L’article 2, al. 1er de la loi informatique et libertés dispose que « la présente loi s’applique aux traitements automatisés de données à caractère personnel, ainsi qu’aux traitements non automatisés de données à caractère personnel contenues ou appelées à figurer dans des fichiers, à l’exception des traitements mis en œuvre pour l’exercice d’activités exclusivement personnelles, lorsque leur responsable remplit les conditions prévues à l’article 5 »

Il ressort de cette disposition que le champ d’application de la loi informatique et libertés est gouverné par un principe que l’on a assorti d’une exception.

§1 : Le principe

En application de l’article 2 de la loi informatique et libertés, ce texte, tel que modifié par les lois du 6 août 2004 et du 20 juin 2018, a vocation à s’appliquer « aux traitements automatisés en tout ou partie de données à caractère personnel, ainsi qu’aux traitements non automatisés de données à caractère personnel contenues ou appelées à figurer dans des fichiers ».

Cette disposition reprend, dans les mêmes termes, l’article 2 du RGPD.

Il ressort de ce texte que plusieurs conditions doivent être réunies pour que la loi informatique et liberté soit applicable :

  • L’objet du traitement
    • Pour que la loi informatique et libertés s’applique, le traitement doit porter sur des données à caractère personnel, définies à l’alinéa 2 de l’article 2 de ladite loi.
    • Aux termes de cette disposition, « constitue une donnée à caractère personnel toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, par référence à un numéro d’identification ou à un ou plusieurs éléments qui lui sont propres. »
    • Cette disposition précise que « pour déterminer si une personne est identifiable, il convient de considérer l’ensemble des moyens en vue de permettre son identification dont dispose ou auxquels peut avoir accès le responsable du traitement ou toute autre personne. »
    • Dans l’hypothèse où la donnée traitée ne répond pas aux critères ci-dessus énoncés, le traitement dont elle fait l’objet n’entre pas dans le champ d’application de la loi informatique et libertés.
    • Il en résulte qu’aucune obligation de déclaration ne pèse sur l’auteur du traitement.
  • L’auteur du traitement
    • Il est indifférent que l’auteur du traitement soit une personne morale ou physique, publique ou privée.
    • La loi ne distingue pas ; elle vise tous les traitements de données.
    • C’est donc un critère matériel qui a été retenu et non organique.
    • Dès lors que le traitement porte sur des données à caractère personnel, la loi informatique et libertés à vocation à s’appliquer.
  • Les modalités du traitement
    • Le texte prévoit que, tant les traitements automatisés, que les traitements manuels relèvent du champ d’application de la loi informatique et libertés.
    • Ainsi, il importe peu que le traitement soit automatisé.
    • Reste que les données doivent avoir vocation à être contenue dans un fichier
      • Indifférence de l’automatisation du traitement
        • Cette précision vise à éviter de créer un risque grave de contournement.
        • Selon le RGPD, la mesure où la protection des personnes physiques devrait, en effet, être neutre sur le plan technologique et ne devrait pas dépendre des techniques utilisées.
        • C’est la raison pour laquelle, la loi informatique et libertés doit s’appliquer, tout autant aux traitements de données à caractère personnel à l’aide de procédés automatisés, qu’aux traitements manuels.
        • La question qui alors se pose est de savoir ce que l’on doit entendre par traitement automatisé
        • Aux termes de l’article 2 de la loi informatique et libertés « constitue un traitement de données à caractère personnel toute opération ou tout ensemble d’opérations portant sur de telles données, quel que soit le procédé utilisé, et notamment la collecte, l’enregistrement, l’organisation, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, ainsi que le verrouillage, l’effacement ou la destruction»
      • Exigence de constitution d’un fichier
        • Pour que le traitement de données à caractère personnel soit soumis aux dispositions de la loi informatique et libertés il doit donner lieu à la constitution d’un fichier.
        • Au sens de l’article 2 de la loi informatique et libertés « constitue un fichier de données à caractère personnel tout ensemble structuré et stable de données à caractère personnel accessibles selon des critères déterminés, que cet ensemble soit centralisé, décentralisé ou réparti de manière fonctionnelle ou géographique.»
        • Dès lors, que les données collectées ont vocation à être triées, classées et structurées, on considère que la condition tenant à la constitution d’un fichier est remplie.

§2 : Les exceptions

Plusieurs exceptions ont été prévues par le législateur à l’application de la loi informatique et libertés :

  • Les traitements de données à des fins exclusivement personnelles
  • Les traitements de données consistant en des copies temporaires
  • Les traitements de données portant sur des activités ne relevant pas de la compétence de l’Union européenne

A) L’exclusion des traitements de données à des fins exclusivement personnelles

L’article 2 de la loi informatique et liberté exclut de son champ d’application les « traitements mis en œuvre pour l’exercice d’activités exclusivement personnelles, lorsque leur responsable remplit les conditions prévues à l’article ».

Le RGPD est venu conforter cette règle en prévoyant expressément qu’il n’avait pas vocation à s’appliquer aux traitements de données à caractère personnel effectués par une personne physique au cours d’activités strictement personnelles ou domestiques, et donc sans lien avec une activité professionnelle ou commerciale.

Au nombre de ces activités pourraient figurer des activités personnelles ou domestiques consistant en l’échange de correspondance, la tenue d’un carnet d’adresses, ou encore l’utilisation de réseaux sociaux et les activités en ligne qui ont lieu dans le cadre de ces activités.

Dans une délibération n° 2005-284 du 22 novembre 2005, la CNIL avait décidé en ce sens que n’étaient pas tenus à l’obligation de déclaration « les sites web diffusant ou collectant des données à caractère personnel mis en œuvre par des particuliers dans le cadre d’une activité exclusivement personnelle ».

À l’inverse, elle considère que « la diffusion et la collecte de données à caractère personnel opérée à partir d’un site web dans le cadre d’activités professionnelles, politiques, ou associatives restent soumises à l’accomplissement des formalités préalables prévues par la loi ».

À cet égard, le RGPD prévoit le règlement s’applique aux responsables du traitement ou aux sous-traitants qui fournissent les moyens de traiter des données à caractère personnel pour de telles activités personnelles ou domestiques.

En outre, les données collectées ne doivent concerner que la sphère privée de l’auteur du traitement.

C’est ainsi que dans un arrêt du 11 décembre 2014 la CJUE a jugé que « l’exploitation d’un système de caméra, donnant lieu à un enregistrement vidéo des personnes stocké dans un dispositif d’enregistrement continu tel qu’un disque dur, installé par une personne physique sur sa maison familiale afin de protéger les biens, la santé et la vie des propriétaires de la maison, ce système surveillant également l’espace public, ne constitue pas un traitement des données effectué pour l’exercice d’activités exclusivement personnelles ou domestiques, au sens de cette disposition. » (CJUE, 11 déc. 2014, aff. C-212/13).

B) L’exclusion des traitements de données consistant en des copies temporaires

Pour prendre en compte les spécificités d’Internet et des réseaux numériques, le législateur a souhaité exclure du champ d’application de la loi, en application de l’article 4 de la loi du 6 janvier 1978, les « copies temporaires qui sont faites dans le cadre des activités techniques de transmission et de fourniture d’accès à un réseau numérique, en vue du stockage automatique, intermédiaire et transitoire des données et à seule fin de permettre à d’autres destinataires du service le meilleur accès possible aux informations transmises ».

Cette dérogation, non prévue par le RGPD, vise en fait notamment le recours, par les fournisseurs d’accès, aux serveurs « proxys » -ou « mandataires »-, qui visent à économiser des capacités de communication sur le réseau, en mémorisant temporairement les adresses des internautes et les sites web consultés afin qu’il ne soit pas nécessaire d’accéder au serveur initial, parfois éloigné et distant, en cas de nouvelle requête.

Ces opérations d’optimisation et de régulation du trafic comportent nécessairement le stockage temporaire de données à caractère personnel, dont l’exclusion du champ d’application de la loi se justifie pleinement, puisqu’il ne comporte aucun danger pour les libertés personnelles des internautes, compte tenu de leur effacement rapide par les serveurs « proxys ».

C) Les traitements de données portant sur des activités ne relevant pas de la compétence de l’Union européenne

Le RGPD prévoit, dans son considérant 16, qu’il n’a pas vocation à s’appliquer à des questions de protection des libertés et droits fondamentaux ou de libre flux des données à caractère personnel concernant des activités qui ne relèvent pas du champ d’application du droit de l’Union, telles que les activités relatives à la sécurité nationale.

Il en va de même pour les activités ayant trait à la politique étrangère et de sécurité commune de l’Union.

(0)

Section 1 : le droit international

§1 : Principes directeurs de l’ONU

Dans le cadre de sa résolution A/RES/45/95, l’Assemblée générale des Nations Unis a adopté, le 14 décembre 1990, des « principes directeurs pour la réglementation des fichiers personnels informatisés »

Ce texte envisage un certain nombre de garanties minimales qui doivent être prévues par les États membres, étant précisé que, contrairement aux décisions prises par le Conseil de sécurité, les résolutions adoptées par l’Assemblée générale des Nations Unis sont dépourvues de force contraignante.

Les principes directeurs énoncés par la résolution ainsi adoptée sont au nombre de 10 :

A) Champ d’application

Les présents principes s’appliquent :

  • D’une part, à tous les fichiers informatisés publics et privés et, par voie d’extension facultative et sous réserve des adaptations adéquates, aux fichiers traités manuellement.
  • D’autre part, si cela est expressément prévu par les législations nationales, aux fichiers de personnes morales, notamment lorsqu’ils contiennent pour partie des informations concernant des personnes physiques.

B) Principe de licéité et de loyauté

Les données concernant les personnes ne doivent pas être obtenues ou traitées à l’aide de procédés illicites ou déloyaux, ni utilisées à des fins contraires aux buts et aux principes de la Charte des Nations Unies.

C) Principe d’exactitude

Les personnes responsables de l’établissement d’un fichier ou celles responsables de leur mise en œuvre doivent être tenues de vérifier l’exactitude et la pertinence des données enregistrées et de veiller à ce qu’elles demeurent aussi complètes que possible pour éviter les erreurs par omission et qu’elles soient mises à jour, périodiquement ou lors de l’utilisation des informations contenues dans un dossier, tant qu’elles font l’objet d’un traitement.

