Le champ d’application matériel de la loi informatique et libertés

L’article 2, al. 1er de la loi informatique et libertés dispose que « la présente loi s’applique aux traitements automatisés de données à caractère personnel, ainsi qu’aux traitements non automatisés de données à caractère personnel contenues ou appelées à figurer dans des fichiers, à l’exception des traitements mis en œuvre pour l’exercice d’activités exclusivement personnelles, lorsque leur responsable remplit les conditions prévues à l’article 5 »

Il ressort de cette disposition que le champ d’application de la loi informatique et libertés est gouverné par un principe que l’on a assorti d’une exception.

§1 : Le principe

En application de l’article 2 de la loi informatique et libertés, ce texte, tel que modifié par les lois du 6 août 2004 et du 20 juin 2018, a vocation à s’appliquer « aux traitements automatisés en tout ou partie de données à caractère personnel, ainsi qu’aux traitements non automatisés de données à caractère personnel contenues ou appelées à figurer dans des fichiers ».

Cette disposition reprend, dans les mêmes termes, l’article 2 du RGPD.

Il ressort de ce texte que plusieurs conditions doivent être réunies pour que la loi informatique et liberté soit applicable :

  • L’objet du traitement
    • Pour que la loi informatique et libertés s’applique, le traitement doit porter sur des données à caractère personnel, définies à l’alinéa 2 de l’article 2 de ladite loi.
    • Aux termes de cette disposition, « constitue une donnée à caractère personnel toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, par référence à un numéro d’identification ou à un ou plusieurs éléments qui lui sont propres. »
    • Cette disposition précise que « pour déterminer si une personne est identifiable, il convient de considérer l’ensemble des moyens en vue de permettre son identification dont dispose ou auxquels peut avoir accès le responsable du traitement ou toute autre personne. »
    • Dans l’hypothèse où la donnée traitée ne répond pas aux critères ci-dessus énoncés, le traitement dont elle fait l’objet n’entre pas dans le champ d’application de la loi informatique et libertés.
    • Il en résulte qu’aucune obligation de déclaration ne pèse sur l’auteur du traitement.
  • L’auteur du traitement
    • Il est indifférent que l’auteur du traitement soit une personne morale ou physique, publique ou privée.
    • La loi ne distingue pas ; elle vise tous les traitements de données.
    • C’est donc un critère matériel qui a été retenu et non organique.
    • Dès lors que le traitement porte sur des données à caractère personnel, la loi informatique et libertés à vocation à s’appliquer.
  • Les modalités du traitement
    • Le texte prévoit que, tant les traitements automatisés, que les traitements manuels relèvent du champ d’application de la loi informatique et libertés.
    • Ainsi, il importe peu que le traitement soit automatisé.
    • Reste que les données doivent avoir vocation à être contenue dans un fichier
      • Indifférence de l’automatisation du traitement
        • Cette précision vise à éviter de créer un risque grave de contournement.
        • Selon le RGPD, la mesure où la protection des personnes physiques devrait, en effet, être neutre sur le plan technologique et ne devrait pas dépendre des techniques utilisées.
        • C’est la raison pour laquelle, la loi informatique et libertés doit s’appliquer, tout autant aux traitements de données à caractère personnel à l’aide de procédés automatisés, qu’aux traitements manuels.
        • La question qui alors se pose est de savoir ce que l’on doit entendre par traitement automatisé
        • Aux termes de l’article 2 de la loi informatique et libertés « constitue un traitement de données à caractère personnel toute opération ou tout ensemble d’opérations portant sur de telles données, quel que soit le procédé utilisé, et notamment la collecte, l’enregistrement, l’organisation, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, ainsi que le verrouillage, l’effacement ou la destruction»
      • Exigence de constitution d’un fichier
        • Pour que le traitement de données à caractère personnel soit soumis aux dispositions de la loi informatique et libertés il doit donner lieu à la constitution d’un fichier.
        • Au sens de l’article 2 de la loi informatique et libertés « constitue un fichier de données à caractère personnel tout ensemble structuré et stable de données à caractère personnel accessibles selon des critères déterminés, que cet ensemble soit centralisé, décentralisé ou réparti de manière fonctionnelle ou géographique.»
        • Dès lors, que les données collectées ont vocation à être triées, classées et structurées, on considère que la condition tenant à la constitution d’un fichier est remplie.

