Le droit de jouissance octroie, en principe, au propriétaire la liberté d’exploiter son bien, mais également de ne rien en faire.

L’utilité conférée par la jouissance au propriétaire est très vaste, à telle enseigne que rien ne s’oppose à ce qu’elle permette d’appréhender des utilités nouvelles des biens, en particulier des utilités qui jusqu’à maintenant avaient échappé à l’appréhension du droit, parce que l’intérêt qui s’y attachait était moindre.

Sous le prisme de la jouissance, on s’est alors posé la question du droit du propriétaire à l’image de son bien, par transposition au droit à l’image des personnes.

Ainsi que le relève le Professeur Zénati, « l’intervention de la photographie, du cinématographe, et de la communication audiovisuelle ont mis au jour une utilité qui, jusqu’alors, demeurait discrète : la reproduction picturale. Comme d’habitude, le droit réagit avec quelque retard, mais peu importe. Il est patent que la vertu qu’ont tous les objets matériels de pouvoir être mis en image est une utilité qui tombe sous le champ de la propriété à l’instar des utilités classiques que l’on connaît et qu’en conséquence cet avantage échappe à la jouissance d’autrui ».

Première illustration de ce phénomène, dans un arrêt du 10 mars 1999, la Cour de cassation a jugé, au visa de l’article 544 du Code civil, que « l’exploitation du bien sous la forme de photographies porte atteinte au droit de jouissance du propriétaire » (Cass. 1ère civ. 10 mars 1999, n°96-18699).

Cass. 1ère civ. 10 mars 1999
Sur le premier moyen, pris en sa première branche :
Vu l'article 544 du Code civil ;

Attendu que le propriétaire a seul le droit d'exploiter son bien, sous quelque forme que ce soit ;

Attendu que, pour rejeter la demande de Mme X..., épouse Y..., tendant à la saisie de cartes postales mises en vente par la société Editions Dubray, représentant le " Café Gondrée ", dont Mme Y... est propriétaire à Bénouville, l'arrêt attaqué énonce que la photographie, prise sans l'autorisation du propriétaire, d'un immeuble exposé à la vue du public et réalisée à partir du domaine public ainsi que sa reproduction, fût-ce à des fins commerciales, ne constituent pas une atteinte aux prérogatives reconnues au propriétaire ;

Attendu qu'en se déterminant ainsi, alors que l'exploitation du bien sous la forme de photographies porte atteinte au droit de jouissance du propriétaire, la cour d'appel a méconnu le texte susvisé ;

PAR CES MOTIFS, et sans qu'il y ait lieu de statuer sur les autres branches du moyen, non plus que sur le second moyen :

CASSE ET ANNULE, dans toutes ses dispositions, l'arrêt rendu le 18 juin 1996, entre les parties, par la cour d'appel de Caen ; remet, en conséquence, la cause et les parties dans l'état où elles se trouvaient avant ledit arrêt et, pour être fait droit, les renvoie devant la cour d'appel de Rouen.

Il ressort de cet arrêt que le droit à l’image sur les biens relève du monopole de jouissance dont est investi le propriétaire.

Le professeur Cornu analyse ce rattachement du droit à l’image au fructus en soutenant que « c’est parce qu’il est investi, sur son bien, non pas d’un droit à l’image de celui-ci mais du droit exclusif de l’exploiter (partie de sa jouissance), que le propriétaire est fondé à interdire aux tiers l’exploitation photographique et lucrative de son bien qui est tout simplement une part de son utilité économique »

Selon cette thèse la reproduction d’un bien meuble ou immeuble sous la forme d’une image, que les techniques modernes permettent de commercialiser à grande échelle, constitue une utilités susceptible d’être source de profit.

Dans notre société qui repose très largement sur la propriété privée, il n’y aurait donc aucune raison que les propriétaires qui ont la charge de l’entretien de leurs biens soient dépossédés des potentialités de leur exploitation au prétexte qu’ils sont accessibles au regard du public.

Pour s’en convaincre, il suffit d’observer que le droit de se clore prévu par l’article 647 du Code civil n’est pas seulement un moyen de protéger le propriétaire contre les incursions des tiers, mais est aussi le signe que la vue de son bien est une utilité qui lui appartient. En témoignent également les dispositions des articles 675 à 680 de ce Code qui imposent aux propriétaires d’immeubles d’éloigner de la limite séparative de leurs fonds les murs comportant des vues sur le fonds voisin.

En réaction à cette jurisprudence, des spécialistes du droit d’auteur ont soutenu que si le législateur a limité la durée des droits patrimoniaux des auteurs, spécialement du droit de reproduction que leur accorde à titre exclusif l’article L. 122-3 du Code de la propriété intellectuelle, c’est parce que leurs œuvres doivent tomber dans le domaine public libres de toute entrave afin de développer la culture et la connaissance du patrimoine. En raison de son caractère perpétuel, le droit de propriété ferait obstacle à l’extension sans cesse régénérée du domaine public.