D) Principe de finalité

La finalité en vue de laquelle est créé un fichier et son utilisation en fonction de cette finalité doivent être spécifiées, justifiées et, lors de sa mise en œuvre, faire l’objet d’une mesure de publicité ou être portées à la connaissance de la personne concernée, afin qu’il soit ultérieurement possible de vérifier :

  • Si toutes les données personnelles collectées et enregistrées restent pertinentes par rapport à la finalité poursuivie ;
  • Si aucune desdites données personnelles n’est utilisée ou divulguée, sauf accord de la personne concernée, à des fins incompatibles avec celles ainsi spécifiées ;
  • Si la durée de conservation des données personnelles n’excède pas celle permettant d’atteindre la finalité pour laquelle elles ont été enregistrées.

E) Principe de l’accès par les personnes concernées

Toute personne justifiant de son identité a le droit de savoir si des données la concernant font l’objet d’un traitement, d’en avoir communication sous une forme intelligible, sans délais ou frais excessifs, d’obtenir les rectifications ou destructions adéquates en cas d’enregistrements illicites, injustifiés ou inexacts, et, lorsqu’elles sont communiquées, d’en connaître les destinataires.

Une voie de recours doit être prévue, le cas échéant, auprès de l’autorité de contrôle prévue.

En cas de rectification, le coût devrait être à la charge du responsable du fichier.

Il est souhaitable que les dispositions de ce principe s’appliquent à toute personne, quelle que soit sa nationalité ou sa résidence.

F) Principe de non-discrimination

Sous réserve des cas de dérogations limitativement prévus sous le principe 6, les données pouvant engendrer une discrimination illégitime ou arbitraire, notamment les informations sur l’origine raciale ou ethnique, la couleur, la vie sexuelle, les opinions politiques, les convictions religieuses, philosophiques ou autres, ainsi que l’appartenance à une association ou un syndicat, ne doivent pas être collectées.

G) Faculté de dérogation

Deux catégories de dérogations doivent être distinguées :

  • Les dérogations relatives aux principes de licéité et de loyauté, d’exactitude, de finalité et de libre accès peuvent faire l’objet de dérogations.
    • Ces dérogations peuvent être envisagées par les États à la double condition
      • D’une part, que ces dérogations soient nécessaires pour protéger la sécurité nationale, l’ordre public, la santé ou la moralité publique ainsi que, notamment, les droits et libertés d’autrui, spécialement de personnes persécutées (clause humanitaire)
      • D’autre part, que ces dérogations soient expressément prévues par la loi ou par une réglementation équivalente prise en conformité avec le système juridique interne qui en fixe expressément les limites et édicte des garanties appropriées.
  • Les dérogations relatives au principe de la prohibition de la discrimination
    • Outre qu’elles doivent être soumises aux mêmes garanties que celles prévues pour les dérogations précédentes, elles ne peuvent être autorisées que dans les limites prévues par la Charte internationale des droits de l’homme et les autres instruments pertinents dans le domaine de la protection des droits de l’homme et de la lutte contre les discriminations.

H) Principe de sécurité

Des mesures appropriées doivent être prises pour protéger les fichiers tant contre les risques naturels, tels que la perte accidentelle ou la destruction par sinistre, que les risques humains, tels que l’accès non autorisé, l’utilisation détournée de données ou la contamination par des virus informatiques.

I) Contrôle et sanctions

Chaque législation doit désigner l’autorité qui, en conformité avec le système juridique interne, est chargée de contrôler le respect des principes précités.

Cette autorité doit présenter des garanties d’impartialité, d’indépendance à l’égard des personnes ou organismes responsables des traitements et de leur mise en œuvre, et de compétence technique.

En cas de violation des dispositions de la loi interne mettant en œuvre les principes précités, des sanctions pénales ou autres doivent être prévues ainsi que des recours individuels appropriés.

J) Flux transfrontières de données

Lorsque la législation de deux ou plusieurs pays, concernés par un flux transfrontière de données, présente des garanties comparables au regard de la protection de la vie privée, les informations doivent pouvoir circuler aussi librement qu’à l’intérieur de chacun des territoires concernés.

En l’absence de garanties comparables, des limitations à cette circulation ne peuvent être imposées indûment et seulement dans la stricte mesure où la protection de la vie privée l’exige.

§2 : Les lignes directrices de l’OCDE

A) Ratio legis

Par décision du 23 septembre 1980, l’Organisation de Coopération et de Développement Économiques (OCDE) a adopté des lignes directrices régissant la protection de la vie privée et les flux transfrontières de données de caractère personnel.

Les États membre de cette organisation internationale sont partis du constat, dès 1980, que le traitement automatique de l’information, qui permet de transmettre de vastes quantités de données en quelques secondes à travers les frontières nationales et même à travers les continents tendait à se généraliser et à prendre un essor qui n’aurait de cesse de s’accroître.

Il a encore été relevé que, en réaction, des législations relatives à la protection de la vie privée ont été adoptées en vue de prévenir des actes considérés comme constituant des violations des droits fondamentaux de l’homme, tels que le stockage illicite de données de caractère personnel qui sont inexactes, l’utilisation abusive ou la divulgation non autorisée de ces données.

L’OCDE y a vu le risque que des disparités se créent dans les législations nationales et qu’elles entravent la libre circulation des données de caractère personnel à travers les frontières.

Des restrictions imposées à ces flux pourraient, en effet, entraîner de graves perturbations dans d’importants secteurs de l’économie, tels que la banque et les assurances.

C’est pourquoi, les pays Membres de l’OCDE ont jugé nécessaire d’élaborer des lignes directrices qui permettraient d’harmoniser les législations nationales relatives à la protection de la vie privée et qui, tout en contribuant au maintien de ces droits de l’homme, empêcheraient que les flux internationaux de données ne subissent des interruptions.

Ces lignes directrices sont l’expression d’un consensus sur des principes fondamentaux qui peuvent être intégrés à la législation nationale en vigueur ou servir de base à une législation dans les pays qui ne sont pas encore dotés.

B) Énoncé des principes

Deux catégories de principes sont envisagées par les Lignes directrices de l’OCDE

Les principes fondamentaux applicables au plan national

  • Principe de la limitation en matière de collecte
    • Il convient d’assigner des limites à la collecte des données de caractère personnel et toute donnée de ce type devrait être obtenue par des moyens licites et loyaux et, le cas échéant, après en avoir informé la personne concernée ou avec son consentement.
  • Principe de la qualité des données
    • Les données de caractère personnel doivent être pertinentes par rapport aux finalités en vue desquelles elles doivent être utilisées et, dans la mesure où ces finalités l’exigent, elles doivent être exactes, complètes et tenues à jour.
  • Principe de la spécification des finalités
    • Les finalités en vue desquelles les données de caractère personnel sont collectées doivent être déterminées au plus tard au moment de la collecte des données et lesdites données ne doivent être utilisées par la suite que pour atteindre ces finalités ou d’autres qui ne soient pas incompatibles avec les précédentes et qui seraient déterminées dès lors qu’elles seraient modifiées.
  • Principe de la limitation de l’utilisation
    • Les données de caractère personnel ne doivent pas être divulguées, ni fournies, ni utilisées à des fins autres que celles spécifiées conformément au paragraphe 9, si ce n’est :
      • Avec le consentement de la personne concernée
      • Lorsqu’une règle de droit le permet.
  • Principe des garanties de sécurité
    • Il convient de protéger les données de caractère personnel, grâce à des garanties de sécurité raisonnables, contre des risques tels que la perte des données ou leur accès, destruction, utilisation, ou divulgation non autorisés.
  • Principe de la transparence
    • Il convient d’assurer, d’une façon générale, la transparence des progrès, pratiques et politiques, ayant trait aux données de caractère personnel.
    • Il doit être possible de se procurer aisément les moyens de déterminer l’existence et la nature des données de caractère personnel, et les finalités principales de leur utilisation, de même que l’identité du maître du fichier et le siège habituel de ses activités.
  • Principe de la participation individuelle
    • Toute personne physique doit avoir le droit :
      • D’obtenir du maître d’un fichier, ou par d’autres voies, confirmation du fait que le maître du fichier détient ou non des données la concernant ;
      • De se faire communiquer les données la concernant :
        • Dans un délai raisonnable ;
        • Moyennant, éventuellement, une redevance modérée ;
        • Selon des modalités raisonnables ;
        • Sous une forme qui lui soit aisément intelligible ;
      • D’être informée des raisons pour lesquelles une demande quelle aurait présentée est rejetée et de pouvoir contester un tel rejet,
      • De contester les données la concernant et, si la contestation est fondée, de les faire effacer, rectifier, compléter ou corriger.
  • Principe de la responsabilité
    • Tout maître de fichier devrait être responsable du respect des mesures donnant effet aux principes énoncés ci-dessus.

Les principes fondamentaux applicables au plan international

  • Libre circulation
    • Les pays Membres doivent prendre en considération les conséquences pour d’autres pays Membres d’un traitement effectué sur leur propre territoire et de la réexportation des données de caractère personnel
    • Les pays Membres doivent prendre toutes les mesures raisonnables et appropriées pour assurer que les flux transfrontières de données de caractère personnel, et notamment le transit par un pays Membre, aient lieu sans interruption et en toute sécurité.
    • Un pays Membre doit s’abstenir de limiter les flux transfrontières de données de caractère personnel entre son territoire et celui d’un autre pays Membre, sauf lorsqu’un ce dernier ne se conforme pas encore pour l’essentiel aux Lignes directrices ou lorsque la réexportation desdites données permettrait de contourner sa législation interne sur la protection de la vie privée et des libertés individuelles.
  • Restrictions légitimes
    • Un pays Membre peut imposer des restrictions à l’égard de certaines catégories de données de caractère personnel pour lesquelles sa législation interne sur la protection de la vie privée et les libertés individuelles prévoit des réglementations spécifiques en raison de la nature de ces données et pour lesquelles l’autre pays Membre ne prévoit pas de protection équivalente.
    • Les pays Membres doivent néanmoins éviter d’élaborer des lois, des politiques et des procédures, qui, sous couvert de la protection de la vie privée et des libertés individuelles, créeraient des obstacles à la circulation transfrontière des données de caractère personnel qui iraient au-delà des exigences propres à cette protection.

§3 : La convention STE 108

Adoption de la convention

Les pays membres du Conseil de l’Europe ont adopté le 28 janvier 1981 la Convention pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel, dite Convention STE 108.

