La notion de donnée à caractère personnel

L’article 2, al. 2 de la loi informatique et libertés prévoit que « constitue une donnée à caractère personnel toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, par référence à un numéro d’identification ou à un ou plusieurs éléments qui lui sont propres ».

 Il ressort de cette disposition que la notion de données à caractère personnel est définie de manière relativement large.

À titre de remarquer liminaire, il convient d’observer que la notion de « données à caractère personnel » a été substituée à celle « d’informations nominatives » par la loi du 6 août 2004.

Initialement, la loi du 6 janvier 1978 prévoyait, en son article 4 (ancien), que « sont réputées nominatives au sens de la présente loi les informations qui permettent, sous quelque forme que ce soit, directement ou non, l’identification des personnes physiques auxquelles elles s’appliquent, que le traitement soit effectué par une personne physique ou par une personne morale. »

Désormais, on ne parle plus d’informations nominatives, mais de données à caractère personnel.

Ce glissement sémantique résulte de la prise en compte des progrès des techniques d’identification (moteurs de recherche, logiciels de reconnaissance vocale ou morphologique).

La notion « d’information nominative » suggérait qu’elle ne recouvrait que les éléments d’identification entretenant une proximité avec le nom de la personne visée.

Or son périmètre était, en réalité, bien plus large, notamment en raison du développement des mesures d’identification indirect.

La notion de « donnée à caractère personnel » est donc apparue plus pertinente, en ce qu’elle permet de couvrir des informations permettant tant l’identification, tant directe, qu’indirecte de la personne.

En pratique d’ailleurs, la CNIL avait adopté une conception large des informations nominatives, en incluant, par exemple, les numéros de téléphone, les plaques d’immatriculation ou les numéros de certains badges, ainsi que les clichés permettant d’identifier une personne.

Ce terme de données à caractère personnel, suffisamment neutre et général, permet ainsi d’éviter l’obsolescence rapide de la loi.

Il permet en outre de mettre fin en droit français à une confusion dénoncée par le Conseil d’État entre les « informations nominatives » au sens de la loi du 6 janvier 1978 et les « informations nominatives » au sens de la loi n° 78-753 du 17 juillet 1978 portant diverses mesures d’amélioration des relations entre l’administration et le public, qui a pour effet de restreindre la liberté d’accès aux documents administratifs.

En toute hypothèse, il apparaît que la définition retenue par le législateur comporte plusieurs éléments :

I) Toute information

L’expression « toute information » que l’on retrouve dans la définition, tant de la loi informatique et libertés, que dans le RGPD manifeste clairement la volonté du législateur d’élaborer un concept large des données à caractère personnel.

==> Sur la nature des informations

Le concept de données à caractère personnel englobe toutes sortes de renseignements à propos d’une personne. Il peut s’agir d’informations «objectives» telles qu’une particularité sanguine de la personne concernée, comme il peut aussi s’agir d’informations «subjectives» sous forme d’avis ou d’appréciations.

Ce dernier type de renseignements représente une grande partie du traitement des données à caractère personnel dans des secteurs tels que celui des banques, pour l’évaluation de la fiabilité des emprunteurs («X est un emprunteur fiable»), des assurances («X ne devrait pas mourir dans un proche avenir») ou de l’emploi («X est un bon travailleur et mérite d’être promu»).

Pour être considérées comme des « données à caractère personnel », il n’est pas nécessaire que ces informations soient vraies ou prouvées.

En réalité, les règles de protection des données envisagent déjà que des informations puissent être incorrectes et prévoient pour la personne concernée le droit d’accéder à ces informations et de les contester par des voies de recours adéquates.

==> Sur le contenu des informations

On entend par «données à caractère personnel» toutes sortes d’informations.

Cela couvre évidemment les informations à caractère personnel considérées comme «données sensibles», au sens de la loi informatique et libertés, en raison du fort potentiel de risque qu’elles présentent, mais également des informations plus générales.

L’expression «données à caractère personnel» englobe les informations touchant à la vie privée et familiale d’une personne physique, stricto sensu, mais également les informations relatives à ses activités, quelles qu’elles soient, tout comme celles concernant ses relations de travail ainsi que son comportement économique ou social.

Il s’agit donc d’informations concernant des personnes physiques, indépendamment de leur situation ou de leur qualité (en tant que consommateurs, patients, employés, clients, etc.).

==> Sur le format des informations ou du support utilisé

Le concept de données à caractère personnel englobe les informations disponibles sous n’importe quelle forme, qu’elles soient alphabétiques, numériques, graphiques, photographiques ou acoustiques.

Sont par exemple concernées les informations conservées sur papier, tout comme les informations stockées dans une mémoire d’ordinateur (code binaire) ou sur une cassette vidéo.

C’est une conséquence logique de l’intégration du traitement automatisé des données à caractère personnel dans son champ d’application. Il apparaît en particulier que les données constituées par des sons et des images méritent, à ce titre, d’être reconnues comme des données à caractère personnel, dans la mesure où elles peuvent représenter des informations sur une personne physique.

Par ailleurs, il n’est pas nécessaire, pour que ces informations soient considérées comme données à caractère personnel, qu’elles soient contenues dans une base de données ou un fichier structuré. Les informations contenues sous forme de texte libre dans un document électronique peuvent également être reconnues comme des données à caractère personnel, pour autant que les autres critères énoncés dans la définition des données à caractère personnel soient remplis.

Les courriers électroniques contiennent par exemple des « données à caractère personnel ».

II) Des données portant sur une personne physique

Une donnée ne peut être regardée comme revêtant un caractère personnel, qu’à la condition qu’elle porte sur une personne physique.

Le concept de «personne physique» est évoqué à l’article 6 de la Déclaration universelle des droits de l’homme qui se lit comme suit: « chacun a le droit à la reconnaissance en tous lieux de sa personnalité juridique. »

La personnalité juridique n’est autre que la capacité à être sujet de droit, de la naissance de l’individu jusqu’à son décès.

Les données personnelles sont dès lors, par principe, des données qui concernent des personnes vivantes identifiées ou identifiables.

Il s’ensuit plusieurs conséquences :

==> Exclusion des données portant sur une personne décédée

Les informations relatives à des personnes décédées ne sauraient, en principe, être considérées comme des données à caractère personnel soumises aux règles du RGPD, dans la mesure où, conformément au droit des personnes, elles ne sont plus des personnes physiques.

Telle est la solution retenue par le RGPD. Dans son considérant 27, il prévoit en ce sens qu’il n’a pas vocation à s’appliquer aux données à caractère personnel des personnes décédées.

Toutefois, les États membres peuvent prévoir des règles relatives au traitement des données à caractère personnel des personnes décédées.

À cet égard, l’article 57 de loi informatique et libertés dispose que « les informations concernant les personnes décédées, y compris celles qui figurent sur les certificats des causes de décès, peuvent faire l’objet d’un traitement de données, sauf si l’intéressé a, de son vivant, exprimé son refus par écrit ».