D’autres commentateurs ont avancé que la découverte de cette nouvelle utilité du bien (droit à l’image) au bénéfice de son propriétaire aboutirait à des solutions ingérables en pratique, trop contraignantes et trop coûteuses pour les professionnels de l’illustration. Ils ont encore dénoncé ainsi une “privatisation de l’espace public” au détriment de la liberté d’expression[2].

Attentive aux critiques à l’encontre de la position qu’elle avait adoptée en 1999, la Cour de cassation s’est à nouveau prononcée en 2001 en y apportant un tempérament.

Dans un arrêt du 2 mai 2001, la première chambre civile a, en effet, reproché aux juges de fond de n’avoir pas précisé « en quoi l’exploitation de la photographie par les titulaires du droit incorporel de son auteur portait un trouble certain au droit d’usage et de jouissance du propriétaire » (Cass. 1ère civ. 2 mai 2001, n°99-10709).

L’exploitation de l’image d’un bien par un tiers ne serait ainsi sanctionnée qu’à la condition que soit établie l’existence d’un « trouble certain du droit d’usage et de jouissance du propriétaire ».

Cass. 1ère civ. 2 mai 2001
Sur le premier moyen, pris en sa première branche, et le deuxième moyen, pris en sa troisième branche :
Vu l'article 544 du Code civil ;

Attendu que le Comité régional de tourisme de Bretagne (le CRT) a utilisé à des fins de publicité un cliché dont il avait acquis le droit de reproduction de M. X..., photographe professionnel ; que cette image représente l'estuaire du Trieux, avec, au premier plan, l'îlot de Roch Arhon, propriété de la société civile immobilière du même nom, et a été diffusée malgré l'opposition de celle-ci ;

Attendu que pour accueillir la demande de la SCI en interdiction de cette reproduction, l'arrêt attaqué énonce que les droits invoqués par le CRT et M. X... trouvent leurs limites dans la protection du droit de propriété de la SCI, à la mesure des abus inhérents à l'exploitation d'une représentation de son bien à des fins commerciales et avec une publicité importante, que l'île est le sujet essentiel de l'image, et que la photographie est utilisée sous la forme d'une affiche à grande diffusion, au titre d'une campagne publicitaire destinée à la promotion du tourisme ;

Attendu qu'en se déterminant ainsi, sans préciser en quoi l'exploitation de la photographie par les titulaires du droit incorporel de son auteur portait un trouble certain au droit d'usage ou de jouissance du propriétaire, la cour d'appel n'a pas donné de base légale à sa décision ;

[…]

PAR CES MOTIFS, et sans qu'il y ait lieu de statuer sur les autres branches des premier et deuxième moyens :

CASSE ET ANNULE, en toutes ses dispositions, l'arrêt rendu le 24 novembre 1998, entre les parties, par la cour d'appel de Rennes ;

À l’analyse, il ressort de cette décision que la Cour de cassation s’est mise en quête de la recherche d’un équilibre entre les intérêts du propriétaire et la liberté de circulation de l’image du bien.

L’exigence de démontrer un trouble certain dans la jouissance du propriétaire conduit à autoriser l’utilisation de l’image du bien d’autrui, dès lors qu’il ne s’agit pas d’une exploitation directe de cette image.

Cette protection nouvelle du droit à l’image de son bien a pour fondement l’article 544 du Code civil, et plus précisément le droit de jouissance dont est investi le propriétaire.

Cette appréhension du droit à l’image sur les biens comme une expression de l’usus et du fructus n’a manifestement pas perduré.

Dans un arrêt du 7 mai 2004, la Cour de cassation réunie en assemblée plénière a, en effet, jugé que « le propriétaire d’une chose ne dispose pas d’un droit exclusif sur l’image de celle-ci ; qu’il peut toutefois s’opposer à l’utilisation de cette image par un tiers lorsqu’elle lui cause un trouble anormal » (Cass. ass. plen. 7 mai 2004, n°02-10450).

Par cette formule, haute juridiction déconnecte le droit à l’image sur le bien dont est titulaire le propriétaire de l’article 544 du Code civil pour le rattacher aux principes de la responsabilité civile.

Cass. ass. plen. 7 mai 2004
Sur le moyen unique, pris en ses trois branches :

Attendu, selon l'arrêt attaqué (Rouen, 31 octobre 2001), que la Société de promotion immobilière SCIR Normandie (la société SCIR Normandie), a confié à la société Publicis Qualigraphie aux droits de laquelle se trouve la société Publicis Hourra (la société Publicis) la confection de dépliants publicitaires comportant, outre des informations relatives à l'implantation de la future résidence et à ses avantages, la reproduction de la façade d'un immeuble historique de Rouen, l'Hôtel de Girancourt ; que se prévalant de sa qualité de propriétaire de cet hôtel, la SCP Hôtel de Girancourt, dont l'autorisation n'avait pas été sollicitée, a demandé judiciairement à la société SCIR Normandie la réparation du préjudice qu'elle disait avoir subi du fait de l'utilisation de l'image de son bien ; que cette dernière a appelé la société Publicis en garantie ;

Attendu que la SCP Hôtel de Girancourt fait grief à l'arrêt du rejet de ses prétentions, alors, selon le moyen :

