998.

Sans doute, la loi du 6 janvier 1978 constitue-t-elle, en quelque sorte, une « transposition anticipée » de la directive, puisque nombre de ses dispositions répondent aux exigences communautaires.

Toutefois, au-delà de principes communs, tels que la loyauté de la collecte des données, la protection des données dites sensibles, le principe de finalité des traitements ou le droit d’information, de rectification ou d’opposition des personnes, ainsi que la nécessité de l’existence d’une autorité de contrôle indépendante, des différences substantielles subsistent entre la loi du 6 janvier 1978 et la directive 95/46 qui requièrent, en conséquence, une modification de notre législation.

On remarquera, notamment, que la directive du 24 octobre 1995 retient une démarche particulière, en quatre étapes :

Elle s’attache à définir :

  • En premier lieu, les conditions générales de licéité des traitements
  • En deuxième lieu, les droits fondamentaux des personnes concernées
  • En troisième lieu, les restrictions qu’il est possible de leur apporter
  • En quatrième lieu, les procédures et les recours destinés à assurer la régularité des traitements de données à caractère personnel.

Cette organisation tient à la primauté accordée par la directive aux principes de fond sur les dispositions de forme, les États membres possédant davantage de marge de manœuvre pour transposer les secondes que les premières.

Or, tel n’est pas le choix fait par le législateur français qui a établi une distinction essentielle fondée sur la nature juridique du destinataire du traitement, dont il déduit la procédure et les règles de forme applicables.

L’égalité de principe entre secteurs public et privé

Alors que la loi du 6 janvier 1978 retient un critère organique, la directive retient un critère matériel et soumet les traitements similaires de responsables publics et privés à une même procédure.

Ainsi, les traitements de données à caractère personnel, qu’ils soient privés ou publics, ne sont plus désormais soumis qu’à une obligation de déclaration préalable auprès de l’autorité de contrôle.

La distinction entre les régimes de la déclaration et de l’autorisation, qui subsiste, est donc désormais indépendante de la qualité du responsable.

On retrouve un tel précédent dans la loi informatique et libertés en matière de traitement de recherche dans le domaine de la santé et d’évaluation des pratiques de soins.

L’assimilation des deux secteurs ne sera néanmoins pas totale, puisque les traitements de souveraineté ne sont pas concernés par les dispositions de la directive, celle-ci ne s’appliquant qu’aux traitements relevant du champ de compétence de l’Union européenne.

Le renforcement du contrôle a posteriori

L’article 20 de la directive indique que les États membres doivent préciser les traitements « susceptibles de présenter des risques particuliers au regard des droits et des libertés des personnes concernées et veillent à ce que ces traitements soient examinés avant leur mise en œuvre ».

À l’inverse, ceux qui « ne sont pas susceptibles de porter atteinte aux droits et libertés des personnes concernées » peuvent ne donner lieu qu’à une déclaration simplifiée ou même être exonérés de toute formalité.

Parallèlement à cette limitation des contrôles a priori, la directive invite à un recentrage des missions de la CNIL en direction du contrôle a posteriori.

L’article 28 de la directive relatif aux prérogatives de l’autorité de contrôle précise donc qu’elle doit disposer en particulier de pouvoirs d’investigations ou d’accès aux données ainsi que de pouvoirs « effectifs d’intervention » lui permettant le cas échéant d’ordonner le verrouillage, l’effacement ou la destruction des données.

Si la loi du 6 janvier 1978 comporte déjà des dispositions relatives aux pouvoirs de contrôle a posteriori de la CNIL (article 21), l’insuffisance des moyens de la CNIL et la relative indifférence des parquets et tribunaux face à une matière nouvelle et technique ont, dans les faits, largement relativisé sa portée.

La reconnaissance de l’importance des flux internationaux de données à caractère personnel

Si la loi du 6 janvier 1978 évoque déjà la question de la circulation des données, elle ne distingue pas entre les transferts vers d’autres États membres de la Communauté européenne et ceux intervenant vers des États tiers.

Or, la mondialisation de la circulation des données a été démultipliée par l’apparition des nouvelles technologies de l’information et de la communication.

Dès son article premier, la directive affirme donc le principe de la libre circulation des données au sein des États membres de l’Union européenne.

En revanche, ne sont possibles les transferts vers des pays tiers que si ceux-ci assurent un niveau de protection adéquat. La directive prévoit des mécanismes communautaires permettant de l’évaluer (articles 25 et 26), ainsi que leur articulation avec les modalités d’intervention en la matière de l’autorité nationale de contrôle.

§2 : Le Règlement Général sur la Protection des Données (RGPD)

La directive 95/46/CE qui constitue l’instrument législatif central de la protection des données à caractère personnel en Europe, a posé un jalon dans l’histoire de la protection des données.