==> Exclusion des données portant une personne morale

Des informations qui seraient collectées sur une personne morale ne relèveraient pas du champ d’application de la loi informatique et libertés.

 Dans son considérant n°14, le RGPD prévoit, à cet égard, que la protection conférée par le présent règlement devrait s’appliquer aux personnes physiques, indépendamment de leur nationalité ou de leur lieu de résidence, en ce qui concerne le traitement de leurs données à caractère personnel.

Aussi, ce texte n’a pas vocation à couvrir le traitement des données à caractère personnel qui concernent les personnes morales, et en particulier des entreprises dotées de la personnalité juridique, y compris le nom, la forme juridique et les coordonnées de la personne morale.

Toutefois, comme l’a précisé la Cour de justice des Communautés européennes, rien ne s’oppose à ce qu’un État membre étende la portée de la législation nationale transposant les dispositions de la directive 95/46 à des domaines non inclus dans le champ d’application de cette dernière, pour autant qu’aucune autre disposition du droit communautaire n’y fasse obstacle[1].

Ainsi, certains États membres, tels que l’Italie, l’Autriche et le Luxembourg, ont étendu l’application de certaines dispositions de leur législation nationale transposant la directive (comme celles sur les mesures de sécurité) au traitement de données concernant des personnes morales.

Comme dans le cas des informations relatives aux personnes décédées, il peut arriver, en outre, qu’en vertu des modalités pratiques mises en place par le responsable du traitement des données, des données relatives à des personnes morales soient soumises de facto aux règles sur la protection des données.

Tel sera le cas lorsque des données concernant les dirigeants d’une personne morale seront collectées.

Aussi, dans une délibération n° 85-45, du 15 octobre  1985 la CNIL est venue préciser que « sont indirectement nominatives, quelle que soit la forme de l’entreprise, les informations relatives à la situation et à l’activité de l’entreprise, notamment les informations économiques et financières, dès lors qu’elles permettent l’identification des dirigeants ».

Il en résulte que les informations qui concernent les dirigeants de personnes morales doivent, quant à elles, être considérées comme des données à caractère personnel.

III) Des données permettant d’identifier directement ou indirectement une personne physique

L’article 2 de la loi informatique et libertés prévoit, en substance, qu’une personne est identifiable lorsqu’elle peut être identifiée directement ou indirectement par référence à un identifiant qui consiste :

  • soit à un numéro d’identification
  • soit à un ou plusieurs éléments qui lui sont propres.

Le RGPD précise que l’identifiant peut prendre la forme d’« un nom, un numéro d’identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale ».

Autrement dit, l’identifiant pourra être qualifié de donnée à caractère personnel, dès lors qu’il permet d’établir un lien direct ou indirect avec la personne à laquelle il est attaché.

Autant dire que toute information qui porte sur les caractéristiques d’une personne est susceptible d’être qualifiée de donnée à caractère personnel.

À cet égard, l’examen des textes révèle que pour déterminer si une personne est identifiable, deux éléments doivent être pris en compte :

  • L’identifiant attaché à la personne
  • Les moyens d’identification de la personne

Il s’en déduit que les informations anonymes ne peuvent, par nature, pas être qualifiées de données à caractère personnel.

A) Sur l’identifiant attaché à la personne

Pour être qualifiée de donnée à caractère personnel, l’information collectée doit permettre l’identification, directe ou indirecte de la personne visée.

D’une manière générale, on peut considérer une personne physique comme « identifiée » lorsque, au sein d’un groupe de personnes, elle se « distingue » de tous les autres membres de ce groupe.

La personne physique est donc « identifiable » lorsque, même sans avoir encore été identifiée, il est possible de le faire (comme l’exprime le suffixe «-able»). Cette seconde option constitue donc en pratique la condition de base qui détermine si les informations entrent dans le champ d’application du troisième élément.

L’identification se fait normalement au moyen d’informations spécifiques que l’on peut appeler «identifiants» et qui présentent une relation particulièrement privilégiée et étroite avec la personne physique concernée.

Il peut s’agir, par exemple, de signes extérieurs concernant l’apparence de cette personne comme sa taille, la couleur de ses cheveux, ses vêtements, etc. ou d’une caractéristique de cette personne qui n’est pas immédiatement perceptible, comme une profession, une fonction, un nom, etc.

Ainsi peut-on considérer que des informations rendent identifiable une personne physique, lorsqu’elles ont trait à cette personne physique. Dans nombre de situations, ce lien est facile à établir.

Par exemple, dans le cas de données enregistrées dans le dossier personnel d’un employé dans un service du personnel, il s’agit clairement de données « concernant » la situation de la personne en sa qualité d’employé.

Il en va de même des données relatives aux résultats de l’examen médical d’un patient dans son dossier médical, ou de l’image d’une personne filmée sur une vidéo lors d’une interview.

On peut citer un certain nombre d’autres situations où il n’est pas toujours aussi évident que dans les cas précédents de déterminer que les informations « concernent » une personne physique.

Dans certaines situations, les informations découlant des données concernent en premier lieu des objets, et non des personnes.

Ces objets appartiennent en général à quelqu’un, ou peuvent subir l’influence particulière de personnes ou exercer une influence particulière sur des personnes ou se trouver d’une manière ou d’une autre à proximité physique ou géographique de personnes ou d’autres objets.

Ce n’est donc que de manière indirecte que l’on pourra considérer que ces informations concernent ces personnes ou ces objets

Ainsi, l’identification d’une personne directe peut être directe ou indirecte

1) L’identification directe

S’agissant des personnes «directement» identifiées ou identifiables, le nom de la personne est évidemment l’identifiant le plus courant et, dans la pratique, la notion de «personne identifiée» implique le plus souvent une référence au nom de cette personne.

Afin de s’assurer de son identité, le nom de la personne doit parfois être associé à d’autres éléments d’information (date de naissance, nom des parents, adresse ou photo d’identité) afin d’éviter toute confusion entre cette personne et d’éventuels homonymes.

À titre d’exemple, l’information selon laquelle X est redevable d’une certaine somme d’argent peut être considérée comme concernant une personne identifiée, car elle est liée au nom de cette personne.

Le nom est un élément d’information qui révèle que la personne utilise cette combinaison de lettres et de sons pour se distinguer d’autres personnes et être distinguée par d’autres personnes avec lesquelles elle établit des relations.

Le nom peut également être le point de départ conduisant à des informations sur le domicile de la personne ou l’endroit où elle se trouve et à des informations sur les membres de sa famille (par le biais du nom de famille) et sur différentes relations juridiques et sociales associées à ce nom (scolarité/études, dossier médical, comptes bancaires).

Il est même possible de connaître l’apparence d’une personne si sa photographie est associée à ce nom. Tous ces nouveaux éléments d’information liés au nom peuvent permettre à quelqu’un de «zoomer» sur la personne en chair et en os, et grâce aux identifiants, l’élément d’information initial est alors associé à une personne physique que l’on peut distinguer d’autres personnes.