Cette convention fut, indéniablement, le premier instrument international juridique contraignant dans le domaine de la protection des données.

Il a été convenu, entre ses signataires, qu’ils devaient prendre toutes les mesures nécessaires en droit interne pour en appliquer les principes afin d’assurer, sur leur territoire, le respect des droits fondamentaux de la personne humaine au regard de l’application de la protection des données.

Concrètement, le but poursuivi par la Convention STE 108 est de garantir, sur le territoire des États membres, à toute personne physique, quelles que soient sa nationalité ou sa résidence, le respect de ses droits et de ses libertés fondamentales, et notamment de son droit à la vie privée, à l’égard du traitement automatisé des données à caractère personnel la concernant.

Applicabilité directe

Dans un arrêt du 18 novembre 1992, la Conseil d’État a reconnu l’applicabilité directe de la Convention STE 108 (CE, 18 nov. 1992, n° 115367)

Évolution de la convention

  • Amendements à la Convention 108 permettant l’adhésion des Communautés Européennes
    • Le Comité des Ministres du Conseil de l’Europe a adopté, le 15 juin 1999, des amendements permettant l’adhésion des Communautés Européennes à la Convention
    • L’adhésion des Communautés correspondait à la volonté de l’Union européenne de renforcer la coopération avec le Conseil de l’Europe et de contribuer au renforcement d’un large forum international en matière de protection des données, notamment à l’égard des pays tiers.
    • Selon le texte initial, seuls les États pouvaient en devenir Parties.
    • C’est la raison pour laquelle il a été nécessaire de procéder par voie d’amendements
  • Protocole additionnel à la Convention 108 sur les autorités de contrôle et les flux transfrontières de données (STE N°181)
    • Le Protocole additionnel, ouvert à la signature le 8 novembre 2001 à Strasbourg, exige des parties la mise en place des autorités de contrôle, exerçant leurs fonctions en parfaite indépendance, et qui sont un élément de la protection effective des individus au regard du traitement des données personnelles.
    • Avec l’accroissement des échanges de données personnelles à travers les frontières nationales, il est nécessaire d’assurer la protection effective des droits de l’homme et des libertés fondamentales, et en particulier du droit à la vie privée par rapport à de tels échanges de données personnelles.
    • Ce texte renforce la protection des données personnelles et de la vie privée, en complétant la Convention de 1981 (STE n° 108) sur deux points.
      • Premier point
        • Il prévoit tout d’abord l’établissement d’autorités de contrôle chargées d’assurer le respect des lois ou règlements introduits par les États en application de la Convention concernant la protection des données personnelles et les flux transfrontières de données.
      • Second point
        • Il prévoit que les flux transfrontières de données vers des pays tiers ne peuvent être transférées que si elles bénéficient dans l’État ou l’organisation internationale destinataire, d’un niveau de protection adéquat.

Contenu de la convention

Plusieurs principes ont été posés dans la Convention STE n°108:

  • Sur la qualité des données
    • Les données à caractère personnel faisant l’objet d’un traitement automatisé sont :
      • Obtenues et traitées loyalement et licitement ;
      • Enregistrées pour des finalités déterminées et légitimes et ne sont pas utilisées de manière incompatible avec ces finalités ;
      • Adéquates, pertinentes et non excessives par rapport aux finalités pour lesquelles elles sont enregistrées ;
      • Exactes et si nécessaire mises à jour ;
      • Conservées sous une forme permettant l’identification des personnes concernées pendant une durée n’excédant pas celle nécessaire aux finalités pour lesquelles elles sont enregistrées.
  • Sur les catégories particulières de données
    • Les données à caractère personnel révélant l’origine raciale, les opinions politiques, les convictions religieuses ou autres convictions, ainsi que les données à caractère personnel relatives à la santé ou à la vie sexuelle, ne peuvent être traitées automatiquement à moins que le droit interne ne prévoie des garanties appropriées.
    • Il en est de même des données à caractère personnel concernant des condamnations pénales.
  • Sur la sécurité des données
    • Des mesures de sécurité appropriées sont prises pour la protection des données à caractère personnel enregistrées dans des fichiers automatisés contre la destruction accidentelle ou non autorisée, ou la perte accidentelle, ainsi que contre l’accès, la modification ou la diffusion non autorisés.
  • Sur les droits d’accès et de rectification
    • Toute personne doit pouvoir :
      • Connaître l’existence d’un fichier automatisé de données à caractère personnel, ses finalités principales, ainsi que l’identité et la résidence habituelle ou le principal établissement du maître du fichier ;
      • Obtenir à des intervalles raisonnables et sans délais ou frais excessifs la confirmation de l’existence ou non dans le fichier automatisé, de données à caractère personnel la concernant ainsi que la communication de ces données sous une forme intelligible ;
      • Obtenir, le cas échéant, la rectification de ces données ou leur effacement lorsqu’elles ont été traitées en violation des dispositions du droit interne donnant effet aux principes de base énoncés dans les articles 5 et 6 de la présente Convention ;
      • Disposer d’un recours s’il n’est pas donné suite à une demande de confirmation ou, le cas échéant, de communication, de rectification ou d’effacement, visée aux paragraphes b et c du présent article.

§4 : La Convention européenne des droits de l’homme

A) Le silence du texte

La Convention de sauvegarde des droits de l’homme et des libertés fondamentales ne comporte aucune stipulation relative à la protection des données à caractère personnel.

Ce silence du texte n’a, toutefois, pas empêché la Cour européenne des droits de l’homme de veiller à garantir aux ressortissants des États membres une protection à l’égard des traitements automatisés de données à caractère personnel.

Pour ce faire, elle se fonde essentielle sur l’article 8 de la Convention relatif au respect de la vie privée et familiale

Aux termes de cette disposition « toute personne a droit au respect de sa vie privée et familiale, de son domicile et de sa correspondance »

Dans un arrêt du 7 août 1997, la Cour européenne des droits de l’homme a affirmé que « la protection des données à caractère personnel […] revêt une importance fondamentale pour l’exercice du droit au respect de la vie privée et familiale garanti par l’article 8 de la Convention » (CEDH, 27 août 1997, aff. 20837/92,  M. S. c/ Suède)

Encore, dans un arrêt du 4 décembre 2008, elle a précisé que « la protection des données à caractère personnel joue un rôle fondamental pour l’exercice du droit au respect de la vie privée et familiale consacré par l’article 8. La législation interne doit donc ménager des garanties appropriées pour empêcher toute utilisation de données à caractère personnel qui ne serait pas conforme aux garanties prévues dans cet article (…). La nécessité de disposer de telles garanties se fait d’autant plus sentir lorsqu’il s’agit de protéger les données à caractère personnel soumises à un traitement automatique, en particulier lorsque ces données sont utilisées à des fins policières. Le droit interne doit notamment assurer que ces données soient pertinentes et non excessives par rapport aux finalités pour lesquelles elles sont enregistrées, et qu’elles soient conservées sous une forme permettant l’identification des personnes concernées pendant une durée n’excédant pas celle nécessaire aux finalités pour lesquelles elles sont enregistrées (…). [Il] doit aussi contenir des garanties de nature à protéger efficacement les données à caractère personnel enregistrées contre les usages impropres et abusifs (…) » (CEDH, 4 déc. 1997, aff. 30562/04 S. et Marper c/ Royaume-Uni).

B) La jurisprudence

Aff. Klass et autres c. Allemagne – 6 septembre 1978

  • Les faits
    • Dans cette affaire, les requérants, cinq avocats allemands, dénonçaient en particulier la législation allemande qui permettait aux autorités de surveiller leur correspondance et leurs communications téléphoniques sans qu’elles aient l’obligation de les informer ultérieurement des mesures prises contre eux.
  • Décision
    • La Cour a conclu à la non-violation de l’article 8 de la Convention, jugeant que le législateur allemand était fondé à considérer l’ingérence résultant de la législation litigieuse dans l’exercice du droit consacré par l’article 8 § 1 comme nécessaire, dans une société démocratique, à la sécurité nationale, la défense de l’ordre et la prévention des infractions pénales (article 8 § 2).
    • La Cour a observé en particulier que le pouvoir de surveiller en secret les citoyens, caractéristique de l’État policier, n’était tolérable d’après la Convention que dans la mesure strictement nécessaire à la sauvegarde des institutions démocratiques.
    • Constatant toutefois que les sociétés démocratiques se trouvent menacées de nos jours par des formes très complexes d’espionnage et par le terrorisme, de sorte que l’État doit être capable, pour combattre efficacement ces menaces, de surveiller en secret les éléments subversifs opérant sur son territoire, elle a estimé que l’existence de dispositions législatives accordant des pouvoirs de surveillance secrète de la correspondance, des envois postaux et des télécommunications était, devant une situation exceptionnelle, nécessaire dans une société démocratique à la sécurité nationale et/ou à la défense de l’ordre et à la prévention des infractions pénales.

Aff. Rotaru c. Roumanie – 4 mai 2000

  • Faits
    • Le requérant se plaignait de l’impossibilité de réfuter les données, selon lui contraires à la réalité, détenues dans un dossier à son sujet par le Service roumain des renseignements (SRI).
    • L’intéressé avait été condamné en 1948 à une peine d’emprisonnement d’un an pour avoir exprimé des opinions critiques à l’égard du régime communiste.
  • Décision
    • La Cour a conclu à la violation de l’article 8 de la Convention, jugeant que la détention et l’utilisation par le SRI d’informations sur la vie privée du requérant n’étaient pas prévues par la loi.
    • La Cour a observé en particulier que des données de nature publique peuvent relever de la vie privée lorsqu’elles sont, d’une manière systématique, recueillies et mémorisées dans des fichiers tenus par les pouvoirs publics.
    • Cela vaut davantage encore lorsque ces données concernent le passé lointain d’une personne.
    • Elle a ensuite relevé qu’aucune disposition de droit interne ne définissait ni le genre d’informations pouvant être consignées, ni les catégories de personnes susceptibles de faire l’objet des mesures de surveillance telles que la collecte et la conservation de données, ni les circonstances dans lesquelles pouvaient être prises ces mesures, ni la procédure à suivre.
    • De même, la loi ne fixait pas de limites quant à l’ancienneté des informations détenues et la durée de leur conservation. Enfin, il n’existait aucune disposition explicite et détaillée de droit interne sur les personnes autorisées à consulter les dossiers, la nature de ces derniers, la procédure à suivre et l’usage qui pouvait être donné aux informations ainsi obtenues.
    • Dès lors, la Cour la Cour a estimé que le droit roumain n’indiquait pas avec assez de clarté l’étendue et les modalités d’exercice du pouvoir d’appréciation des autorités dans le domaine considéré.
    • La Cour a également conclu dans cette affaire à la violation de l’article 13 (droit à un recours effectif) de la Convention, en raison de l’impossibilité pour le requérant de contester sa détention ou de réfuter la véracité des renseignements en question.