Ses objectifs, qui consistent à assurer le fonctionnement du marché unique et la protection effective des libertés et des droits fondamentaux des personnes physiques, demeurent d’actualité.

Mais elle a été adoptée il y a plus de 20 ans, soit à une époque où internet n’en était qu’à ses premiers balbutiements.

L’environnement numérique actuel et ses exigences font que les règles en vigueur ne présentent ni le degré d’harmonisation requis ni l’efficacité nécessaire pour garantir le droit à la protection des données à caractère personnel.

C’est dans ce contexte que la Commission européenne a proposé, le 25 janvier 2012, un règlement destiné à remplacer la directive 95/46/CE et qui instaure un cadre général de l’UE pour la protection des données.

La proposition de règlement modernise les principes de la directive de 1995 en les adaptant à l’ère numérique et en harmonisant la législation sur la protection des données en Europe.

La protection des données doit faire l’objet de règles strictes pour rétablir la confiance des personnes dans la manière dont leurs données à caractère personnel sont utilisées.

La proposition de règlement vise à renforcer les droits des personnes et le marché intérieur de l’UE, garantir un contrôle accru de l’application de la réglementation, simplifier les transferts internationaux de données à caractère personnel et instaurer des normes mondiales en matière de protection des données.

À l’issue de longues négociations, le Parlement européen et le Conseil ont adopté le « paquet protection des données » le 27 avril 2016, fruit d’un compromis entre les États membres de l’Union européenne.

Ce paquet se compose :

  • D’un règlement relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (règlement (UE) 2016/679)
    • Applicable notamment à la matière civile et commerciale, il constitue le cadre général de la protection des données.
    • Ce règlement abroge la directive 95/46/CE transposée par la loi n° 2004-801 du 6 août 2004 qui avait modifié la loi n° 78-17 du 6 janvier 1978. Il conforte les droits des personnes physiques sur leurs données à caractère personnel déjà garantis dans la loi n° 78-17 du 6 janvier 1978.
    • Il renforce ainsi notamment le droit d’information des personnes, qui disposeront d’informations plus complètes et claires sur le traitement de leurs données, et en crée de nouveaux : droit à l’effacement ou « droit à l’oubli », droit à la portabilité des données.
    • En outre, le règlement uniformise et simplifie les règles auxquelles les organismes traitant des données sont soumis tout en renforçant les garanties offertes par la loi n° 78-17 du 6 janvier 1978.
    • Il prévoit en particulier la réduction des formalités préalables pour la mise en œuvre des traitements comportant le moins de risques, avec le passage d’un système de contrôle ex ante de la Commission nationale de l’informatique et des libertés par le biais des déclarations et autorisations à un contrôle ex post plus adapté aux évolutions technologiques.
    • Ce règlement est applicable à compter du 25 mai 2018.
  • D’une directive relative aux traitements mis en œuvre à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales (directive (UE) 2016/680)
    • La directive s’applique aux traitements de données à caractère personnel mis en œuvre par une autorité compétente à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution des sanctions pénales, y compris la protection contre les menaces pour la sécurité publique et la prévention de telles menaces.
    • La directive n’est pas applicable dès lors que le traitement de données est mis en œuvre pour d’autres finalités ou par une autorité qui n’est pas compétente. La directive n’est pas non plus applicable aux traitements intéressant la sûreté de l’État et la défense, qui ne relèvent pas du droit de l’Union.
    • La directive vise à faciliter le libre flux des données à caractère personnel entre les autorités compétentes à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales, y compris la protection contre les menaces pour la sécurité publique et la prévention de telles menaces au sein de l’Union, et le transfert de telles données vers des pays tiers et à des organisations internationales, tout en assurant un niveau élevé de protection des données à caractère personnel.
    • Certaines dispositions de la directive sont porteuses d’un changement de philosophie du droit de la protection des données ; d’autres représentent de réelles innovations qui, sans témoigner d’un réel changement de philosophie, imposent d’importantes modifications d’ordre technique.
    • Cette directive doit être transposée d’ici le 6 mai 2018.

L’articulation entre la directive et le règlement est précisée par le considérant 12 de la directive.

Celui-ci indique notamment que relèvent de la directive les traitements concernant des « activités menées par la police ou d’autres autorités répressives [qui] sont axées principalement sur la prévention et la détection des infractions pénales et les enquêtes et les poursuites en la matière, y compris les activités de police effectuées sans savoir au préalable si un incident constitue une infraction pénale ou non».