1 ) qu'aux termes de l'article 544 du Code civil, "la propriété est le droit de jouir et disposer des choses de la manière la plus absolue, pourvu qu'on n'en fasse pas un usage prohibé par les lois et par les règlements" ; que le droit de jouir emporte celui d'user de la chose dont on est propriétaire et de l'exploiter personnellement ou par le truchement d'un tiers qui rémunère le propriétaire, ce droit ayant un caractère absolu et conduisant à reconnaître au propriétaire un monopole d'exploitation de son bien, sauf s'il y renonce volontairement ; qu'en énonçant que "le droit de propriété n'est pas absolu et illimité et ne comporte pas un droit exclusif pour le propriétaire sur l'image de son bien" pour en déduire qu'il lui appartenait de démontrer l'existence d'un préjudice car la seule reproduction de son bien immeuble sans son consentement ne suffit pas à caractériser ce préjudice, la cour d'appel a violé l'article 544 du Code civil ;

2 ) qu'elle faisait valoir dans ses conclusions d'appel que l'utilisation à des fins commerciales de la reproduction de la façade de l'Hôtel de Girancourt sans aucune contrepartie financière pour elle, qui a supporté un effort financier considérable pour la restauration de l'hôtel particulier ainsi qu'en témoignent les photographies de l'immeuble avant et après les travaux, restauration qui a permis aux intimées de choisir une image de cet immeuble pour l'intégrer dans le dépliant publicitaire, est totalement abusive et lui cause un préjudice réel, le fait que les intimées aient acheté cette reproduction chez un photographe rouennais prouvant bien que la façade restaurée représente une valeur commerciale ; qu'en énonçant, sans répondre à ce moyen particulièrement pertinent qu'elle "ne démontre pas l'existence du préjudice invoqué par elle et d'une atteinte à son droit de propriété", la cour d'appel n'a pas légalement justifié sa décision au regard de l'article 544 du Code civil ;

3 ) qu'elle faisait également valoir dans ses conclusions d'appel en visant les cartes postales de la façade historique de l’Hôtel de Girancourt qu'elle édite et qu'elle avait régulièrement produites, que les mentions portées au verso de ces pièces confirment sa volonté de conserver à son usage exclusif le droit de reproduire la façade de l'hôtel ou de concéder une autorisation quand elle estime que les conditions sont réunies ; qu'en s'abstenant totalement de se prononcer sur la valeur de ces pièces qu'elle avait régulièrement versées aux débats à l'appui de ses prétentions, la cour d'appel n'a pas légalement justifié sa décision au regard des articles 1353 du Code civil et 455 du nouveau Code de procédure civile ;

Mais attendu que le propriétaire d'une chose ne dispose pas d'un droit exclusif sur l'image de celle-ci ; qu'il peut toutefois s'opposer à l'utilisation de cette image par un tiers lorsqu'elle lui cause un trouble anormal ;

Et attendu que les énonciations de l'arrêt font apparaître qu'un tel trouble n'était pas établi ; d'où il suit que le moyen n'est pas fondé ;

PAR CES MOTIFS :

REJETTE le pourvoi

C’est ainsi que la Cour de cassation nie désormais le pouvoir du propriétaire d’exercer un droit de propriété sur l’image de son bien. Il dispose seulement d’une action qui pourrait reposer, tant sur les principes du droit de la responsabilité, que sur le droit à la vie privée ou encore sur la diffamation envisagée par la loi du 29 juillet 1881.

La notion de trouble se retrouve dans de nombreux régimes de responsabilité, de sorte que cela offre une large palette d’actions au propriétaire incommodé.

Par trouble anormal, il faut entendre, selon un arrêt de la première chambre civile, une atteinte à la tranquillité ou à l’intimité de la personne (Cass. 1ère civ. 5 juil. 2005, n°02-21452).

Dans un arrêt du 31 mars 2015, la Chambre commerciale a précisé que l’exploitation commerciale en elle-même de l’image d’un bien n’est pas constitutive d’un trouble anormal (Cass. com. 31 mars 2015, n°13-21300).

(0)

L’article 2, al. 2 de la loi informatique et libertés prévoit que « constitue une donnée à caractère personnel toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, par référence à un numéro d’identification ou à un ou plusieurs éléments qui lui sont propres ».

 Il ressort de cette disposition que la notion de données à caractère personnel est définie de manière relativement large.

À titre de remarquer liminaire, il convient d’observer que la notion de « données à caractère personnel » a été substituée à celle « d’informations nominatives » par la loi du 6 août 2004.

Initialement, la loi du 6 janvier 1978 prévoyait, en son article 4 (ancien), que « sont réputées nominatives au sens de la présente loi les informations qui permettent, sous quelque forme que ce soit, directement ou non, l’identification des personnes physiques auxquelles elles s’appliquent, que le traitement soit effectué par une personne physique ou par une personne morale. »

Désormais, on ne parle plus d’informations nominatives, mais de données à caractère personnel.