Aff. Gaskin c. Royaume-Uni – 7 juillet 1989

  • Faits
    • Le requérant, pris en charge par les services sociaux pendant son enfance, chercha à connaître son passé à sa majorité pour surmonter ses problèmes personnels.
    • L’accès à son dossier lui fut refusé au motif qu’il contenait des informations confidentielles.
  • Décision
    • La Cour a conclu à la violation de l’article 8 de la Convention, jugeant que les procédures suivies n’avaient pas assuré à la vie privée et familiale du requérant le respect voulu par cet article.
    • Elle a observé en particulier que les personnes se trouvant dans la situation du requérant ont un intérêt primordial, protégé par la Convention, à recevoir les renseignements nécessaires pour connaître et comprendre leur enfance et leurs années de formation.
    • Cependant, le caractère confidentiel des dossiers officiels revêt de l’importance si l’on souhaite recueillir des informations objectives et dignes de foi et peut être nécessaire pour préserver des tiers.
    • Sous ce dernier aspect, un système subordonnant l’accès aux dossiers à l’acceptation des informateurs, comme alors au Royaume-Uni, peut en principe être tenu pour compatible avec l’article 8, eu égard à la marge d’appréciation de l’État.
    • La Cour a toutefois estimé qu’un tel système doit sauvegarder, quand un informateur n’est pas disponible ou refuse abusivement son accord, les intérêts de quiconque cherche à consulter des pièces relatives à sa vie privée et familiale et qu’il ne cadre avec le principe de proportionnalité que s’il charge un organe indépendant, au cas où un informateur ne répond pas ou ne donne pas son consentement, de prendre la décision finale sur l’accès.
    • Or, il n’en allait pas ainsi en l’espèce.

Aff. Perry c. Royaume-Uni – 17 juillet 2003

  • Faits
    • Le requérant fut arrêté après qu’eut été commise une série de vols à main armée sur la personne de chauffeurs de taxi, puis relâché en attendant que se tienne une séance d’identification.
    • Comme il ne s’était pas présenté à la séance prévue ni à plusieurs autres séances ultérieures, la police sollicita l’autorisation de le filmer en secret avec une caméra vidéo. Le requérant se plaignait que la police l’avait filmé en secret en vue de l’identifier puis avait utilisé le film vidéo dans le cadre des poursuites dirigées contre lui.
  • Décision
    • La Cour a conclu à la violation de l’article 8 de la Convention.
    • Elle a relevé que rien n’indiquait que le requérant s’attendait à ce qu’on le filme au poste de police à des fins d’identification au moyen d’un enregistrement vidéo ni à ce que le film soit éventuellement utilisé comme preuve à charge lors de son procès.
    • Le stratagème adopté par la police avait outrepassé l’utilisation normale de ce type de caméra et constitué une ingérence dans l’exercice par le requérant de son droit au respect de sa vie privée.
    • Cette ingérence n’était par ailleurs pas prévue par la loi, la police n’ayant pas respecté les procédures énoncées par le code applicable : elle n’avait pas obtenu le consentement du requérant, ne l’avait pas averti de l’enregistrement vidéo et, de surcroît, ne l’avait pas informé de ses droits à cet égard.

Aff. Z. c. Finlande – 25 février 1997

  • Faits
    • Cette affaire concernait la révélation de la séroposivité de la requérante au cours d’une procédure pénale dirigée contre son mari.
  • Décision
    • La Cour a conclu à la violation de l’article 8 de la Convention, jugeant que la divulgation de l’identité et de la séropositivité de la requérante dans le texte de l’arrêt de la cour d’appel communiqué à la presse ne se justifiait pas par quelque motif impérieux que ce soit et que la publication de ces informations avait dès lors porté atteinte au droit au respect de la vie privée et familiale de la requérante.
    • La Cour a observé en particulier que le respect du caractère confidentiel des informations sur la santé constitue un principe essentiel du système juridique de toutes les Parties contractantes à la Convention et est capital non seulement pour protéger la vie privée des malades mais également pour préserver leur confiance dans le corps médical et les services de santé en général.
    • La législation interne doit donc ménager des garanties appropriées pour empêcher toute communication ou divulgation de données à caractère personnel relatives à la santé qui ne serait pas conforme aux garanties prévues à l’article 8 de la Convention.

Section 2 : Le droit de l’Union européenne

§1 : La directive du 24 octobre 1995

A) La genèse de la directive

Par l’adoption de directive 95/46 CE du 24 octobre 1995, l’Union européenne s’est, pour la première fois, dotée d’un cadre commun de protection des personnes physiques à l’égard des traitements de données à caractère personnel.

Compétence matérielle

Il peut être observé que, lors des travaux législatifs, la question de la compétence de la Communauté européenne pour légiférer dans cette matière s’est posée, la protection des libertés et de la vie privée étant exclue de son champ de compétence.

Néanmoins, la Commission des Communautés européennes a considéré qu’il s’agissait principalement d’établir la libre circulation des données à caractère personnel, considérées comme des marchandises, ce qui explique que la directive 95/46 CE soit une directive « marché intérieur ».

Sa négociation fut longue et difficile, s’agissant d’un problème de liberté opposant des cultures différentes.

Socle de protection minimum

Le Conseil d’État s’est prononcé en assemblée générale par un avis du 10 juin 1999 invitant le Gouvernement à veiller à ce que la directive « ne contienne pas de dispositions qui conduiraient à priver des principes de valeur constitutionnelle de la protection que leur accorde la loi du 6 janvier 1978 actuellement en vigueur » afin de prévenir « tout risque d’inconstitutionnalité de la future loi assurant la transposition de cette directive » et énumérant certaines dispositions du projet susceptibles de conduire à une régression du niveau de protection.

En outre, le Parlement a adopté des résolutions sur ce projet en application de l’article 88-4 de la Constitution issu de la révision du 25 juin 1992.

L’Assemblée nationale a estimé dans une résolution du 25 juin 1993 que l’intervention de la Communauté européenne ne devait pas nuire au haut degré de protection dont devaient bénéficier les personnes, ni assimiler ces données à de simples marchandises.

Elle craignait également que les options très larges laissées aux États membres pour la transposition ne garantissent pas l’homogénéité de cette protection dans la Communauté européenne.

Elle demandait donc au Gouvernement :

  • D’une part, de subordonner son accord au maintien intégral du niveau de protection assuré par la loi du 6 janvier 1978
  • D’autre part, de prévenir le risque de divergences dangereuses au moment de la transposition de la directive par les États membres
  • Enfin, de garantir aux États membres le pouvoir d’interdire le transfert de données à caractère personnel vers des pays tiers n’assurant pas un niveau de protection adéquat, au besoin par l’instauration d’une procédure d’urgence.

Le Sénat a adopté une résolution le 7 juin 1994, par laquelle il observait que la référence à des articles du Traité de nature économique, appliquée en l’espèce au domaine des libertés publiques conduisait à une interprétation extensive des compétences de la Communauté, mais que cette intervention était justifiée. Il appelait en outre à une harmonisation préalable de leur législation par les États membres.

Ces recommandations ont été suivies dans une large mesure.

B) Le contenu de la directive

Champ d’application

Tout d’abord, la directive ne s’applique qu’aux traitements relevant du champ de compétences de l’Union européenne, c’est-à-dire qu’elle exclut notamment les « traitements de souveraineté » (défense, sécurité publique, sûreté de l’État, droit pénal).

En revanche, son champ d’application est élargi puisqu’elle s’étend non seulement aux traitements automatisés, mais aussi aux fichiers manuels à l’expiration d’un délai de 12 ans à compter de son adoption, c’est-à-dire en octobre 2007.

Par ailleurs, elle couvre les sons et les images à l’exclusion des traitements de vidéosurveillance mis en œuvre à des fins de sécurité publique.

Méthodologie

Selon l’article 189 du traité instituant la Communauté européenne, « la directive lie tout État membre quant aux résultats à atteindre, tout en laissant aux instances nationales la compétence quant à la forme et aux moyens ».

De surcroît, les directives de l’Union imposent généralement aux États la mise en œuvre de leurs dispositions dans des délais qu’elles déterminent : en l’espèce, l’article 32 de la directive 95/46 impliquait que « les États membres mettent en vigueur les dispositions législatives, réglementaires et administratives nécessaires pour se conformer à la présente directive au plus tard à l’issue d’une période de trois ans à compter de son adoption », soit le 24 octobre 1998.

Sans doute, la loi du 6 janvier 1978 constitue-t-elle, en quelque sorte, une « transposition anticipée » de la directive, puisque nombre de ses dispositions répondent aux exigences communautaires.

Toutefois, au-delà de principes communs, tels que la loyauté de la collecte des données, la protection des données dites sensibles, le principe de finalité des traitements ou le droit d’information, de rectification ou d’opposition des personnes, ainsi que la nécessité de l’existence d’une autorité de contrôle indépendante, des différences substantielles subsistent entre la loi du 6 janvier 1978 et la directive 95/46 qui requièrent, en conséquence, une modification de notre législation.

On remarquera, notamment, que la directive du 24 octobre 1995 retient une démarche particulière, en quatre étapes :

Elle s’attache à définir :

  • En premier lieu, les conditions générales de licéité des traitements
  • En deuxième lieu, les droits fondamentaux des personnes concernées
  • En troisième lieu, les restrictions qu’il est possible de leur apporter
  • En quatrième lieu, les procédures et les recours destinés à assurer la régularité des traitements de données à caractère personnel.

Cette organisation tient à la primauté accordée par la directive aux principes de fond sur les dispositions de forme, les États membres possédant davantage de marge de manœuvre pour transposer les secondes que les premières.

Or, tel n’est pas le choix fait par le législateur français qui a établi une distinction essentielle fondée sur la nature juridique du destinataire du traitement, dont il déduit la procédure et les règles de forme applicables.