2) L’identification indirecte

S’agissant des personnes « indirectement » identifiées ou identifiables, cette catégorie relève en général du phénomène des « combinaisons uniques », à quelque degré que ce soit.

Pour les cas où, de prime abord, les identifiants sont insuffisants pour permettre à quiconque de distinguer une personne particulière, cette personne peut néanmoins être « identifiable », car ces informations combinées à d’autres éléments d’information (que ces derniers soient conservés par le responsable du traitement ou non) permettent de la distinguer parmi d’autres personnes.

C’est pourquoi la directive précise « un ou plusieurs éléments spécifiques, propres à son identité physique, physiologique, psychique, économique, culturelle ou sociale ».

Certaines caractéristiques, de par leur spécificité, permettent d’identifier quelqu’un sans difficulté («actuel premier ministre espagnol»), mais une combinaison de détails à un niveau catégoriel (tranche d’âge, origine régionale, etc.) peut également s’avérer assez concluante dans certaines circonstances, notamment si l’on a accès à des informations supplémentaires.

Ce phénomène a été étudié de manière approfondie par les statisticiens toujours soucieux de ne pas commettre de violation de la confidentialité.

À cet égard, il convient de relever que si l’identification par le nom constitue, dans la pratique, le moyen le plus répandu, un nom n’est pas toujours nécessaire pour identifier une personne, notamment lorsque d’autres «identifiants» sont utilisés pour distinguer quelqu’un.

En effet, les fichiers informatiques enregistrant les données à caractère personnel attribuent habituellement un identifiant spécifique aux personnes enregistrées pour éviter toute confusion entre deux personnes se trouvant dans un même fichier. Sur l’internet aussi, les outils de surveillance du trafic permettent de cerner facilement le comportement d’une machine et, derrière celle-ci, de son utilisateur.

On reconstitue ainsi la personnalité de l’individu pour lui attribuer certaines décisions. Sans même s’enquérir du nom et de l’adresse de la personne, on peut la caractériser en fonction de critères socio-économiques, psychologiques, philosophiques ou autres et lui attribuer certaines décisions dans la mesure où le point de contact de la personne (l’ordinateur) ne nécessite plus nécessairement la révélation de son identité au sens étroit du terme.

En d’autres termes, la possibilité d’identifier une personne n’implique plus nécessairement la faculté de connaître son identité. La définition des données à caractère personnel reflète ce constat.

La Cour de justice des Communautés européennes a statué dans ce sens, considérant que la « l’opération consistant à faire référence, sur une page Internet, à diverses personnes et à les identifier soit par leur nom, soit par d’autres moyens, par exemple leur numéro de téléphone ou des informations relatives à leurs conditions de travail et à leurs passe-temps, constitue un «traitement de données à caractère personnel »[2].

==> Cas de l’adresse IP

La question s’est posée de savoir si l’adresse IP d’un utilisateur pouvait être qualifiée de donnée à caractère personnel.

Techniquement, une adresse IP est attachée, non pas à une personne mais à une machine. Reste, que cette machine est la propriété d’une personne, de sorte que, à partir d’une adresse IP, il est possible d’identifier son titulaire.

La jurisprudence

Sur cette question la jurisprudence a été fluctuante.

Dans un arrêt du 14 décembre 2006, le Tribunal correctionnel de Bobigny a jugé que l’adresse IP constituait bien une donnée à caractère personnel (T. corr. Bobigny, 14 déc. 2006).

À l’inverse, d’un arrêt du 24 août 2006, la Cour d’appel de Pau a retenu une solution radicalement opposée (CA Pau, 24 août 2006, n° 06/593).

La Cour d’appel de Paris a statué dans le même sens dans un arrêt du 15 mai 2007 (CA Paris, 13e ch., sect. A, 15 mai 2007, n° 06/01954, Henri S. c/ SCPP).

  • Les faits
    • Un prévenu était poursuivi du chef de contrefaçon pour des faits de téléchargement illégal et de mise à disposition des internautes de fichiers musicaux.
    • L’infraction avait été constatée par un agent assermenté d’une société de gestion collective de droits qui a procédé au recueil de l’adresse IP de l’ordinateur du prévenu.
    • Ce dernier prétendait alors que cette opération nécessitait l’obtention d’une autorisation de la CNIL et que le mode de preuve est donc illicite.
    • Cet argument a été écarté par les juges du fond
  • Solution
    • La Cour d’appel de Paris considère arguments le simple constat probatoire de l’élément matériel d’une infraction commise sur Internet par un individu utilisant un pseudonyme, dressé par l’agent, conformément à la législation sur la propriété intellectuelle, ne constitue pas un traitement de données personnelles.
    • Pour elle, seule la plainte auprès des autorités judiciaires a conduit à l’identification de la personne, dans le cadre des règles de procédure pénale.
    • Le relevé de l’adresse IP de l’ordinateur servant à commettre les faits entre dans le constat de la matérialité du délit et non dans l’identification de son auteur.
    • En effet, cette série de chiffres ne constitue pas une donnée indirectement nominative relative à la personne, l’adresse se rapportant à une machine et non à la personne l’utilisant. Les opérations de traitement de données visant à “la mise en place d’une surveillance automatisée des réseaux peer to peer”, auxquelles la CNIL a refusé l’autorisation à la société de gestion des droits par une décision de 2005, sont très différentes du simple procès-verbal d’un agent assermenté transmis aux autorités judiciaires aux fins d’identification et de poursuite.
    • Par conséquent, le procédé utilisé ne nécessitait nullement l’agrément de la CNIL.

Finalement, la Cour de cassation est intervenue dans un arrêt du 13 janvier 2009. Elle ne s’est toutefois pas prononcée en faveur de la qualification de l’adresse IP en donnée à caractère personnel (Cass. crim., 13 janv. 2009, n° 08-84.088).

À cet égard, elle a considéré que « les constatations visuelles effectuées sur internet et les renseignements recueillis en exécution de l’article L. 331-2 du code de la propriété intellectuelle par un agent assermenté qui, sans recourir à un traitement préalable de surveillance automatisé, utilise un appareillage informatique et un logiciel de pair à pair, pour accéder manuellement, aux fins de téléchargement, à la liste des œuvres protégées irrégulièrement proposées sur la toile par un internaute, dont il se contente de relever l’adresse IP pour pouvoir localiser son fournisseur d’accès en vue de la découverte ultérieure de l’auteur des contrefaçons, rentrent dans les pouvoirs conférés à cet agent par la disposition précitée, et ne constituent pas un traitement de données à caractère personnel relatives à ces infractions, au sens des articles 2, 9 et 25 de la loi susvisée »

La chambre criminelle a réitéré cette solution dans un arrêt du 23 mars 2010 (Cass. crim., 23 mars 2010, n° 09-80.787).