Ce glissement sémantique résulte de la prise en compte des progrès des techniques d’identification (moteurs de recherche, logiciels de reconnaissance vocale ou morphologique).

La notion « d’information nominative » suggérait qu’elle ne recouvrait que les éléments d’identification entretenant une proximité avec le nom de la personne visée.

Or son périmètre était, en réalité, bien plus large, notamment en raison du développement des mesures d’identification indirect.

La notion de « donnée à caractère personnel » est donc apparue plus pertinente, en ce qu’elle permet de couvrir des informations permettant tant l’identification, tant directe, qu’indirecte de la personne.

En pratique d’ailleurs, la CNIL avait adopté une conception large des informations nominatives, en incluant, par exemple, les numéros de téléphone, les plaques d’immatriculation ou les numéros de certains badges, ainsi que les clichés permettant d’identifier une personne.

Ce terme de données à caractère personnel, suffisamment neutre et général, permet ainsi d’éviter l’obsolescence rapide de la loi.

Il permet en outre de mettre fin en droit français à une confusion dénoncée par le Conseil d’État entre les « informations nominatives » au sens de la loi du 6 janvier 1978 et les « informations nominatives » au sens de la loi n° 78-753 du 17 juillet 1978 portant diverses mesures d’amélioration des relations entre l’administration et le public, qui a pour effet de restreindre la liberté d’accès aux documents administratifs.

En toute hypothèse, il apparaît que la définition retenue par le législateur comporte plusieurs éléments :

I) Toute information

L’expression « toute information » que l’on retrouve dans la définition, tant de la loi informatique et libertés, que dans le RGPD manifeste clairement la volonté du législateur d’élaborer un concept large des données à caractère personnel.

==> Sur la nature des informations

Le concept de données à caractère personnel englobe toutes sortes de renseignements à propos d’une personne. Il peut s’agir d’informations «objectives» telles qu’une particularité sanguine de la personne concernée, comme il peut aussi s’agir d’informations «subjectives» sous forme d’avis ou d’appréciations.

Ce dernier type de renseignements représente une grande partie du traitement des données à caractère personnel dans des secteurs tels que celui des banques, pour l’évaluation de la fiabilité des emprunteurs («X est un emprunteur fiable»), des assurances («X ne devrait pas mourir dans un proche avenir») ou de l’emploi («X est un bon travailleur et mérite d’être promu»).

Pour être considérées comme des « données à caractère personnel », il n’est pas nécessaire que ces informations soient vraies ou prouvées.

En réalité, les règles de protection des données envisagent déjà que des informations puissent être incorrectes et prévoient pour la personne concernée le droit d’accéder à ces informations et de les contester par des voies de recours adéquates.

==> Sur le contenu des informations

On entend par «données à caractère personnel» toutes sortes d’informations.

Cela couvre évidemment les informations à caractère personnel considérées comme «données sensibles», au sens de la loi informatique et libertés, en raison du fort potentiel de risque qu’elles présentent, mais également des informations plus générales.

L’expression «données à caractère personnel» englobe les informations touchant à la vie privée et familiale d’une personne physique, stricto sensu, mais également les informations relatives à ses activités, quelles qu’elles soient, tout comme celles concernant ses relations de travail ainsi que son comportement économique ou social.

Il s’agit donc d’informations concernant des personnes physiques, indépendamment de leur situation ou de leur qualité (en tant que consommateurs, patients, employés, clients, etc.).

==> Sur le format des informations ou du support utilisé

Le concept de données à caractère personnel englobe les informations disponibles sous n’importe quelle forme, qu’elles soient alphabétiques, numériques, graphiques, photographiques ou acoustiques.

Sont par exemple concernées les informations conservées sur papier, tout comme les informations stockées dans une mémoire d’ordinateur (code binaire) ou sur une cassette vidéo.

C’est une conséquence logique de l’intégration du traitement automatisé des données à caractère personnel dans son champ d’application. Il apparaît en particulier que les données constituées par des sons et des images méritent, à ce titre, d’être reconnues comme des données à caractère personnel, dans la mesure où elles peuvent représenter des informations sur une personne physique.

Par ailleurs, il n’est pas nécessaire, pour que ces informations soient considérées comme données à caractère personnel, qu’elles soient contenues dans une base de données ou un fichier structuré. Les informations contenues sous forme de texte libre dans un document électronique peuvent également être reconnues comme des données à caractère personnel, pour autant que les autres critères énoncés dans la définition des données à caractère personnel soient remplis.

Les courriers électroniques contiennent par exemple des « données à caractère personnel ».

II) Des données portant sur une personne physique

Une donnée ne peut être regardée comme revêtant un caractère personnel, qu’à la condition qu’elle porte sur une personne physique.

Le concept de «personne physique» est évoqué à l’article 6 de la Déclaration universelle des droits de l’homme qui se lit comme suit: « chacun a le droit à la reconnaissance en tous lieux de sa personnalité juridique. »

La personnalité juridique n’est autre que la capacité à être sujet de droit, de la naissance de l’individu jusqu’à son décès.