L’égalité de principe entre secteurs public et privé

Alors que la loi du 6 janvier 1978 retient un critère organique, la directive retient un critère matériel et soumet les traitements similaires de responsables publics et privés à une même procédure.

Ainsi, les traitements de données à caractère personnel, qu’ils soient privés ou publics, ne sont plus désormais soumis qu’à une obligation de déclaration préalable auprès de l’autorité de contrôle.

La distinction entre les régimes de la déclaration et de l’autorisation, qui subsiste, est donc désormais indépendante de la qualité du responsable.

On retrouve un tel précédent dans la loi informatique et libertés en matière de traitement de recherche dans le domaine de la santé et d’évaluation des pratiques de soins.

L’assimilation des deux secteurs ne sera néanmoins pas totale, puisque les traitements de souveraineté ne sont pas concernés par les dispositions de la directive, celle-ci ne s’appliquant qu’aux traitements relevant du champ de compétence de l’Union européenne.

Le renforcement du contrôle a posteriori

L’article 20 de la directive indique que les États membres doivent préciser les traitements « susceptibles de présenter des risques particuliers au regard des droits et des libertés des personnes concernées et veillent à ce que ces traitements soient examinés avant leur mise en œuvre ».

À l’inverse, ceux qui « ne sont pas susceptibles de porter atteinte aux droits et libertés des personnes concernées » peuvent ne donner lieu qu’à une déclaration simplifiée ou même être exonérés de toute formalité.

Parallèlement à cette limitation des contrôles a priori, la directive invite à un recentrage des missions de la CNIL en direction du contrôle a posteriori.

L’article 28 de la directive relatif aux prérogatives de l’autorité de contrôle précise donc qu’elle doit disposer en particulier de pouvoirs d’investigations ou d’accès aux données ainsi que de pouvoirs « effectifs d’intervention » lui permettant le cas échéant d’ordonner le verrouillage, l’effacement ou la destruction des données.

Si la loi du 6 janvier 1978 comporte déjà des dispositions relatives aux pouvoirs de contrôle a posteriori de la CNIL (article 21), l’insuffisance des moyens de la CNIL et la relative indifférence des parquets et tribunaux face à une matière nouvelle et technique ont, dans les faits, largement relativisé sa portée.

La reconnaissance de l’importance des flux internationaux de données à caractère personnel

Si la loi du 6 janvier 1978 évoque déjà la question de la circulation des données, elle ne distingue pas entre les transferts vers d’autres États membres de la Communauté européenne et ceux intervenant vers des États tiers.

Or, la mondialisation de la circulation des données a été démultipliée par l’apparition des nouvelles technologies de l’information et de la communication.

Dès son article premier, la directive affirme donc le principe de la libre circulation des données au sein des États membres de l’Union européenne.

En revanche, ne sont possibles les transferts vers des pays tiers que si ceux-ci assurent un niveau de protection adéquat. La directive prévoit des mécanismes communautaires permettant de l’évaluer (articles 25 et 26), ainsi que leur articulation avec les modalités d’intervention en la matière de l’autorité nationale de contrôle.

§2 : Le Règlement Général sur la Protection des Données (RGPD)

La directive 95/46/CE qui constitue l’instrument législatif central de la protection des données à caractère personnel en Europe, a posé un jalon dans l’histoire de la protection des données.

Ses objectifs, qui consistent à assurer le fonctionnement du marché unique et la protection effective des libertés et des droits fondamentaux des personnes physiques, demeurent d’actualité.

Mais elle a été adoptée il y a plus de 20 ans, soit à une époque où internet n’en était qu’à ses premiers balbutiements.

L’environnement numérique actuel et ses exigences font que les règles en vigueur ne présentent ni le degré d’harmonisation requis ni l’efficacité nécessaire pour garantir le droit à la protection des données à caractère personnel.

C’est dans ce contexte que la Commission européenne a proposé, le 25 janvier 2012, un règlement destiné à remplacer la directive 95/46/CE et qui instaure un cadre général de l’UE pour la protection des données.

La proposition de règlement modernise les principes de la directive de 1995 en les adaptant à l’ère numérique et en harmonisant la législation sur la protection des données en Europe.

La protection des données doit faire l’objet de règles strictes pour rétablir la confiance des personnes dans la manière dont leurs données à caractère personnel sont utilisées.

La proposition de règlement vise à renforcer les droits des personnes et le marché intérieur de l’UE, garantir un contrôle accru de l’application de la réglementation, simplifier les transferts internationaux de données à caractère personnel et instaurer des normes mondiales en matière de protection des données.

À l’issue de longues négociations, le Parlement européen et le Conseil ont adopté le « paquet protection des données » le 27 avril 2016, fruit d’un compromis entre les États membres de l’Union européenne.

Ce paquet se compose :

  • D’un règlement relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (règlement (UE) 2016/679)
    • Applicable notamment à la matière civile et commerciale, il constitue le cadre général de la protection des données.
    • Ce règlement abroge la directive 95/46/CE transposée par la loi n° 2004-801 du 6 août 2004 qui avait modifié la loi n° 78-17 du 6 janvier 1978. Il conforte les droits des personnes physiques sur leurs données à caractère personnel déjà garantis dans la loi n° 78-17 du 6 janvier 1978.
    • Il renforce ainsi notamment le droit d’information des personnes, qui disposeront d’informations plus complètes et claires sur le traitement de leurs données, et en crée de nouveaux : droit à l’effacement ou « droit à l’oubli », droit à la portabilité des données.
    • En outre, le règlement uniformise et simplifie les règles auxquelles les organismes traitant des données sont soumis tout en renforçant les garanties offertes par la loi n° 78-17 du 6 janvier 1978.
    • Il prévoit en particulier la réduction des formalités préalables pour la mise en œuvre des traitements comportant le moins de risques, avec le passage d’un système de contrôle ex ante de la Commission nationale de l’informatique et des libertés par le biais des déclarations et autorisations à un contrôle ex post plus adapté aux évolutions technologiques.
    • Ce règlement est applicable à compter du 25 mai 2018.
  • D’une directive relative aux traitements mis en œuvre à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales (directive (UE) 2016/680)
    • La directive s’applique aux traitements de données à caractère personnel mis en œuvre par une autorité compétente à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution des sanctions pénales, y compris la protection contre les menaces pour la sécurité publique et la prévention de telles menaces.
    • La directive n’est pas applicable dès lors que le traitement de données est mis en œuvre pour d’autres finalités ou par une autorité qui n’est pas compétente. La directive n’est pas non plus applicable aux traitements intéressant la sûreté de l’État et la défense, qui ne relèvent pas du droit de l’Union.
    • La directive vise à faciliter le libre flux des données à caractère personnel entre les autorités compétentes à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales, y compris la protection contre les menaces pour la sécurité publique et la prévention de telles menaces au sein de l’Union, et le transfert de telles données vers des pays tiers et à des organisations internationales, tout en assurant un niveau élevé de protection des données à caractère personnel.
    • Certaines dispositions de la directive sont porteuses d’un changement de philosophie du droit de la protection des données ; d’autres représentent de réelles innovations qui, sans témoigner d’un réel changement de philosophie, imposent d’importantes modifications d’ordre technique.
    • Cette directive doit être transposée d’ici le 6 mai 2018.

L’articulation entre la directive et le règlement est précisée par le considérant 12 de la directive.

Celui-ci indique notamment que relèvent de la directive les traitements concernant des « activités menées par la police ou d’autres autorités répressives [qui] sont axées principalement sur la prévention et la détection des infractions pénales et les enquêtes et les poursuites en la matière, y compris les activités de police effectuées sans savoir au préalable si un incident constitue une infraction pénale ou non».

Il précise que « ces activités peuvent également comprendre l’exercice de l’autorité par l’adoption de mesures coercitives, par exemple les activités de police lors de manifestations, de grands événements sportifs et d’émeutes », et que « parmi ces activités figure également le maintien de l’ordre public lorsque cette mission est confiée à la police ou à d’autres autorités répressives lorsque cela est nécessaire à des fins de protection contre les menaces pour la sécurité publique et pour les intérêts fondamentaux de la société protégés par la loi, et de prévention de telles menaces, qui sont susceptibles de déboucher sur une infraction pénale ».

Il indique en revanche, qu’entrent dans le champ d’application du règlement, pour autant qu’ils relèvent du droit de l’Union, les traitements par lesquels « les États membres [confient] aux autorités compétentes d’autres missions qui ne sont pas nécessairement menées à des fins de prévention et de détection des infractions pénales, d’enquêtes ou de poursuites en la matière, y compris la protection contre les menaces pour la sécurité publique et la prévention de telles menaces ».

Les nouvelles exigences posées par le législateur européen ont été transposées en droit français lors de l’adoption de la loi n° 2018-493 du 20 juin 2018 relative à la protection des données personnelles.

Section 3 : Le droit interne

§1 : La loi du 6 janvier 1978

Les premiers travaux ayant trait au développement de l’informatique dans les administrations virent le jour, en fait, à la fin des années 1960, tant en Europe que sur le continent américain : ils mettent en évidence les risques que font peser ces nouvelles pratiques sur les libertés publiques.

En France, le Conseil d’État adressa au Gouvernement, dès 1971, une série de recommandations visant à encadrer l’usage des données personnelles. Mais la prise de conscience des enjeux liés à cette question intervint en 1974, face à un projet gouvernemental connu sous le nom de « Système automatisé des fichiers administratifs et du répertoire des individus » (SAFARI), qui prévoyait une interconnexion des fichiers publics à partir d’un identifiant unique, le numéro de sécurité sociale.

Ce dispositif suscita alors de fortes réactions, résumées, le 21 mars, par le journal Le Monde, sous le titre suivant : « Safari ou la chasse aux Français ». Ce débat a débouché sur le « rapport Tricot », issu des travaux d’une commission mise en place par le Premier ministre pour proposer des mesures tendant à garantir que le développement de l’informatique se réalise dans le respect de la vie privée et des libertés, puis sur la loi n°78-17 du 6 janvier 1978, relative à l’informatique, aux fichiers et aux libertés.

Ce texte, communément appelé « loi Informatique et libertés », fut l’un des premiers au monde à encadrer l’usage des données à caractère personnel ; il a d’ailleurs inspiré, dans une large mesure, les instruments internationaux intervenus depuis lors, y compris la directive du 24 octobre 1995 que le présent projet de loi tend à transposer en droit français.