Il précise que « ces activités peuvent également comprendre l’exercice de l’autorité par l’adoption de mesures coercitives, par exemple les activités de police lors de manifestations, de grands événements sportifs et d’émeutes », et que « parmi ces activités figure également le maintien de l’ordre public lorsque cette mission est confiée à la police ou à d’autres autorités répressives lorsque cela est nécessaire à des fins de protection contre les menaces pour la sécurité publique et pour les intérêts fondamentaux de la société protégés par la loi, et de prévention de telles menaces, qui sont susceptibles de déboucher sur une infraction pénale ».

Il indique en revanche, qu’entrent dans le champ d’application du règlement, pour autant qu’ils relèvent du droit de l’Union, les traitements par lesquels « les États membres [confient] aux autorités compétentes d’autres missions qui ne sont pas nécessairement menées à des fins de prévention et de détection des infractions pénales, d’enquêtes ou de poursuites en la matière, y compris la protection contre les menaces pour la sécurité publique et la prévention de telles menaces ».

Les nouvelles exigences posées par le législateur européen ont été transposées en droit français lors de l’adoption de la loi n° 2018-493 du 20 juin 2018 relative à la protection des données personnelles.

Section 3 : Le droit interne

§1 : La loi du 6 janvier 1978

Les premiers travaux ayant trait au développement de l’informatique dans les administrations virent le jour, en fait, à la fin des années 1960, tant en Europe que sur le continent américain : ils mettent en évidence les risques que font peser ces nouvelles pratiques sur les libertés publiques.

En France, le Conseil d’État adressa au Gouvernement, dès 1971, une série de recommandations visant à encadrer l’usage des données personnelles. Mais la prise de conscience des enjeux liés à cette question intervint en 1974, face à un projet gouvernemental connu sous le nom de « Système automatisé des fichiers administratifs et du répertoire des individus » (SAFARI), qui prévoyait une interconnexion des fichiers publics à partir d’un identifiant unique, le numéro de sécurité sociale.

Ce dispositif suscita alors de fortes réactions, résumées, le 21 mars, par le journal Le Monde, sous le titre suivant : « Safari ou la chasse aux Français ». Ce débat a débouché sur le « rapport Tricot », issu des travaux d’une commission mise en place par le Premier ministre pour proposer des mesures tendant à garantir que le développement de l’informatique se réalise dans le respect de la vie privée et des libertés, puis sur la loi n°78-17 du 6 janvier 1978, relative à l’informatique, aux fichiers et aux libertés.

Ce texte, communément appelé « loi Informatique et libertés », fut l’un des premiers au monde à encadrer l’usage des données à caractère personnel ; il a d’ailleurs inspiré, dans une large mesure, les instruments internationaux intervenus depuis lors, y compris la directive du 24 octobre 1995 que le présent projet de loi tend à transposer en droit français.

Il se présente comme un corpus de normes destinées à assurer la défense des libertés individuelles et publiques des personnes physiques face aux technologies informationnelles.

De fait, c’est bien sur ce terrain que le législateur s’est placé en affirmant, d’emblée, dès l’article 1er, que : « L’informatique doit être au service de chaque citoyen. (…) Elle ne doit porter atteinte ni à l’identité humaine, ni aux droits de l’homme, ni à la vie privée, ni aux libertés individuelles ou publiques ».

La loi du 6 janvier 1978 réglemente la collecte et l’utilisation des informations dites « nominatives », qui permettent, aux termes de son article 4, d’identifier, directement ou indirectement, des personnes physiques. Elle s’applique à deux types de procédés :

  • Le traitement automatisé desdites informations, quel que soit le support ou la technique utilisée, qui est défini, à l’article 5, comme : « tout ensemble d’opérations réalisées par les moyens automatiques, relatif à la collecte, l’enregistrement, l’élaboration, la modification, la conservation et la destruction d’informations nominatives ainsi que tout ensemble d’opérations de même nature se rapportant à l’exploitation de fichiers ou bases de données et notamment les interconnexions ou rapprochements, consultations ou communications d’informations nominatives».
  • Les fichiers manuels ou mécanographiques, qui n’étaient pourtant pas visés par le texte initial du Gouvernement : la loi ne fait d’ailleurs référence qu’à « l’informatique », tant à l’article 1er (« L’informatique doit être au service de chaque citoyen ») que dans le titre de l’institution de contrôle qu’elle crée par ailleurs (« Commission nationale de l’informatique et des libertés »). Cette extension a été réalisée à l’initiative du Parlement, qui a modifié, en conséquence, l’intitulé de la loi (« relative à l’informatique, aux fichiers et aux libertés »). Toutefois, ces fichiers ne sont soumis qu’à une partie des règles applicables aux traitements automatisés (notamment les dispositions relatives à la collecte, l’enregistrement et la conservation des informations, ainsi que le droit d’accès ou d’opposition), à l’exclusion de certaines obligations telles que les formalités de déclaration préalable auprès de la CNIL.