Les données personnelles sont dès lors, par principe, des données qui concernent des personnes vivantes identifiées ou identifiables.

Il s’ensuit plusieurs conséquences :

==> Exclusion des données portant sur une personne décédée

Les informations relatives à des personnes décédées ne sauraient, en principe, être considérées comme des données à caractère personnel soumises aux règles du RGPD, dans la mesure où, conformément au droit des personnes, elles ne sont plus des personnes physiques.

Telle est la solution retenue par le RGPD. Dans son considérant 27, il prévoit en ce sens qu’il n’a pas vocation à s’appliquer aux données à caractère personnel des personnes décédées.

Toutefois, les États membres peuvent prévoir des règles relatives au traitement des données à caractère personnel des personnes décédées.

À cet égard, l’article 57 de loi informatique et libertés dispose que « les informations concernant les personnes décédées, y compris celles qui figurent sur les certificats des causes de décès, peuvent faire l’objet d’un traitement de données, sauf si l’intéressé a, de son vivant, exprimé son refus par écrit ».

==> Exclusion des données portant une personne morale

Des informations qui seraient collectées sur une personne morale ne relèveraient pas du champ d’application de la loi informatique et libertés.

 Dans son considérant n°14, le RGPD prévoit, à cet égard, que la protection conférée par le présent règlement devrait s’appliquer aux personnes physiques, indépendamment de leur nationalité ou de leur lieu de résidence, en ce qui concerne le traitement de leurs données à caractère personnel.

Aussi, ce texte n’a pas vocation à couvrir le traitement des données à caractère personnel qui concernent les personnes morales, et en particulier des entreprises dotées de la personnalité juridique, y compris le nom, la forme juridique et les coordonnées de la personne morale.

Toutefois, comme l’a précisé la Cour de justice des Communautés européennes, rien ne s’oppose à ce qu’un État membre étende la portée de la législation nationale transposant les dispositions de la directive 95/46 à des domaines non inclus dans le champ d’application de cette dernière, pour autant qu’aucune autre disposition du droit communautaire n’y fasse obstacle[1].

Ainsi, certains États membres, tels que l’Italie, l’Autriche et le Luxembourg, ont étendu l’application de certaines dispositions de leur législation nationale transposant la directive (comme celles sur les mesures de sécurité) au traitement de données concernant des personnes morales.

Comme dans le cas des informations relatives aux personnes décédées, il peut arriver, en outre, qu’en vertu des modalités pratiques mises en place par le responsable du traitement des données, des données relatives à des personnes morales soient soumises de facto aux règles sur la protection des données.

Tel sera le cas lorsque des données concernant les dirigeants d’une personne morale seront collectées.

Aussi, dans une délibération n° 85-45, du 15 octobre  1985 la CNIL est venue préciser que « sont indirectement nominatives, quelle que soit la forme de l’entreprise, les informations relatives à la situation et à l’activité de l’entreprise, notamment les informations économiques et financières, dès lors qu’elles permettent l’identification des dirigeants ».

Il en résulte que les informations qui concernent les dirigeants de personnes morales doivent, quant à elles, être considérées comme des données à caractère personnel.

III) Des données permettant d’identifier directement ou indirectement une personne physique

L’article 2 de la loi informatique et libertés prévoit, en substance, qu’une personne est identifiable lorsqu’elle peut être identifiée directement ou indirectement par référence à un identifiant qui consiste :

  • soit à un numéro d’identification
  • soit à un ou plusieurs éléments qui lui sont propres.

Le RGPD précise que l’identifiant peut prendre la forme d’« un nom, un numéro d’identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale ».

Autrement dit, l’identifiant pourra être qualifié de donnée à caractère personnel, dès lors qu’il permet d’établir un lien direct ou indirect avec la personne à laquelle il est attaché.

Autant dire que toute information qui porte sur les caractéristiques d’une personne est susceptible d’être qualifiée de donnée à caractère personnel.

À cet égard, l’examen des textes révèle que pour déterminer si une personne est identifiable, deux éléments doivent être pris en compte :

  • L’identifiant attaché à la personne
  • Les moyens d’identification de la personne

Il s’en déduit que les informations anonymes ne peuvent, par nature, pas être qualifiées de données à caractère personnel.

A) Sur l’identifiant attaché à la personne

Pour être qualifiée de donnée à caractère personnel, l’information collectée doit permettre l’identification, directe ou indirecte de la personne visée.

D’une manière générale, on peut considérer une personne physique comme « identifiée » lorsque, au sein d’un groupe de personnes, elle se « distingue » de tous les autres membres de ce groupe.

La personne physique est donc « identifiable » lorsque, même sans avoir encore été identifiée, il est possible de le faire (comme l’exprime le suffixe «-able»). Cette seconde option constitue donc en pratique la condition de base qui détermine si les informations entrent dans le champ d’application du troisième élément.

L’identification se fait normalement au moyen d’informations spécifiques que l’on peut appeler «identifiants» et qui présentent une relation particulièrement privilégiée et étroite avec la personne physique concernée.