Il se présente comme un corpus de normes destinées à assurer la défense des libertés individuelles et publiques des personnes physiques face aux technologies informationnelles.

De fait, c’est bien sur ce terrain que le législateur s’est placé en affirmant, d’emblée, dès l’article 1er, que : « L’informatique doit être au service de chaque citoyen. (…) Elle ne doit porter atteinte ni à l’identité humaine, ni aux droits de l’homme, ni à la vie privée, ni aux libertés individuelles ou publiques ».

La loi du 6 janvier 1978 réglemente la collecte et l’utilisation des informations dites « nominatives », qui permettent, aux termes de son article 4, d’identifier, directement ou indirectement, des personnes physiques. Elle s’applique à deux types de procédés :

  • Le traitement automatisé desdites informations, quel que soit le support ou la technique utilisée, qui est défini, à l’article 5, comme : « tout ensemble d’opérations réalisées par les moyens automatiques, relatif à la collecte, l’enregistrement, l’élaboration, la modification, la conservation et la destruction d’informations nominatives ainsi que tout ensemble d’opérations de même nature se rapportant à l’exploitation de fichiers ou bases de données et notamment les interconnexions ou rapprochements, consultations ou communications d’informations nominatives».
  • Les fichiers manuels ou mécanographiques, qui n’étaient pourtant pas visés par le texte initial du Gouvernement : la loi ne fait d’ailleurs référence qu’à « l’informatique », tant à l’article 1er (« L’informatique doit être au service de chaque citoyen ») que dans le titre de l’institution de contrôle qu’elle crée par ailleurs (« Commission nationale de l’informatique et des libertés »). Cette extension a été réalisée à l’initiative du Parlement, qui a modifié, en conséquence, l’intitulé de la loi (« relative à l’informatique, aux fichiers et aux libertés »). Toutefois, ces fichiers ne sont soumis qu’à une partie des règles applicables aux traitements automatisés (notamment les dispositions relatives à la collecte, l’enregistrement et la conservation des informations, ainsi que le droit d’accès ou d’opposition), à l’exclusion de certaines obligations telles que les formalités de déclaration préalable auprès de la CNIL.

§2 : La loi du 6 août 2004

La loi n° 2004-801 du 6 août 2004 relative à la protection des personnes physiques à l’égard des traitements de données à caractère personnel, qui modifie la loi du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, a pour objet d’assurer la transposition de la directive européenne du 24 octobre 1995 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données.

Au-delà de cette transposition, il vise à adapter le droit des fichiers informatiques aux progrès technologiques et aux réalités contemporaines, dans le respect des principes fondamentaux posés par la loi du 6 janvier 1978.

Les principales dispositions du projet de loi peuvent être résumées autour de quatre axes :

  • Le renforcement des droits fondamentaux des personnes dès lors que des données, de quelque nature qu’elles soient (informations nominatives, voix, image, empreintes génétiques …), font l’objet d’un fichier, sous forme d’un traitement automatisé ou non, ainsi que le renforcement des obligations pesant sur les responsables de ces traitements. En particulier, le caractère discrétionnaire du droit d’opposition des personnes intéressées à l’encontre de la mise en œuvre de tels traitements à des fins de prospection, notamment commerciale, est reconnu
  • La consécration de la Commission nationale de l’informatique et des libertés (CNIL), dont la composition est, à une exception près, inchangée, comme l’autorité administrative indépendante chargée du contrôle de la mise en œuvre de la loi. La commission voit ses pouvoirs substantiellement développés ; elle sera, en particulier, dotée de pouvoirs d’investigation, d’injonction et de sanction administrative qui lui permettront d’exercer un contrôle a posteriori sur les traitements de données
  • La rationalisation des formalités préalables exigées pour la création d’un traitement automatisé de données à caractère personnel : le projet de loi ne distingue plus le régime administratif applicable selon la nature publique ou privée du responsable du traitement. Le régime de droit commun sera celui de la déclaration, qui sera simplifiée pour les modèles de traitement les plus courants. Mais toutes les catégories de traitement dont les finalités ou le contenu présentent des risques particuliers au regard des droits des personnes seront soumises à l’autorisation de la CNIL.
  • Les traitements publics, dits de souveraineté, intéressant la sûreté de l’État, la défense et la sécurité publique, ou les traitements publics utilisant le numéro d’inscription des personnes au répertoire national d’identification des personnes physiques, continuent à faire l’objet d’une autorisation par un décret ou par un arrêté pris après avis de la CNIL

§3 : La loi du 20 juin 2018

La loi n° 2018-493 du 20 juin 2018 relative à la protection des données personnelles vise à transposer le « paquet européen de protection des données » adopté par le Parlement européen et le Conseil le 27 avril 2016.

Pour mémoire, ce mémoire se compose :

  • d’un règlement (UE) 2016/679 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel. Applicable notamment à la matière civile et commerciale, il constitue le cadre général de la protection des données. Les obligations prévues par le règlement seront également applicables aux opérateurs installés hors de l’Union européenne et offrant des biens et services aux Européens. Ce règlement est applicable à compter du 25 mai 2018 ;
  • d’une directive (UE) 2016/680 relative aux traitements mis en œuvre à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales. Cette directive doit être transposée d’ici le 6 mai 2018.

Afin d’assurer la transposition de ces deux textes, le Gouvernement français a fait le choix symbolique de ne pas abroger la loi fondatrice du 6 janvier 1978.

Certes, l’adaptation du droit national au règlement et la transposition de la directive exigent de remanier plusieurs articles de cette loi, mais les principes fondateurs dégagés par le législateur il y a près de quarante ans demeurent toujours valables.

À cet égard, la loi du 20 juin 2018 retranscrit les dispositions du règlement qui conforte les droits des personnes physiques sur leurs données à caractère personnel déjà garantis dans la loi du 6 janvier 1978 (notamment le droit d’information des personnes), et en crée de nouveaux comme le droit à l’effacement ou « droit à l’oubli » et le droit à la portabilité des données.

En outre, le règlement uniformise et simplifie les règles auxquelles les organismes traitant des données sont soumis tout en renforçant les garanties offertes par la loi de 1978.

Il prévoit en particulier la réduction des formalités préalables pour la mise en œuvre des traitements comportant le moins de risques, avec le passage d’un système de contrôle a priori de la CNIL, par le biais des déclarations et autorisations, à un contrôle a posteriori plus adapté aux évolutions technologiques.

En contrepartie, la CNIL voit ses pouvoirs de contrôle et de sanctions renforcés avec la possibilité d’infliger des amendes pouvant aller jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires mondial de l’organisme concerné.

(0)

I) La genèse

==> Noli me tangere

 Si, comme l’a écrit Nietzche, « notre époque se nourrit et vit des moralités du passé », depuis le début du XXe siècle les défenseurs du principe de laïcité n’ont eu de cesse de combattre ces moralités, afin qu’il soit procédé, comme l’a suggéré Georges Ripert, à « l’élimination complète de la force religieuse dans la création du droit »[1].

Il est, pourtant, une partie de cette force créatrice qui n’a pas succombé ; il s’agit de ce par quoi est maintenue la personne humaine au sommet de la pyramide des valeurs. Sans que les juristes y prêtent, pour la plupart, grande attention, le caractère sacré de la personne, est directement issu de la Genèse.

L’homme y est décrit comme une créature suprême, façonnée à l’image de Dieu. Ainsi, le vieil adage juridique Noli me tangere (ne me touche pas) est-il directement tiré de l’Evangile selon Saint Jean[2], le Christ exhortant Marie-Madelaine de ne pas le toucher afin que la croyance en sa résurrection relève de l’ordre de sa seule foi.

Cependant, comme le souligne Bernard Beigner, à la différence de l’interprétation faite par les théologiens, les juristes ont interprété ces paroles « d’une manière aussi libre et aussi peu théologique que l’adage tiré de saint Luc : « Les lis ne filent pas » pour justifier le principe de double masculinité dans la succession royale au trône de France »[3].

C’est la raison pour laquelle noli me tangere a perdu toute signification évangélique et, après avoir servi de fondement au droit romain[4], est désormais repris par notre droit pour justifier la primauté de la personne humaine sur toute autre considération[5].

En outre, en plus de cette erreur d’interprétation, les juristes se sont livrés à un amalgame, en assimilant, durant des siècles, la personne au corps humain[6], si bien que seul l’être charnel bénéficiait d’une protection juridique.

Il a fallu attendre la fin du XIXe siècle pour que « l’éminente dignité humaine en réfère aussi bien à l’animus qu’au corpus »[7]. C’est précisément à cette époque que certaines voix ont commencé à faire valoir, notamment sous l’impulsion de la doctrine germano-suisse, qu’il serait opportun de créer un droit de la personnalité soit, d’étendre la protection juridique conférée par l’adage noli me tangere, à l’être spirituel.

==> La naissance des droits de la personnalité

En France, c’est le professeur Perreau qui, le premier[8], s’est ouvertement prononcé en faveur d’une telle extension, lorsque, dans un article intitulé « Des droits de la personnalité »[9], il émet l’idée de la reconnaissance de droits – subjectifs – extrapatrimoniaux[10].

Dans un premier temps, cette position est pour le moins accueillie fraichement par la doctrine française. Roubier, par exemple, raille cette théorie de faire état de « droits fantômes conçus par des imaginations déréglées »[11]. Nombreux sont, cependant, les auteurs qui, dans un second temps, se sont ravisés, adhérant massivement à la proposition formulée par Perreau trente ans auparavant[12].

Finalement, pour reprendre une expression de Ripert, c’est la lutte « des forces sociales » qui a eu raison des querelles de juristes. Cette lutte s’est manifestée dans le courant des années soixante par une pléiade de décisions jurisprudentielles qui ont ému l’opinion publique.

À cette période, est en train de naître la presse, dite à « scandale », dans laquelle les lecteurs peuvent lire les frasques des différentes célébrités qui animent la vie publique de l’époque. Peu enclines à laisser paraitre au grand jour des évènements qu’elles jugent relever de leur intimité, certaines d’entre elles décident de requérir les services de la justice afin que cessent ces atteintes dont elles font de plus en plus fréquemment l’objet[13].