Alors que la position de la Cour de cassation était pour le moins critiquée, elle a, dans un arrêt du 3 novembre 2016, opéré un revirement de jurisprudence en considérant, sans ambiguïté que « les adresses IP, qui permettent d’identifier indirectement une personne physique, sont des données à caractère personnel, de sorte que leur collecte constitue un traitement de données à caractère personnel et doit faire l’objet d’une déclaration préalable auprès de la CNIL » (Cass, 1ère civ., 3 novembre 2016, n°15-22595).

La haute juridiction s’est ainsi ralliée à la position de la CNIL et de la CJUE.

Cass. 1ère civ. 3 nov. 2016
Attendu, selon l’arrêt attaqué, que les sociétés Groupe logisneuf, C.Invest et European Soft, appartenant toutes trois au groupe Logisneuf, ont constaté la connexion, sur leur réseau informatique interne, d’ordinateurs extérieurs au groupe, mais faisant usage de codes d’accès réservés aux administrateurs du site internet logisneuf.com ; qu’elles ont obtenu du juge des requêtes une ordonnance faisant injonction à divers fournisseurs d’accès à Internet de leur communiquer les identités des titulaires des adresses IP utilisées pour les connexions litigieuses ; que, soutenant que la conservation, sous forme de fichier, de ces adresses IP aurait dû faire l’objet d’une déclaration auprès de la Commission nationale de l’informatique et des libertés (CNIL) et invoquant, par suite, l’illicéité de la mesure d’instruction sollicitée, la société Cabinet Peterson, qui exerce une activité de conseil en investissement et en gestion de patrimoine concurrente de celle du groupe Logisneuf, a saisi le président du tribunal de commerce en rétractation de son ordonnance ;

Sur les premier et deuxième moyens, ci-après annexés :

Attendu que ces moyens ne sont manifestement pas de nature à entraîner la cassation ;

Mais sur le troisième moyen, pris en sa première branche :

Vu les articles 2 et 22 de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés ;

Attendu qu’aux termes du premier de ces textes, constitue une donnée à caractère personnel toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, par référence à un numéro d’identification ou à un ou plusieurs éléments qui lui sont propres ; que constitue un traitement de données à caractère personnel toute opération ou tout ensemble d’opérations portant sur de telles données, quel que soit le procédé utilisé, et notamment la collecte, l’enregistrement, l’organisation, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, ainsi que le verrouillage, l’effacement ou la destruction ;

Que, selon le second, les traitements automatisés de données à caractère personnel font l’objet d’une déclaration auprès de la CNIL ;

Attendu que, pour rejeter la demande de rétractation formée par la société Cabinet Peterson, l’arrêt retient que l’adresse IP, constituée d’une série de chiffres, se rapporte à un ordinateur et non à l’utilisateur, et ne constitue pas, dès lors, une donnée même indirectement nominative ; qu’il en déduit que le fait de conserver les adresses IP des ordinateurs ayant été utilisés pour se connecter, sans autorisation, sur le réseau informatique de l’entreprise, ne constitue pas un traitement de données à caractère personnel ;

Qu’en statuant ainsi, alors que les adresses IP, qui permettent d’identifier indirectement une personne physique, sont des données à caractère personnel, de sorte que leur collecte constitue un traitement de données à caractère personnel et doit faire l’objet d’une déclaration préalable auprès de la CNIL, la cour d’appel a violé les textes susvisés ;

Par ces motifs et sans qu’il y ait lieu de statuer sur les autres branches du troisième moyen :

CASSE ET ANNULE, en toutes ses dispositions, l’arrêt rendu le 28 avril 2015, entre les parties, par la cour d’appel de Rennes ;

La position de la CNIL

Dans un avis du 2 août 2007, la CNIL avait fait part de son inquiétude s’agissant de l’absence de reconnaissance, par la jurisprudence, de la qualification de données à caractère personnel de l’adresse IP.

Pour la gardienne de la loi informatique et libertés, cette position remet profondément en cause la notion de donnée à caractère personnel qui est très large.

En effet, l’article 2 de la loi du 6 janvier 1978 modifiée en 2004 qui la définit, vise toute information relative à une personne physique qui peut être identifiée, directement ou indirectement, par référence à un numéro d’identification ou à des éléments qui lui sont propres. Ce qui est le cas d’un numéro de plaque d’immatriculation de véhicule, d’un numéro de téléphone ou d’une adresse IP.

L’ensemble des autorités de protection des données des États membres de l’Union européenne a d’ailleurs récemment rappelé, dans un avis du 20 juin 2007 relatif au concept de données à caractère personnel, que l’adresse IP attribuée à un internaute lors de ses communications constituait une donnée à caractère personnel.

Surtout, la CNIL s’inquiète des répercussions qu’une telle jurisprudence pourrait avoir sur la protection de la vie privée et des libertés individuelles sur internet, de plus en plus largement utilisé par tous, dans notre société

La position du G29

Le groupe de travail de l’article 29 a considéré les adresses IP comme des données concernant une personne identifiable.

Le G29 justifie sa position en relevant que les fournisseurs d’accès Internet et les gestionnaires des réseaux locaux peuvent, en utilisant des moyens raisonnables, identifier les utilisateurs Internet auxquels ils ont attribué des adresses IP, du fait qu’ils enregistrent systématiquement dans un fichier les date, heure, durée et adresse dynamique IP donnée à l’utilisateur Internet.

Il en va de même pour les fournisseurs de services internet qui conservent un fichier-registre sur le serveur HTTP. Dans ces cas, on peut parler, sans l’ombre d’un doute, de données à caractère personnel au sens de l’article 2, point a), de la directive».

Il apparaît notamment que lorsque le traitement d’adresses IP a été effectué pour identifier les utilisateurs de l’ordinateur (par exemple, par des titulaires de droits d’auteur afin de poursuivre ces utilisateurs d’ordinateurs pour violation de droits de la propriété intellectuelle), le responsable du traitement part du principe que les « moyens susceptibles d’être raisonnablement mis en œuvre » pour identifier les personnes seront disponibles, par exemple par l’intermédiaire des tribunaux saisis (sinon la collecte d’informations serait inutile), de sorte qu’il convient de considérer ces informations comme des données à caractère personnel.

La position de la CJUE

Dans un arrêt du 24 novembre 2011, la CJUE s’est prononcée pour la première fois sur la question de savoir si l’adresse IP pouvait être qualifiée de donnée à caractère personnel (CJUE, 24 nov. 2011, aff. C-70/10, Scarlet Extended).

Elle a considéré que les adresses IP étaient bien des données protégées à caractère personnel, car elles permettent l’identification précise desdits utilisateurs.

Dans un autre arrêt du 19 octobre 2016 elle a confirmé sa jurisprudence en considérant que « une adresse IP (protocole Internet) dynamique par laquelle un utilisateur a accédé au site Internet d’un fournisseur de médias électroniques constitue pour celui-ci une donnée à caractère personnel, dans la mesure où un fournisseur d’accès au réseau possède des informations supplémentaires qui, combinées à l’adresse IP dynamique, permettraient d’identifier l’utilisateur » (CJUE, 19 oct. 2016, aff. C-582/14).