Il peut s’agir, par exemple, de signes extérieurs concernant l’apparence de cette personne comme sa taille, la couleur de ses cheveux, ses vêtements, etc. ou d’une caractéristique de cette personne qui n’est pas immédiatement perceptible, comme une profession, une fonction, un nom, etc.

Ainsi peut-on considérer que des informations rendent identifiable une personne physique, lorsqu’elles ont trait à cette personne physique. Dans nombre de situations, ce lien est facile à établir.

Par exemple, dans le cas de données enregistrées dans le dossier personnel d’un employé dans un service du personnel, il s’agit clairement de données « concernant » la situation de la personne en sa qualité d’employé.

Il en va de même des données relatives aux résultats de l’examen médical d’un patient dans son dossier médical, ou de l’image d’une personne filmée sur une vidéo lors d’une interview.

On peut citer un certain nombre d’autres situations où il n’est pas toujours aussi évident que dans les cas précédents de déterminer que les informations « concernent » une personne physique.

Dans certaines situations, les informations découlant des données concernent en premier lieu des objets, et non des personnes.

Ces objets appartiennent en général à quelqu’un, ou peuvent subir l’influence particulière de personnes ou exercer une influence particulière sur des personnes ou se trouver d’une manière ou d’une autre à proximité physique ou géographique de personnes ou d’autres objets.

Ce n’est donc que de manière indirecte que l’on pourra considérer que ces informations concernent ces personnes ou ces objets

Ainsi, l’identification d’une personne directe peut être directe ou indirecte

1) L’identification directe

S’agissant des personnes «directement» identifiées ou identifiables, le nom de la personne est évidemment l’identifiant le plus courant et, dans la pratique, la notion de «personne identifiée» implique le plus souvent une référence au nom de cette personne.

Afin de s’assurer de son identité, le nom de la personne doit parfois être associé à d’autres éléments d’information (date de naissance, nom des parents, adresse ou photo d’identité) afin d’éviter toute confusion entre cette personne et d’éventuels homonymes.

À titre d’exemple, l’information selon laquelle X est redevable d’une certaine somme d’argent peut être considérée comme concernant une personne identifiée, car elle est liée au nom de cette personne.

Le nom est un élément d’information qui révèle que la personne utilise cette combinaison de lettres et de sons pour se distinguer d’autres personnes et être distinguée par d’autres personnes avec lesquelles elle établit des relations.

Le nom peut également être le point de départ conduisant à des informations sur le domicile de la personne ou l’endroit où elle se trouve et à des informations sur les membres de sa famille (par le biais du nom de famille) et sur différentes relations juridiques et sociales associées à ce nom (scolarité/études, dossier médical, comptes bancaires).

Il est même possible de connaître l’apparence d’une personne si sa photographie est associée à ce nom. Tous ces nouveaux éléments d’information liés au nom peuvent permettre à quelqu’un de «zoomer» sur la personne en chair et en os, et grâce aux identifiants, l’élément d’information initial est alors associé à une personne physique que l’on peut distinguer d’autres personnes.

2) L’identification indirecte

S’agissant des personnes « indirectement » identifiées ou identifiables, cette catégorie relève en général du phénomène des « combinaisons uniques », à quelque degré que ce soit.

Pour les cas où, de prime abord, les identifiants sont insuffisants pour permettre à quiconque de distinguer une personne particulière, cette personne peut néanmoins être « identifiable », car ces informations combinées à d’autres éléments d’information (que ces derniers soient conservés par le responsable du traitement ou non) permettent de la distinguer parmi d’autres personnes.

C’est pourquoi la directive précise « un ou plusieurs éléments spécifiques, propres à son identité physique, physiologique, psychique, économique, culturelle ou sociale ».

Certaines caractéristiques, de par leur spécificité, permettent d’identifier quelqu’un sans difficulté («actuel premier ministre espagnol»), mais une combinaison de détails à un niveau catégoriel (tranche d’âge, origine régionale, etc.) peut également s’avérer assez concluante dans certaines circonstances, notamment si l’on a accès à des informations supplémentaires.

Ce phénomène a été étudié de manière approfondie par les statisticiens toujours soucieux de ne pas commettre de violation de la confidentialité.

À cet égard, il convient de relever que si l’identification par le nom constitue, dans la pratique, le moyen le plus répandu, un nom n’est pas toujours nécessaire pour identifier une personne, notamment lorsque d’autres «identifiants» sont utilisés pour distinguer quelqu’un.

En effet, les fichiers informatiques enregistrant les données à caractère personnel attribuent habituellement un identifiant spécifique aux personnes enregistrées pour éviter toute confusion entre deux personnes se trouvant dans un même fichier. Sur l’internet aussi, les outils de surveillance du trafic permettent de cerner facilement le comportement d’une machine et, derrière celle-ci, de son utilisateur.

On reconstitue ainsi la personnalité de l’individu pour lui attribuer certaines décisions. Sans même s’enquérir du nom et de l’adresse de la personne, on peut la caractériser en fonction de critères socio-économiques, psychologiques, philosophiques ou autres et lui attribuer certaines décisions dans la mesure où le point de contact de la personne (l’ordinateur) ne nécessite plus nécessairement la révélation de son identité au sens étroit du terme.