Malheureusement, les juges ne disposent guère plus que de l’inusable article 1382 du Code civil pour répondre à leurs attentes. Le vide juridique qui existe en la matière, est comparable à celui que l’on rencontre dans un trou noir[14].

Aussi, le législateur décide-t-il d’intervenir afin que ce vide qui, jusqu’alors, était comblé par les rustines du droit de la responsabilité, le soit, désormais, par le droit de la personnalité.

C’est ainsi, que, par une loi du 17 juillet 1970, a été reconnu, à l’article 9 du Code civil, le droit au respect la vie privée[15].

La protection conférée par l’adage noli me tangere à l’être charnel est étendue à l’être spirituel. Au même moment, l’informatique fait une entrée fracassante dans une société en pleine mutation et met rapidement en évidence, les limites de cette nouvelle législation.

==> Le projet SAFARI

 Bien que les textes qui consacrent le droit à la vie privée soient nombreux[16], la notion de « vie privée » n’est définie par aucun d’eux. C’est pourquoi il est revenu aux juges la tâche d’en délimiter les contours. Si, au fil de leurs décisions, ces derniers ont pu affirmer que toutes les informations relatives à la vie privée sont des informations personnelles[17], ils ont également eu l’occasion de souligner que les données à caractère personnel ne relevaient pas toutes de la vie privée[18].

Force est de constater, comme le souligne Guy Braibant, que « la notion d’atteinte à la vie privée ne permet […] pas d’épuiser tous les cas de méconnaissance des droits des personnes auxquels la mise en œuvre de traitements de données à caractère personnel est susceptible de donner lieu »[19].

La question s’est alors posée de savoir si la protection conférée par le droit au respect de la vie privée, était suffisante quant à protéger l’être informationnel dans son ensemble. Une fois encore, ce sont les forces sociales qui se sont illustrées, lorsque, dans un retentissant article publié dans le journal Le Monde, le journaliste Philippe Boucher dénonce le projet SAFARI (Système Automatisé pour les fichiers administratifs et le répertoire des individus)[20].

Ce projet avait ambition de réaliser une interconnexion générale des différents fichiers administratifs à l’aide de l’identification unique de chaque français. Comme le souligne le titre de l’article, la réalisation d’un tel dispositif aurait eu pour conséquence de sonner l’ouverture de « la chasse aux français ».

Le danger qui guettait les administrés était, en somme, qu’un ordinateur central recoupe chacune de leurs données personnelles, sans qu’ils puissent invoquer un quelconque droit à la vie privée pour l’en empêcher.

Ce droit ne peut, en effet, être exercé que s’il est porté atteinte au libre choix d’une personne de ne pas divulguer une information la concernant. Or tel n’est pas ce que prévoit le projet SAFARI. Celui-ci vise, non pas à permettre une immixtion de l’administration dans l’intimité de ses administrés, mais seulement une interconnexion des données qui lui ont volontairement été divulguées.

Dans cette perspective, Adolphe Touffait, procureur général près la Cour de cassation déclare, à l’époque, que « la dynamique du système qui tend à la centralisation des fichiers risque de porter gravement atteinte aux libertés, et même à l’équilibre des pouvoirs politiques »[21].

II) L’autonomisation du droit des données à caractère personnel

==> La loi informatique et libertés

 En réaction au vent de panique créé par le projet SAFARI, le premier ministre décide, immédiatement, de saisir le garde des sceaux afin que soit créée, en urgence, une commission chargée de formuler des propositions « tendant à garantir que le développement de l’informatique dans les secteurs publics, semi-publics et privés, se réalisera dans le respect de la vie privée, des libertés individuelles et des libertés publiques ».

Le défi lancé à la Commission informatique et libertés est de taille. Comme le fait remarquer Bernard Tricot « il est toujours difficile de bâtir une muraille de Chine juridique sur laquelle viendront s’écraser les assauts de l’informatique ».

Par chance, les travaux réalisés par la Commission sont d’une excellente facture, ce qui permet la rédaction d’un remarquable projet de loi.

Déposé en août 1976, ce projet accouche de la loi du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés.

Par cette loi, la protection conférée par l’adage noli me tangere est étendue à l’être informationnel dans son entier.

Désormais, c’est la personne humaine réunie dans ses trois composantes qui est protégée par le droit. Comme pour remercier le remarquable travail de la Commission qui avait fort bien œuvré, elle est instituée gardienne de la loi informatique et libertés.

À l’image d’une pierre jetée dans l’eau, l’adoption de cette législation, très innovante, a pour effet immédiat de se propager partout en Europe.

Nombre d’États souhaitent, dans le sillage de la France, protéger leurs ressortissants de l’informatique, qui dorénavant est perçue comme « une dévoreuse d’identité, elle capte l’individu sous toutes ses facettes et porte au grand jour des aspects qu’il souhaiterait conserver secret »[22].

==> La propagation internationale du mouvement de protection de la vie privée

Exception faite des États-Unis qui, pour des considérations essentiellement d’ordre économique, préfèrent fermer les yeux sur les dangers qui menacent l’intimité des citoyens américains, de nombreux pays ont, dès le début des années quatre-vingts, pris des mesures concertées, afin que l’appétit de l’ogre informatique à engloutir des données, s’arrête là où commence le droit des personnes à ne pas abandonner les éléments de leur identité.

La première de ces mesures peut être portée au crédit de l’OCDE (Organisation de Coopération et de Développement Economique), qui adopte le 23 septembre 1980 des lignes directrices destinées à régir la protection de la vie privée et les flux transfrontières de données à caractères personnel.

Quatre mois plus tard, cette organisation internationale est suivie par le Conseil de l’Europe qui adopte, le 28 janvier 1981, la convention pour la protection des personnes à l’égard du traitement des données à caractère personnel[23]. On l’appelle également la convention 108. L’objectif de ce traité est de « garantir sur le territoire de chaque partie, à toute personne physique, quelles que soient sa nationalité ou sa résidence, le respect de ses droits et de ses libertés fondamentales, et notamment de sa vie privée, à l’égard du traitement automatisé de données à caractère personnel la concernant »[24].

Enfin, par une résolution n°45/95 du 14 décembre 1990, l’assemblée générale des Nations Unies[25] apporte une touche d’universalité à ces conventions, dont la portée ne dépasse guère plus les frontières de l’Europe. Pis, seule la convention 108 présente un caractère contraignant[26]. Fort légitimement, on est alors en droit de s’interroger sur l’utilité de proclamer des grands principes, s’il n’existe aucun moyen de les faire appliquer, à plus forte raison lorsqu’il s’agit de garantir des libertés.

Indépendamment de l’impact international provoqué par la loi informatique et libertés, il doit être souligné, comme l’affirme le Conseil constitutionnel dans sa décision n° 92-316 du 20 janvier 1993, que cette loi participe, avant tout, au système de protection de la liberté personnelle et individuelle[27] ce qui, sans lui conférer une valeur constitutionnelle, « l’enracine en quelque sorte dans le bloc de constitutionnalité qui la vivifie »[28].

==> Le toilettage de la loi informatique et libertés

 La loi informatique et libertés se trouve être à la croisée de nombreuses libertés fondamentales, au-delà même du droit au respect à la vie privée[29].

En témoignent les rapports étroits qu’elle entretient avec le droit bancaire, le droit de la santé, le droit de la consommation, le droit de la communication, le droit de la propriété intellectuelle, ou encore le droit social. Sont ici concernés tous les droits qui appréhendent des secteurs dans lesquels sont collectées et traitées des données à caractère personnel. L’étendue du champ d’application de la loi informatique et libertés apparaît illimitée.

C’est de là qu’est issue la très grande portée de cette loi, laquelle montre une aptitude à se saisir des situations nouvelles créées par les machines. Ces situations « s’étendent à tous les aspects de la vie publique et privée, des activités collectives et individuelles »[30].

Bien que très étendu puisse apparaître le champ d’application de la loi informatique et libertés lors de son adoption, il est, toutefois un évènement qui, assez paradoxalement, va, plus tard, le rendre trop étroit. Quel est cet évènement ? Il s’agit de la naissance de l’internet qui s’est accompagnée, nous l’avons vu, de nouvelles techniques de collectes de données à caractère personnel.

Surtout, ce qui est nouveau, c’est que, une fois collectées, les données peuvent, en quelques clics de souris, circuler d’ordinateur en ordinateur, sans compter que la menace vient désormais, moins de l’administration publique que des agents privés. Naturellement, on ne saurait reprocher au législateur de n’avoir pas anticipé ces phénomènes.

Quoi qu’il en soit, un toilettage de la loi informatique et libertés devient, rapidement, nécessaire. Contrairement, à son élaboration qui s’est faite dans un cadre national, la refonte de cette loi est impulsée par les instances communautaires, qui brandissent – de façon assez discutable – leur compétence quant à connaître de tout ce qui relève de la circulation des marchandises. Or, selon elles, les données à caractère personnel peuvent y être assimilées.

Comment, dès lors, parvenir d’une part, à une harmonisation des législations nationales et, d’autre part, à la libre circulation des données à caractère personnel, tout en garantissant un niveau élevé de protection des libertés individuelles.

 Pour le conseil d’Etat, qui se prononce en assemblée générale, dans un avis du 13 juin 1993, le texte qui va être adopté ne saurait contenir de « dispositions qui conduiraient à priver des principes de valeur constitutionnelle de la protection que leur accorde la loi du 6 janvier 1978 actuellement en vigueur »[31].

De la même manière, dans une résolution de l’assemblée nationale du 25 juin 1993, il est estimé que la Communauté européenne ne peut « justifier son intervention dans la réglementation des traitements des données à caractère personnel qu’à la condition que la réalisation de cet objectif ne nuise pas au haut degré de protection dont doivent bénéficier les personnes physiques à l’égard de ces traitements et encore moins à assimiler ces données à de simples marchandises ».

Fort heureusement, en raison de la grande considération que les instances communautaires portent à la loi informatique et libertés, les recommandations formulées par les autorités françaises, notamment par la CNIL, ont été suivies rigoureusement.

Cela s’est traduit par l’adoption d’une directive, le 24 octobre 1995, qui dispose, dans son dixième considérant, que « […] le rapprochement [des] législations ne doit pas conduire à affaiblir la protection qu’elles assurent mais doit, au contraire, avoir pour objectif de garantir un niveau élevé de protection dans la Communauté »[32]. Par ce texte communautaire est assuré « la protection des libertés et droits fondamentaux des personnes physiques, notamment de leur vie privée, à l’égard du traitement des données à caractère personnel »[33].