Ce qui importe, c’est donc que l’information collectée rende la personne identifiable. Or pour qu’une personne soit considérée comme identifiable, il n’est pas nécessaire que tous les moyens d’identification de cette personne se trouvent entre les mains d’une seule entité.

Ainsi, une adresse IP peut constituer une donnée à caractère personnel si un tiers (par exemple, le fournisseur d’accès à Internet) dispose des moyens nécessaires à l’identification du titulaire de cette adresse sans déployer d’efforts démesurés.

Le RGPD

Le considérant 30 du RGPD prévoit que « les personnes physiques peuvent se voir associer, par les appareils, applications, outils et protocoles qu’elles utilisent, des identifiants en ligne tels que des adresses IP et des témoins de connexion («cookies») ou d’autres identifiants, par exemple des étiquettes d’identification par radiofréquence. Ces identifiants peuvent laisser des traces qui, notamment lorsqu’elles sont combinées aux identifiants uniques et à d’autres informations reçues par les serveurs, peuvent servir à créer des profils de personnes physiques et à identifier ces personnes. »

Il se déduit ainsi de ce texte que l’adresse IP constitue bien une donnée à caractère personnel. Le débat semble désormais clos.

Au total, il importe peu qu’une personne puisse être directement ou indirectement identifiée, toute la difficulté étant, au fond, de déterminer, si l’information collectée se rapporte à une personne physique identifiable.

Pour ce faire, il convient de se tourner, soit vers les textes, soit vers la jurisprudence lesquels fournissent plusieurs critères d’appréciations.

B) Sur les moyens d’identification de la personne

L’article 2 de la loi informatique et libertés dispose que « pour déterminer si une personne est identifiable, il convient de considérer l’ensemble des moyens en vue de permettre son identification dont dispose ou auxquels peut avoir accès le responsable du traitement ou toute autre personne. »

Cela signifie que la simple possibilité hypothétique de distinguer une personne n’est pas suffisante pour considérer cette personne comme «identifiable».

Si, compte tenu de l’ensemble des moyens susceptibles d’être raisonnablement mis en œuvre, soit par le responsable du traitement, soit par une autre personne, cette possibilité n’existe pas ou qu’elle est négligeable, la personne ne saurait être considérée comme «identifiable» et les informations ne seraient pas des «données à caractère personnel».

Le critère de l’ensemble des moyens susceptibles d’être raisonnablement mis en œuvre doit notamment prendre en compte tous les facteurs en jeu.

Le considérant 26 du RGPD précise en ce sens que « pour établir si des moyens sont raisonnablement susceptibles d’être utilisés pour identifier une personne physique, il convient de prendre en considération l’ensemble des facteurs objectifs, tels que le coût de l’identification et le temps nécessaire à celle-ci, en tenant compte des technologies disponibles au moment du traitement et de l’évolution de celles-ci ».

Ainsi, la finalité visée, la manière dont le traitement est structuré, l’intérêt escompté par le responsable du traitement, les intérêts en jeu pour les personnes, les risques de dysfonctionnements organisationnels (par exemple violations du devoir de confidentialité) et les défaillances techniques sont autant d’aspects qu’il convient de prendre en considération.

Par ailleurs, ce critère présente un caractère dynamique d’où la nécessité de tenir compte de l’état d’avancement technologique au moment du traitement et de changements éventuels pendant la période pour laquelle les données seront traitées. Il se peut que l’identification ne soit pas possible aujourd’hui avec l’ensemble des moyens existants auxquels l’on peut raisonnablement recourir.

Si les données doivent être conservées pendant une durée d’un mois, il est probable que l’identification ne pourra intervenir pendant la «durée de vie» des informations, et elles ne sauraient dès lors être considérées comme des données à caractère personnel.

Cependant, si elles doivent être conservées pendant dix ans, le responsable du traitement doit envisager la possibilité d’une identification pouvant intervenir même au cours de la neuvième année, ce qui en ferait à ce moment-là des données à caractère personnel. Il est souhaitable que le système puisse s’adapter à ces développements lorsqu’ils interviennent, et intégrer alors les mesures techniques et organisationnelles appropriées en temps utile.

En toute hypothèse, un facteur essentiel pour évaluer l’ensemble des moyens susceptibles d’être raisonnablement mis en œuvre pour identifier les personnes sera, en réalité, la finalité visée par le responsable du traitement dans le cadre du traitement des données.

Lorsque la finalité du traitement implique l’identification de personnes physiques, il est permis de penser que le responsable du traitement ou toute autre personne concernée dispose ou disposera de moyen «susceptibles d’être raisonnablement mis en œuvre» pour identifier la personne concernée.

En réalité, prétendre que les personnes physiques ne sont pas identifiables alors que la finalité du traitement est précisément de les identifier serait une contradiction absolue in terminis. Il est dès lors essentiel de considérer ces informations comme concernant des personnes physiques identifiables et d’appliquer les règles de protection des données à leur traitement.

[1] CJUE Arrêt du 6 novembre 2003 dans l’affaire C-101/2001 (Lindqvist), point 98

[2] CJUE Arrêt du 6 novembre 2003 dans l’affaire C-101/2001 (Lindqvist), point 27.

De l’esprit de la loi informatique et libertés: l’article 1er

L’article 1er de la loi informatique et libertés prévoit que « l’informatique doit être au service de chaque citoyen. Son développement doit s’opérer dans le cadre de la coopération internationale. Elle ne doit porter atteinte ni à l’identité humaine, ni aux droits de l’homme, ni à la vie privée, ni aux libertés individuelles ou publiques.

Toute personne dispose du droit de décider et de contrôler les usages qui sont faits des données à caractère personnel la concernant, dans les conditions fixées par la présente loi».

En raison de la portée générale, sinon symbolique de cette disposition, elle occupe une place à part dans le corpus de la loi informatique et libertés. Et pour cause, elle en exprime l’esprit ; elle est son réceptacle.

À cet égard, l’article 1er révèle, chez le législateur, à la fois l’espoir et l’inquiétude que le développement de l’informatique peut faire naître.

Il prescrit, en face d’un phénomène de société sans précédent, une attitude que les autorités publiques, en particulier la Commission Nationale de l’Informatique et des Libertés (CNIL), ont pour mission de faire respecter.

Aussi, cela leur impose-t-il d’être attentives aux évolutions, aux glissements de pouvoirs, aux centralisations excessives, dans tous les domaines sans exception, où l’informatique est utilisée.