En d’autres termes, la possibilité d’identifier une personne n’implique plus nécessairement la faculté de connaître son identité. La définition des données à caractère personnel reflète ce constat.

La Cour de justice des Communautés européennes a statué dans ce sens, considérant que la « l’opération consistant à faire référence, sur une page Internet, à diverses personnes et à les identifier soit par leur nom, soit par d’autres moyens, par exemple leur numéro de téléphone ou des informations relatives à leurs conditions de travail et à leurs passe-temps, constitue un «traitement de données à caractère personnel »[2].

==> Cas de l’adresse IP

La question s’est posée de savoir si l’adresse IP d’un utilisateur pouvait être qualifiée de donnée à caractère personnel.

Techniquement, une adresse IP est attachée, non pas à une personne mais à une machine. Reste, que cette machine est la propriété d’une personne, de sorte que, à partir d’une adresse IP, il est possible d’identifier son titulaire.

La jurisprudence

Sur cette question la jurisprudence a été fluctuante.

Dans un arrêt du 14 décembre 2006, le Tribunal correctionnel de Bobigny a jugé que l’adresse IP constituait bien une donnée à caractère personnel (T. corr. Bobigny, 14 déc. 2006).

À l’inverse, d’un arrêt du 24 août 2006, la Cour d’appel de Pau a retenu une solution radicalement opposée (CA Pau, 24 août 2006, n° 06/593).

La Cour d’appel de Paris a statué dans le même sens dans un arrêt du 15 mai 2007 (CA Paris, 13e ch., sect. A, 15 mai 2007, n° 06/01954, Henri S. c/ SCPP).

  • Les faits
    • Un prévenu était poursuivi du chef de contrefaçon pour des faits de téléchargement illégal et de mise à disposition des internautes de fichiers musicaux.
    • L’infraction avait été constatée par un agent assermenté d’une société de gestion collective de droits qui a procédé au recueil de l’adresse IP de l’ordinateur du prévenu.
    • Ce dernier prétendait alors que cette opération nécessitait l’obtention d’une autorisation de la CNIL et que le mode de preuve est donc illicite.
    • Cet argument a été écarté par les juges du fond
  • Solution
    • La Cour d’appel de Paris considère arguments le simple constat probatoire de l’élément matériel d’une infraction commise sur Internet par un individu utilisant un pseudonyme, dressé par l’agent, conformément à la législation sur la propriété intellectuelle, ne constitue pas un traitement de données personnelles.
    • Pour elle, seule la plainte auprès des autorités judiciaires a conduit à l’identification de la personne, dans le cadre des règles de procédure pénale.
    • Le relevé de l’adresse IP de l’ordinateur servant à commettre les faits entre dans le constat de la matérialité du délit et non dans l’identification de son auteur.
    • En effet, cette série de chiffres ne constitue pas une donnée indirectement nominative relative à la personne, l’adresse se rapportant à une machine et non à la personne l’utilisant. Les opérations de traitement de données visant à “la mise en place d’une surveillance automatisée des réseaux peer to peer”, auxquelles la CNIL a refusé l’autorisation à la société de gestion des droits par une décision de 2005, sont très différentes du simple procès-verbal d’un agent assermenté transmis aux autorités judiciaires aux fins d’identification et de poursuite.
    • Par conséquent, le procédé utilisé ne nécessitait nullement l’agrément de la CNIL.

Finalement, la Cour de cassation est intervenue dans un arrêt du 13 janvier 2009. Elle ne s’est toutefois pas prononcée en faveur de la qualification de l’adresse IP en donnée à caractère personnel (Cass. crim., 13 janv. 2009, n° 08-84.088).

À cet égard, elle a considéré que « les constatations visuelles effectuées sur internet et les renseignements recueillis en exécution de l’article L. 331-2 du code de la propriété intellectuelle par un agent assermenté qui, sans recourir à un traitement préalable de surveillance automatisé, utilise un appareillage informatique et un logiciel de pair à pair, pour accéder manuellement, aux fins de téléchargement, à la liste des œuvres protégées irrégulièrement proposées sur la toile par un internaute, dont il se contente de relever l’adresse IP pour pouvoir localiser son fournisseur d’accès en vue de la découverte ultérieure de l’auteur des contrefaçons, rentrent dans les pouvoirs conférés à cet agent par la disposition précitée, et ne constituent pas un traitement de données à caractère personnel relatives à ces infractions, au sens des articles 2, 9 et 25 de la loi susvisée »

La chambre criminelle a réitéré cette solution dans un arrêt du 23 mars 2010 (Cass. crim., 23 mars 2010, n° 09-80.787).

Alors que la position de la Cour de cassation était pour le moins critiquée, elle a, dans un arrêt du 3 novembre 2016, opéré un revirement de jurisprudence en considérant, sans ambiguïté que « les adresses IP, qui permettent d’identifier indirectement une personne physique, sont des données à caractère personnel, de sorte que leur collecte constitue un traitement de données à caractère personnel et doit faire l’objet d’une déclaration préalable auprès de la CNIL » (Cass, 1ère civ., 3 novembre 2016, n°15-22595).