§2 : Les exceptions

Plusieurs exceptions ont été prévues par le législateur à l’application de la loi informatique et libertés :

  • Les traitements de données à des fins exclusivement personnelles
  • Les traitements de données consistant en des copies temporaires
  • Les traitements de données portant sur des activités ne relevant pas de la compétence de l’Union européenne

A) L’exclusion des traitements de données à des fins exclusivement personnelles

L’article 2 de la loi informatique et liberté exclut de son champ d’application les « traitements mis en œuvre pour l’exercice d’activités exclusivement personnelles, lorsque leur responsable remplit les conditions prévues à l’article ».

Le RGPD est venu conforter cette règle en prévoyant expressément qu’il n’avait pas vocation à s’appliquer aux traitements de données à caractère personnel effectués par une personne physique au cours d’activités strictement personnelles ou domestiques, et donc sans lien avec une activité professionnelle ou commerciale.

Au nombre de ces activités pourraient figurer des activités personnelles ou domestiques consistant en l’échange de correspondance, la tenue d’un carnet d’adresses, ou encore l’utilisation de réseaux sociaux et les activités en ligne qui ont lieu dans le cadre de ces activités.

Dans une délibération n° 2005-284 du 22 novembre 2005, la CNIL avait décidé en ce sens que n’étaient pas tenus à l’obligation de déclaration « les sites web diffusant ou collectant des données à caractère personnel mis en œuvre par des particuliers dans le cadre d’une activité exclusivement personnelle ».

À l’inverse, elle considère que « la diffusion et la collecte de données à caractère personnel opérée à partir d’un site web dans le cadre d’activités professionnelles, politiques, ou associatives restent soumises à l’accomplissement des formalités préalables prévues par la loi ».

À cet égard, le RGPD prévoit le règlement s’applique aux responsables du traitement ou aux sous-traitants qui fournissent les moyens de traiter des données à caractère personnel pour de telles activités personnelles ou domestiques.

En outre, les données collectées ne doivent concerner que la sphère privée de l’auteur du traitement.

C’est ainsi que dans un arrêt du 11 décembre 2014 la CJUE a jugé que « l’exploitation d’un système de caméra, donnant lieu à un enregistrement vidéo des personnes stocké dans un dispositif d’enregistrement continu tel qu’un disque dur, installé par une personne physique sur sa maison familiale afin de protéger les biens, la santé et la vie des propriétaires de la maison, ce système surveillant également l’espace public, ne constitue pas un traitement des données effectué pour l’exercice d’activités exclusivement personnelles ou domestiques, au sens de cette disposition. » (CJUE, 11 déc. 2014, aff. C-212/13).

B) L’exclusion des traitements de données consistant en des copies temporaires

Pour prendre en compte les spécificités d’Internet et des réseaux numériques, le législateur a souhaité exclure du champ d’application de la loi, en application de l’article 4 de la loi du 6 janvier 1978, les « copies temporaires qui sont faites dans le cadre des activités techniques de transmission et de fourniture d’accès à un réseau numérique, en vue du stockage automatique, intermédiaire et transitoire des données et à seule fin de permettre à d’autres destinataires du service le meilleur accès possible aux informations transmises ».

Cette dérogation, non prévue par le RGPD, vise en fait notamment le recours, par les fournisseurs d’accès, aux serveurs « proxys » -ou « mandataires »-, qui visent à économiser des capacités de communication sur le réseau, en mémorisant temporairement les adresses des internautes et les sites web consultés afin qu’il ne soit pas nécessaire d’accéder au serveur initial, parfois éloigné et distant, en cas de nouvelle requête.

Ces opérations d’optimisation et de régulation du trafic comportent nécessairement le stockage temporaire de données à caractère personnel, dont l’exclusion du champ d’application de la loi se justifie pleinement, puisqu’il ne comporte aucun danger pour les libertés personnelles des internautes, compte tenu de leur effacement rapide par les serveurs « proxys ».

C) Les traitements de données portant sur des activités ne relevant pas de la compétence de l’Union européenne

Le RGPD prévoit, dans son considérant 16, qu’il n’a pas vocation à s’appliquer à des questions de protection des libertés et droits fondamentaux ou de libre flux des données à caractère personnel concernant des activités qui ne relèvent pas du champ d’application du droit de l’Union, telles que les activités relatives à la sécurité nationale.

Il en va de même pour les activités ayant trait à la politique étrangère et de sécurité commune de l’Union.