Si l’on se focalise sur les termes de l’article qui introduit la loi informatique et libertés, trois enseignements majeurs peuvent en être tirés :

  • Le traitement des données à caractères personnels ne doit porter atteinte, ni à l’état des personnes, ni à leurs droits et libertés
  • Les individus jouissent d’un droit à l’autodétermination informationnelle
  • L’encadrement des traitements de données à caractère personnel doit s’opérer dans le cadre d’une coopération internationale

§1 : La protection de la personne humaine

L’article 1er de la loi informatique et libertés dispose que l’informatique « ne doit porter atteinte ni à l’identité humaine, ni aux droits de l’homme, ni à la vie privée, ni aux libertés individuelles ou publiques. »

La lecture de cette disposition révèle que la volonté du législateur a été de conférer une protection des plus larges aux personnes, en ce sens qu’elle ne vise pas seulement à prévenir les atteintes susceptibles d’être portées à la vie privée.

Pour rappel, le droit à la vie privée a été consacré par la loi n° 70-643 du 17 juillet 1970 tendant à renforcer la garantie des droits individuels des citoyens.

Ce droit est énoncé à l’article 9 du Code civil qui dispose :

« Les juges peuvent, sans préjudice de la réparation du dommage subi, prescrire toutes mesures, telles que séquestre, saisie et autres, propres à empêcher ou faire cesser une atteinte à l’intimité de la vie privée : ces mesures peuvent, s’il y a urgence, être ordonnées en référé. »

Au vrai, si le législateur a entendu inclure dans le champ de la protection conférée par la loi informatique et libertés, l’identité humaine, les droits de l’Homme ainsi que les libertés publiques ou individuelles, c’est qu’il a estimé que le droit à la vie privé, fusse-t-il inséré dans le Code civil, était trop étroit.

Dès 1978, les parlementaires avaient bien conscience que les atteintes aux personnes engendrées par le traitement automatisé des données dépassaient le simple cadre de la vie privée.

De surcroît, le droit à la vie privée n’est reconnu par aucun texte à valeur constitutionnelle.

A) L’étroitesse du droit à la vie privée

Il est particulièrement frappant de constater que les normes constitutionnelles qui protègent les droits et libertés fondamentaux des individus ne mentionnent nulle part le droit de chacun au respect de sa vie privée et à la protection de ses données personnelles.

Ces droits ne sont inscrits, ni dans la Constitution du 4 octobre 1958, ni dans son préambule.

Ces droits sont seulement protégés par des dispositions de nature législative.

  • L’article 9 du Code civil énonce le droit au respect de la vie privée
  • Certaines dispositions pénales répriment les violations de l’intimité de la vie privée, notamment les articles 226-1, 226-2, 226-3, 226-4-1 ou 226-22 du code pénal.

C’est seulement par effet de la jurisprudence développée par le Conseil constitutionnel que ces droits ont été progressivement et partiellement reconnus.

Le Conseil constitutionnel a jugé, dans une décision du 23 juillet 1999 que la liberté proclamée par l’article 2 de la Déclaration des droits de l’homme et du citoyen de 1789 « implique le respect de la vie privée », principe qui figure au nombre des droits et libertés constitutionnellement garantis dont la mise en œuvre incombe à la fois au juge judiciaire et au juge administratif.

Le Conseil constitutionnel n’a, toutefois, tiré que très récemment les conséquences de ce droit en matière de protection des données personnelles, en jugeant à partir de 2012 que « la collecte, l’enregistrement, la conservation, la consultation et la communication de données à caractère personnel doivent être justifiés par un motif d’intérêt général et mis en œuvre de manière adéquate et proportionnée à cet objectif » (Décisions nos 2012-652 DC du 22 mars 2012).

Cette situation, qui démontre la relative obsolescence et l’inadaptation de notre corpus constitutionnel aux réalités de la société numérique, tranche également avec la reconnaissance dont ces droits ont fait l’objet en droit international.

Le principe du respect de la vie privée est explicitement affirmé et protégé par plusieurs instruments internationaux, parmi lesquels :

  • La Déclaration universelle des droits de l’homme du 10 décembre 1948
  • Le Pacte international relatif aux droits civils et politiques du 16 novembre 1966 (3), entré en vigueur le 23 mars 1976 et ratifié par la France le 4 novembre 1966
  • La Convention européenne de sauvegarde des droits de l’homme et des libertés fondamentales (CESDH) du 4 novembre 1950 (4), ratifiée par la France le 3 mai 1974.

Quant au droit à la protection des données à caractère personnel, il a notamment été consacré par la Convention du Conseil de l’Europe du 28 janvier 1981 pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel (6), dite « 108 ».

Fait notable, il est, depuis 2007, un droit fondamental dans l’ordre juridique de l’Union européenne, distinct du droit au respect de la vie privée.

L’article 8 de la Charte européenne des droits fondamentaux de l’Union européenne du 7 décembre 2000, à laquelle le traité de Lisbonne du 13 décembre 2007 a conféré valeur juridique contraignante, prévoit ainsi, distinctement de son article 7 relatif au respect de la vie privée, que :

  • Les données à caractère personnel doivent être traitées loyalement, à des fins déterminées et sur la base du consentement de la personne concernée ou en vertu d’un autre fondement légitime prévu par la loi
  • Toute personne a le droit d’accéder aux données collectées la concernant et d’en obtenir la rectification »
  • Le respect de ces règles est soumis au contrôle d’une autorité indépendante

Enfin, si la CESDH ne comporte pas d’article spécifiquement consacré à la protection des données personnelles, la CEDH protège expressément ce droit sur le fondement du droit au respect de la vie privée mentionné par l’article 8 de la Convention en jugeant que « la protection des données à caractère personnel joue un rôle fondamental pour l’exercice du droit au respect de la vie privée et familiale »[1].

Pour l’heure, la constitutionnalisation des droits au respect de la vie privée et à la protection des données à caractère personnel n’est toujours pas intervenue.

Pourtant, il a été proposé par Commission de réflexion et de propositions sur le droit et les libertés à l’âge numérique de consacrer explicitement et séparément dans la Constitution du 4 octobre 1958 les droits, d’une part, au respect de la vie privée, et, d’autre part, à la protection des données à caractère personnel.

Selon cette commission, la définition du droit au respect de la vie privée pourrait s’inspirer de la conception qu’en a développée jusqu’à ce jour le Conseil constitutionnel et la définition qu’en ont donné les normes et les juridictions communautaires et européennes.

Une telle consécration permettrait, pour ce qui concerne son volet numérique, de mieux protéger notamment le droit au secret des correspondances numériques et le droit à l’inviolabilité du domicile numérique face à certaines technologies intrusives.

La définition du droit à la protection des données personnelles pourrait pour sa part reprendre celle qu’en a donnée l’article 8 de la Charte européenne des droits fondamentaux de l’Union européenne, en parfaite cohérence avec les exigences posées par le droit communautaire dans ce domaine.

Sa consécration permettrait d’élever les conditions d’exploitation des données personnelles à l’ère numérique en soumettant leur traitement à l’exigence de loyauté et à l’existence de fins déterminées ainsi que d’un fondement légitime ou du consentement de l’intéressé.