§2 : La loi du 6 août 2004

La loi n° 2004-801 du 6 août 2004 relative à la protection des personnes physiques à l’égard des traitements de données à caractère personnel, qui modifie la loi du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, a pour objet d’assurer la transposition de la directive européenne du 24 octobre 1995 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données.

Au-delà de cette transposition, il vise à adapter le droit des fichiers informatiques aux progrès technologiques et aux réalités contemporaines, dans le respect des principes fondamentaux posés par la loi du 6 janvier 1978.

Les principales dispositions du projet de loi peuvent être résumées autour de quatre axes :

  • Le renforcement des droits fondamentaux des personnes dès lors que des données, de quelque nature qu’elles soient (informations nominatives, voix, image, empreintes génétiques …), font l’objet d’un fichier, sous forme d’un traitement automatisé ou non, ainsi que le renforcement des obligations pesant sur les responsables de ces traitements. En particulier, le caractère discrétionnaire du droit d’opposition des personnes intéressées à l’encontre de la mise en œuvre de tels traitements à des fins de prospection, notamment commerciale, est reconnu
  • La consécration de la Commission nationale de l’informatique et des libertés (CNIL), dont la composition est, à une exception près, inchangée, comme l’autorité administrative indépendante chargée du contrôle de la mise en œuvre de la loi. La commission voit ses pouvoirs substantiellement développés ; elle sera, en particulier, dotée de pouvoirs d’investigation, d’injonction et de sanction administrative qui lui permettront d’exercer un contrôle a posteriori sur les traitements de données
  • La rationalisation des formalités préalables exigées pour la création d’un traitement automatisé de données à caractère personnel : le projet de loi ne distingue plus le régime administratif applicable selon la nature publique ou privée du responsable du traitement. Le régime de droit commun sera celui de la déclaration, qui sera simplifiée pour les modèles de traitement les plus courants. Mais toutes les catégories de traitement dont les finalités ou le contenu présentent des risques particuliers au regard des droits des personnes seront soumises à l’autorisation de la CNIL.
  • Les traitements publics, dits de souveraineté, intéressant la sûreté de l’État, la défense et la sécurité publique, ou les traitements publics utilisant le numéro d’inscription des personnes au répertoire national d’identification des personnes physiques, continuent à faire l’objet d’une autorisation par un décret ou par un arrêté pris après avis de la CNIL

§3 : La loi du 20 juin 2018

La loi n° 2018-493 du 20 juin 2018 relative à la protection des données personnelles vise à transposer le « paquet européen de protection des données » adopté par le Parlement européen et le Conseil le 27 avril 2016.

Pour mémoire, ce mémoire se compose :

  • d’un règlement (UE) 2016/679 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel. Applicable notamment à la matière civile et commerciale, il constitue le cadre général de la protection des données. Les obligations prévues par le règlement seront également applicables aux opérateurs installés hors de l’Union européenne et offrant des biens et services aux Européens. Ce règlement est applicable à compter du 25 mai 2018 ;
  • d’une directive (UE) 2016/680 relative aux traitements mis en œuvre à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales. Cette directive doit être transposée d’ici le 6 mai 2018.

Afin d’assurer la transposition de ces deux textes, le Gouvernement français a fait le choix symbolique de ne pas abroger la loi fondatrice du 6 janvier 1978.

Certes, l’adaptation du droit national au règlement et la transposition de la directive exigent de remanier plusieurs articles de cette loi, mais les principes fondateurs dégagés par le législateur il y a près de quarante ans demeurent toujours valables.

À cet égard, la loi du 20 juin 2018 retranscrit les dispositions du règlement qui conforte les droits des personnes physiques sur leurs données à caractère personnel déjà garantis dans la loi du 6 janvier 1978 (notamment le droit d’information des personnes), et en crée de nouveaux comme le droit à l’effacement ou « droit à l’oubli » et le droit à la portabilité des données.

En outre, le règlement uniformise et simplifie les règles auxquelles les organismes traitant des données sont soumis tout en renforçant les garanties offertes par la loi de 1978.

Il prévoit en particulier la réduction des formalités préalables pour la mise en œuvre des traitements comportant le moins de risques, avec le passage d’un système de contrôle a priori de la CNIL, par le biais des déclarations et autorisations, à un contrôle a posteriori plus adapté aux évolutions technologiques.

En contrepartie, la CNIL voit ses pouvoirs de contrôle et de sanctions renforcés avec la possibilité d’infliger des amendes pouvant aller jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires mondial de l’organisme concerné.

(0)