En France, il faut attendre près de dix ans pour que cette directive soit transposée. Elle le fut, par une loi du 6 août 2004, qui, sans remplacer la précédente du 6 juillet 1978, a simplement été intégrée à elle.

==> Le RGPD

Une proposition de règlement et une proposition de directive ont été formulées par la Commission européenne le 25 janvier 2012[34], en vue de remplacer respectivement la – déjà obsolète – directive du 24 octobre 1995 et la décision cadre 2008/977/JAI sur la protection des données dans le cadre de la coopération policière et judiciaire[35].

A cet égard, le législateur européen s’est donné pour objectif de renforcer les droits des personnes et le marché intérieur de l’UE, garantir un contrôle accru de l’application de la réglementation, simplifier les transferts internationaux de données à caractère personnel et instaurer des normes mondiales en matière de protection des données.

La France a pris une part très active dans les négociations afin de maintenir et promouvoir son modèle de protection des données qui constitue encore aujourd’hui une référence en Europe et dans le monde.

A l’issue de longues négociations, le Parlement européen et le Conseil ont adopté le « paquet protection des données » le 27 avril 2016, fruit d’un compromis entre les Etats membres de l’Union européenne.

Ce paquet se compose :

  • D’un règlement relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (règlement (UE) 2016/679).
  • D’une directive relative aux traitements mis en œuvre à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales (directive (UE) 2016/680).

Au-delà des exigences propres à la mise en conformité avec le droit européen de la protection des données à caractère personnel, le règlement prévoit plus d’une cinquantaine de marges de manœuvre qui permettent aux Etats membres de préciser certaines dispositions ou d’aller plus loin que ce que prévoit le droit européen.

Certaines de ces marges de manœuvre permettent de maintenir des dispositions déjà existantes dans notre droit national. D’autres, en revanche, peuvent être mises en œuvre afin notamment de prendre en compte l’évolution technologique et sociétale.

Le rapport annuel du Conseil d’Etat de 2014, intitulé « Le numérique et les droits fondamentaux » a souligné la nécessité de repenser la protection des droits fondamentaux afin de mettre le numérique au service des droits individuels et de l’intérêt général.

De même, le rapport d’information déposé par la Commission des lois constitutionnelles, de la législation et de l’administration générale de la République de l’Assemblée nationale a également révélé l’importance des « incidences des nouvelles normes européennes en matière de protection des données personnelles sur la législation française »

Les nouvelles exigences posées par le législateur européen ont été transposées en droit français lors de l’adoption de la loi n° 2018-493 du 20 juin 2018 relative à la protection des données personnelles.

[1] G. Ripert, Les forces créatrices du droit, LGDJ, coll. « reprint », 1998, p. 146.

[2] V. en ce sens G. Cornu, Linguistique juridique, Montchrestien, coll. « Domat », 2005, p. 356 ; H. Roland et L. Boyer, Adages du droit français, Litec, coll. « traités », 3éd., Paris, 1992, n°251, p. 533 ; B. Beignier, Droit de la personnalité, PUF, coll. « Que sais-je ? », 1992, p. 14-15.

[3] Cité in B. Beignier, op. préc., p. 15.

[4] Ulpien affirmait « dominus membrorum suorum nemo videtur » (nul n’est propriétaire de son corps), Digeste, IX-2-13, cité in B. Beignier, op. préc., p. 76.

[5] Selon R. Andorno, « le système juridique repose sur la base de la distinction radicale personnes-choses, qui est une condition sine qua non, non seulement de l’existence du système, mais du respect dû à la personne humaine » (R. Andorno, « Procréations artificielles, personnes et choses », RRJ, 1992, n°1, pp. 13 s.).

[6] J. Carbonnier, Droit civil. Introduction, Les personnes, La famille, l’enfant, le couple, PUF, coll. « Quadrige manuels », 2004, n°4, p.19.

[7] Bernard Beigner, op. préc., p. 7.

[8] Emile Beaussire par son ouvrage « les principes du droit » publié en 1888 et A. Boistel dans son cours de philosophie du droit en 1889 avaient néanmoins déjà développé la notion de droits innés au nombre desquels figurait le droit au respect de l’individualité.

[9] E.-H. Perreau, « Des droits de la personnalité », RTDCiv, 1909, pp. 501 et s.

[10] Perreaufait, par exemple, référence au dommage moral, à la protection du corps et de l’esprit, à l’honneur ou encore au « droit à la liberté ».

[11] P. Roubier, préface in R. Nerson, Les droits extrapatrimoniaux, LGDJ, 1939.

[12] Sans doute est-ce là le résultat de l’influence de Jean Dabin, qui avance dans son ouvrage relatif aux droits subjectifs, que ces deniers incluent, tant les intérêts juridiquement protégés, que les « droits de liberté ». Dans le droit fil de cette idée Roger Nerson, élève de Roubier, écrit plus tard dans sa thèse qu’« un droit extrapatrimonial est un droit dont la fin est de satisfaire un besoin non économique : besoin souvent moral, parfois d’ordre matériel » (R. Nerson, op. préc., p. 6).

[13] V. en ce sens notamment, Aff. Marlène Dietrich, CA Paris, 16 mars 1955, D. 1955, p. 295 ; Aff. Picasso, CA Paris, 6 juill. 1965, Gaz. Pal. 1966, 1, p. 39 ; Aff. Trintignant, CA Paris, 17 mars 1966, D. 1966, p. 749; Aff. Bardot, TGI Seine, 24 nov. 1965, JCP G 1966, II, 14521, puis CA Paris, 27 févr. 1967 : D. 1967, p. 450, note Foulon-Piganiol.

[14] R. Badinter, « Le droit au respect de la vie privée », JCP G, 1968, I, 2136, n° 12.

[15] Article 9 de la loi n°70-643 du 17 juillet 1970 : « chacun a droit au respect de sa vie privée ».

[16] On peut citer l’article 8 de la Convention européenne de sauvegarde des droits de l’homme, l’article 7 de la Chartes des droits fondamentaux de l’Union Européenne ou encore l’article 1er de la Directive Directive 2002/58/CE du Parlement européen et du Conseil du 12 juillet 2002 concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques JO 31 juillet 2002, L. 201, pp. 37-47.

[17] Comme le souligne Emmanuel Derieux « à défaut d’une définition légale précise de la vie privée […], c’est dans la jurisprudence, tant antérieure que postérieure à la loi de 1970 que l’on doit chercher la signification ou l’interprétation de cette notion. […] On considère généralement – encore que cela puisse varier selon les circonstances et l’identité des individus concernés – que relèvent de la vie privée d’une personne : sa vie sentimentale ; ses relations amicales ; sa situation de famille ; ses ressources et moyens d’existence ; ses loisirs […] ; sens opinions politiques ; son appartenance syndicale ou religieuse ; son état de santé ; le mode d’éducation choisi pour ses enfants ; son adresse […] » (E. Derieux, Droit des médias. Droit français, européen et international, LGDL, coll. « Manuel », 2008, n°1803-1804, p. 583).

[18] On pense notamment aux données relatives au patrimoine, à la confession ou encore à la profession.

[19] G. Braibant, Rapport Données personnelles et société de l’information. Transposition en droit français de la directive numéro 95/46, La documentation française, coll. « rapports officiels », 1998, p. 7. V. également sur la notion d’atteinte à la vie privée, B. Beignier, « Vie privée et vie publique », Légipresse, sep. 1995, n°124, pp. 67-74 ; O. d’Antin et L. Brossollet, « Le domaine de la vie privée et sa délimitation jurisprudentielle » Légicom, octobre 1999, n° 20, pp. 9-19 ; J. Curto, « La fin justifie-t-elle les moyens ? De la notion de vie privée et de la preuve déloyale » Revue Lamy Droit Civil, avr. 2012, n°92, pp. 55-56.

[20] Ph. Boucher, « Safari ou la chasse aux Français », Le Monde, 21 mars 1974.

[21] A. Touffait, Discours du 9 avril 1973 devant l’Académie des Sciences morales et politiques, cité in Ph. Boucher, art. préc.

[22] D. Pousson, « L’identité informatisée », in L’identité de la personne humaine. Étude de droit français et de droit comparé, Bruylant, Bruxelles, 2002, p. 373.

[23] Cette convention a été complétée par un amendement adopté le 15 juin 1999, lequel prévoit l’ouverture à la signature de l’Union européenne et par un protocole additionnel relatif aux autorités de contrôle des flux transfrontières de données à caractère personnel.

[24] Article 1er de la convention 108, publiée par le décret n°85-1203 du 15 novembre 1985, JO 20 nov., p. 13436

[25] Résolution 45/95 du 14 décembre 1990 adoptée par l’assemblée générale des Nations Unies relative aux principes directeurs pour la règlementation des fichiers personnels informatisés.

[26] La convention 108 prend directement sa source dans la Convention de sauvegarde des droits de l’homme et des libertés fondamentales laquelle est d’application directe. L’arrêt du Conseil d’État du 18 novembre 1992 semble aller en ce sens (CE, 18 nov. 1992, Licra, AJDA 1993, n°3, p. 213, note Letterson).

[27] Décision n° 92-316 DC du 20 janvier 1993, JORF n°18 du 22 janvier 1993 p. 1118.

[28] A. Lucas, J. Devèze, J. Frayssinet, op. cit. note n°100, n°41, p. 28.

[29] Ibid.

[30] P. Laroque, « Informatique et libertés publiques », in Techniques de l’Ingénieur, Fascicules H 8770, éd. Techniques, 1970.

[31] V. en ce sens, Les grands avis du Conseil d’État, Paris, LGDJ, 1997, p. 399, note de B. Stirn.

[32] Directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, JO 23 nov. 1995, L. 281, pp. 31-50.

[33] Article 1er, 1° de la directive 95/46/CE.

[34] Communication de la Commission « une approche globale de la protection des données à caractère personnel dans l’Union européenne », 4 novembre 2010, COM(2010)609 final.

[35] Décision-cadre 2008/977/JAI du Conseil du 27 novembre 2008 relative à la protection des données à caractère personnel traitées dans le cadre de la coopération policière et judiciaire en matière pénale, J.O.C.E. L 350 du 30 décembre 2008.

(0)