Une telle consécration présenterait plusieurs avantages :

  • Tout d’abord, ainsi consacrés, ces droits se verraient érigés en exigences constitutionnelles de valeur équivalente à d’autres, comme la liberté d’entreprendre ou la liberté d’expression respectivement protégées par les articles 4 et 11 de la Déclaration des droits de l’homme et du citoyen de 1789, rendant plus aisée leur conciliation.
  • Par ailleurs, une telle consécration permettrait, comme suggéré par Isabelle Falque-Pierrotin, « d’afficher une protection du plus haut niveau dans ce domaine, ce qui serait très utile lors des négociations internationales» engagées au niveau de l’Union européenne et avec d’autres pays comme les États-Unis.
  • Enfin, elle rapprocherait la France des treize autres pays européens qui ont également procédé à la constitutionnalisation spécifique du droit à la protection des données à caractère personnel, en particulier l’Allemagne, l’Autriche, l’Espagne, la Grèce, la Hongrie, les Pays-Bas, le Portugal ou la Suède.

B) Une protection qui déborde le droit à la vie privée

En désignant comme objet de la protection assurée par la loi informatique et libertés, l’identité humaine, les droits de l’homme ainsi que les libertés individuelles ou publiques, le législateur a, sans nul doute, souhaité garantir le respect de la personne humaine dans toutes ses composantes.

L’étendue de cette protection se retrouve notamment à l’article 1er de la Convention 108 du Conseil de l’Europe aux termes duquel :

« le but de la présente Convention est de garantir, sur le territoire de chaque Partie, à toute personne physique, quelles que soient sa nationalité ou sa résidence, le respect de ses droits et de ses libertés fondamentales, et notamment de son droit à la vie privée, à l’égard du traitement automatisé des données à caractère personnel la concernant ».

La Directive du 24 octobre 1995 abondait dans le même sens en prévoyant à son article 1er que :

« Les États membres assurent, conformément à la présente directive, la protection des libertés et droits fondamentaux des personnes physiques, notamment de leur vie privée, à l’égard du traitement des données à caractère personnel. »

Quant au Règlement général sur la protection des données, son article 2 dispose, sensiblement dans les mêmes termes, que :

« Le présent règlement protège les libertés et droits fondamentaux des personnes physiques, et en particulier leur droit à la protection des données à caractère personnel. »

Ainsi, la protection de la personne humaine contre le traitement des données à caractère personnel doit être envisagée à l’aune des droits et libertés qui lui sont conférées.

En écho à l’article 1er de la loi informatique et libertés, le considérant 2 du RGPD prévient que « le traitement des données à caractère personnel devrait être conçu pour servir l’humanité », raison pour laquelle « les principes et les règles régissant la protection des personnes physiques à l’égard du traitement des données à caractère personnel les concernant devraient, quelle que soit la nationalité ou la résidence de ces personnes physiques, respecter leurs libertés et droits fondamentaux »

Au nombre des textes qui énoncent, en droit interne, ces droits et libertés figurent la Déclaration des Droits de l’Homme et du Citoyen, complétée par le préambule de la Constitution de 1946, le tout étant visé par le préambule de la Constitution du 4 octobre 1958.

L’article 1er de la loi informatique et libertés doit, en sus, être interprétée à la lumière de la jurisprudence du Conseil constitutionnel et des juridictions de l’ordre judiciaire et administratif.

Au bilan, il apparaît que la protection de la personne humaine contre les atteintes susceptibles d’être engendrées par le traitement des données à caractère personnel est bien plus étendue que celle garantie par le droit à la vie privée.

§2 : Le droit à l’autodétermination informationnelle

L’alinéa 2 de l’article 1er de la loi informatique et liberté dispose que « toute personne dispose du droit de décider et de contrôler les usages qui sont faits des données à caractère personnel la concernant, dans les conditions fixées par la présente loi. »

Cet alinéa, qui ne figurait pas dans le texte initial, est issu de la loi n° 2016-1321 du 7 octobre 2016 pour une République numérique.

Pourquoi cette précision ? Son ajout procède d’une réflexion sur le rapport que les sujets de droit entretiennent avec leurs données à caractère personnel.

Comme relevé par la Commission de réflexion et de propositions sur le droit et les libertés à l’âge numérique la monétisation économique croissante dont font aujourd’hui l’objet les données personnelles a pu conduire certains à considérer que la protection de la vie privée à l’ère numérique serait mieux assurée par la reconnaissance d’un droit de propriété de l’individu sur ses données permettant de mieux concilier l’exigence de protection avec le souhait de nombreuses personnes de valoriser leurs informations personnelles, en échange d’une rémunération ou d’un service.

Cette position est, cependant, loin d’être partagée par tous. Comme l’a indiqué Isabelle Falque-Pierrotin une telle logique ferait perdre « des leviers d’action considérables sur lesdites données : étant propriétaire de ses données, l’individu pourrait les vendre, notamment à des acteurs étrangers. Or la grande supériorité intellectuelle du droit à la protection des données personnelles réside dans le fait qu’il reconnaît le droit d’un individu même si les données sont traitées par d’autres ».

Certes la reconnaissance d’un droit de propriété de l’individu sur ses données ne conduirait pas à une privatisation irréversible de ses informations personnelles et à la perte de tout contrôle sur leur devenir. Le droit de la propriété intellectuelle enseigne, dans d’autres domaines, qu’il est possible de ménager des outils d’inaliénabilité limitant la portée du droit de cession, ouvrant des possibilités de licence et, en définitive, modulant cette patrimonialisation.

Mais, ainsi que l’a souligné Maryvonne de Saint-Pulgent, présidente de la section du rapport et des études du Conseil d’État, il est incontestable qu’elle fragiliserait considérablement le cadre juridique qui régit aujourd’hui les conditions d’utilisation des données personnelles.

Elle se heurterait encore aux limites territoriales de la reconnaissance du droit de propriété, à l’heure où les grands responsables de traitements de données sont implantés à l’étranger.

Et « la reconnaissance de ce droit de propriété rendrait plus difficile l’action de l’État pour protéger les individus confrontés à de multiples pièges car toutes ses interventions pourraient alors être regardées comme portant atteinte à un droit de valeur constitutionnelle ».

Par ailleurs, il est défendu, à juste titre, que les principes actuels de la loi informatique et libertés permettent déjà une valorisation économique des données, en autorisant, sous certaines conditions, leur recueil, leur exploitation et leur conservation en échange de la délivrance de services ou de facilités.

Qui plus est, un droit de propriété individuel sur les données ne permettrait pas de rééquilibrer la relation asymétrique qui existe aujourd’hui entre les éditeurs de services numériques et les internautes, marquée par la très faible valeur accordée aux données d’un seul individu.

Il serait donc pour le moins paradoxal d’accorder un droit de propriété à des individus pris isolément alors que c’est la masse des données de plusieurs centaines d’individus qui constitue une valeur économique aux yeux des responsables de traitements.

Enfin, cette reconnaissance romprait avec l’approche généraliste et personnaliste de notre législation, qui considère la donnée personnelle comme le support indirect d’un droit fondamental et inaliénable reconnu à l’individu dont elle émane et non comme un objet économique.

En lieu et place d’une privatisation de ses données personnelles, le législateur a don décidé de procéder à une plus grande autonomisation de l’individu dans l’univers numérique, en lui permettant non plus seulement de bénéficier de droits à la protection mais aussi d’être maître de son épanouissement dans l’univers numérique.

Jusqu’alors, l’approche par l’autonomisation individuelle était relativement absente de la législation française, à la différence d’autres pays européens comme l’Allemagne dont la Cour constitutionnelle fédérale a dégagé, dès 1983, des principes de dignité de l’homme et de droit au libre développement de sa personnalité un droit à l’autodétermination informationnelle de l’individu.

Pour la Cour de Karlsruhe qui s’est exprimée dans un arrêt du 15 décembre 1983, « la Constitution [allemande] garantit en principe la capacité de l’individu à décider de la communication et de l’utilisation de ses données à caractère personnel » car s’il « ne sait pas prévoir avec suffisamment de certitude quelles informations le concernant sont connues du milieu social et à qui celles-ci pourraient être communiquées, sa liberté de faire des projets ou de décider sans être soumis à aucune pression est fortement limitée ». Pour elle, « l’autodétermination est une condition élémentaire fonctionnelle dans une société démocratique libre, basée sur la capacité des citoyens d’agir et de coopérer ».

Séduit par cette approche, le législateur français a manifestement estimé, en complétant l’article 1er de la loi informatique et libertés que l’individu devait pouvoir disposer de moyens plus importants pour assurer sa protection face aux risques soulevés par le numérique.

Pratiquement, cette consécration du droit à l’autodétermination informationnelle présente quatre avantages parfaitement résumés par le Conseil d’État :

  • elle donne sens à tous les autres droits relatifs à la protection des données à caractère personnel qui ne constitue pas un but en soi ;
  • alors que le droit à la protection des données peut être perçu comme un concept défensif, le droit à l’autodétermination lui donne un contenu positif à la fois plus efficace et plus conforme à la logique personnaliste et non patrimoniale qui a toujours prévalu en Europe en matière de protection des données ;
  • elle souligne que la législation relative à la protection des données protège non seulement l’individu mais aussi les intérêts collectivement défendus par la société tout entière ;
  • elle apparaît d’une grande ambition, au regard de la perte générale de maîtrise par les individus de leurs données dans un contexte où la donnée personnelle est de plus en plus traitée comme une marchandise.

§3 : L’exigence de coopération internationale

L’article 1er de la loi informatique et libertés prévoit que le développement de l’informatique « doit s’opérer dans le cadre de la coopération internationale ».

Cette précision fait écho au développement des flux transfrontaliers de données à caractère personnel.

La mondialisation, l’essor de l’Internet et l’effondrement des coûts des télécommunications augmentent, en effet, considérablement le volume des informations de caractère personnel qui franchissent les frontières.

Cet accroissement de la circulation transfrontière de l’information a des retombées positives tant pour les organisations que pour les personnes en abaissant les coûts, en induisant des gains d’efficience et en améliorant le service au client.

Dans le même temps, ces flux d’informations de caractère personnel accentuent les préoccupations pour la vie privée, en soulevant de nouveaux problèmes de protection des informations de caractère personnel des individus.

Lorsque des données de caractère personnel partent à l’étranger, le risque que les personnes perdent leur capacité d’exercer leurs droits à la vie privée, ou de se protéger contre l’utilisation ou la divulgation illicite de cette information, augmente. Dans le même temps, les autorités chargées de faire appliquer les lois sur la vie privée peuvent constater qu’elles sont dans l’incapacité de donner suite aux plaintes ou de procéder à des investigations en relation avec les activités d’organisations implantées à l’étranger.

Les efforts qu’elles déploient pour œuvrer ensemble dans un contexte transfrontière pourraient également être entravés par des pouvoirs insuffisants en matière de mesures préventives ou correctives, par des disparités dans les régimes juridiques et par des obstacles pratiques comme des contraintes de ressources.

Dans ce contexte, un consensus s’est dessiné sur la nécessité de promouvoir une coopération plus étroite entre les autorités chargées de faire appliquer la législation sur la vie privée, afin de les aider à échanger des informations et procéder à des enquêtes avec leurs homologues à l’étranger.

L’importance de la coopération dans l’application des lois relatives à la protection de la vie privée est reconnue non seulement au sein de l’OCDE, mais aussi dans d’autres enceintes, notamment la Conférence internationale des commissaires à la protection des données et à la vie privée, le Conseil de l’Europe, la Coopération économique AsiePacifique (APEC), ainsi que l’Union européenne et son groupe de protection des personnes à l’égard du traitement des données de caractère personnel (Groupe de travail « Article 29 »).

De fait, les instruments régionaux et autres mécanismes moins formels destinés à faciliter la coopération transfrontière se multiplient. Cependant, aucun de ces instruments n’a de portée mondiale.

De fait, la nécessité d’un renforcement de la coopération dans l’application des lois est apparue pour la première fois dans les Lignes directrices de l’OCDE de 1980 régissant la protection de la vie privée et les flux transfrontières de données de caractère personnel (« Lignes directrices sur la vie privée »), rappelé dans la Déclaration ministérielle d’Ottawa de 1998 et souligné plus récemment en 2003 dans le rapport « Protection de la vie privée en ligne : orientations politiques et pratiques de l’OCDE ».

Bien que les Lignes directrices sur la vie privée servent de point de départ à l’initiative actuelle, l’environnement a changé.

Lorsque les Lignes directrices sur la vie privée ont été adoptées, environ un tiers seulement des pays Membres disposaient d’une législation sur la protection de la vie privée.

Aujourd’hui, la quasi-totalité des pays Membres de l’OCDE se sont dotés de lois protégeant la vie privée et ont mis en place des autorités ayant des pouvoirs pour les faire appliquer – signe que la protection de la vie privée et de la sécurité des informations personnelles est essentielle dans les sociétés démocratiques et concourt à la confiance des consommateurs sur les marchés tant intérieurs que mondiaux.

Pour toutes ces raisons, il est absolument nécessaire de satisfaire à cette exigence de coopération internationale, gravée dans le marbre de la loi informatique et libertés.

Pratiquement, afin d’élaborer des mécanismes de coopération internationale destinés à faciliter et à mettre en place une assistance mutuelle internationale pour faire appliquer les législations relatives à la protection des données à caractère personnel, il est un impératif que les autorités nationales puissent échanger des informations et coopérer dans le cadre d’activités liées à l’exercice de leurs compétences avec les autorités compétentes dans les pays tiers, sur une base réciproque.

Cette base réciproque est constituée notamment :

  • Des lignes directrices de l’OCDE
  • Des principes directeurs de l’ONU
  • De la convention STE 108
  • De la Convention européenne des droits de l’homme

[1] CEDH, 4 décembre 2008, S. et Marper c. Royaume-Uni, n° 30562/04 et 305566/04