La haute juridiction s’est ainsi ralliée à la position de la CNIL et de la CJUE.

Cass. 1ère civ. 3 nov. 2016
Attendu, selon l’arrêt attaqué, que les sociétés Groupe logisneuf, C.Invest et European Soft, appartenant toutes trois au groupe Logisneuf, ont constaté la connexion, sur leur réseau informatique interne, d’ordinateurs extérieurs au groupe, mais faisant usage de codes d’accès réservés aux administrateurs du site internet logisneuf.com ; qu’elles ont obtenu du juge des requêtes une ordonnance faisant injonction à divers fournisseurs d’accès à Internet de leur communiquer les identités des titulaires des adresses IP utilisées pour les connexions litigieuses ; que, soutenant que la conservation, sous forme de fichier, de ces adresses IP aurait dû faire l’objet d’une déclaration auprès de la Commission nationale de l’informatique et des libertés (CNIL) et invoquant, par suite, l’illicéité de la mesure d’instruction sollicitée, la société Cabinet Peterson, qui exerce une activité de conseil en investissement et en gestion de patrimoine concurrente de celle du groupe Logisneuf, a saisi le président du tribunal de commerce en rétractation de son ordonnance ;

Sur les premier et deuxième moyens, ci-après annexés :

Attendu que ces moyens ne sont manifestement pas de nature à entraîner la cassation ;

Mais sur le troisième moyen, pris en sa première branche :

Vu les articles 2 et 22 de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés ;

Attendu qu’aux termes du premier de ces textes, constitue une donnée à caractère personnel toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, par référence à un numéro d’identification ou à un ou plusieurs éléments qui lui sont propres ; que constitue un traitement de données à caractère personnel toute opération ou tout ensemble d’opérations portant sur de telles données, quel que soit le procédé utilisé, et notamment la collecte, l’enregistrement, l’organisation, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, ainsi que le verrouillage, l’effacement ou la destruction ;

Que, selon le second, les traitements automatisés de données à caractère personnel font l’objet d’une déclaration auprès de la CNIL ;

Attendu que, pour rejeter la demande de rétractation formée par la société Cabinet Peterson, l’arrêt retient que l’adresse IP, constituée d’une série de chiffres, se rapporte à un ordinateur et non à l’utilisateur, et ne constitue pas, dès lors, une donnée même indirectement nominative ; qu’il en déduit que le fait de conserver les adresses IP des ordinateurs ayant été utilisés pour se connecter, sans autorisation, sur le réseau informatique de l’entreprise, ne constitue pas un traitement de données à caractère personnel ;

Qu’en statuant ainsi, alors que les adresses IP, qui permettent d’identifier indirectement une personne physique, sont des données à caractère personnel, de sorte que leur collecte constitue un traitement de données à caractère personnel et doit faire l’objet d’une déclaration préalable auprès de la CNIL, la cour d’appel a violé les textes susvisés ;

Par ces motifs et sans qu’il y ait lieu de statuer sur les autres branches du troisième moyen :

CASSE ET ANNULE, en toutes ses dispositions, l’arrêt rendu le 28 avril 2015, entre les parties, par la cour d’appel de Rennes ;

La position de la CNIL

Dans un avis du 2 août 2007, la CNIL avait fait part de son inquiétude s’agissant de l’absence de reconnaissance, par la jurisprudence, de la qualification de données à caractère personnel de l’adresse IP.

Pour la gardienne de la loi informatique et libertés, cette position remet profondément en cause la notion de donnée à caractère personnel qui est très large.

En effet, l’article 2 de la loi du 6 janvier 1978 modifiée en 2004 qui la définit, vise toute information relative à une personne physique qui peut être identifiée, directement ou indirectement, par référence à un numéro d’identification ou à des éléments qui lui sont propres. Ce qui est le cas d’un numéro de plaque d’immatriculation de véhicule, d’un numéro de téléphone ou d’une adresse IP.

L’ensemble des autorités de protection des données des États membres de l’Union européenne a d’ailleurs récemment rappelé, dans un avis du 20 juin 2007 relatif au concept de données à caractère personnel, que l’adresse IP attribuée à un internaute lors de ses communications constituait une donnée à caractère personnel.

Surtout, la CNIL s’inquiète des répercussions qu’une telle jurisprudence pourrait avoir sur la protection de la vie privée et des libertés individuelles sur internet, de plus en plus largement utilisé par tous, dans notre société

La position du G29

Le groupe de travail de l’article 29 a considéré les adresses IP comme des données concernant une personne identifiable.

Le G29 justifie sa position en relevant que les fournisseurs d’accès Internet et les gestionnaires des réseaux locaux peuvent, en utilisant des moyens raisonnables, identifier les utilisateurs Internet auxquels ils ont attribué des adresses IP, du fait qu’ils enregistrent systématiquement dans un fichier les date, heure, durée et adresse dynamique IP donnée à l’utilisateur Internet.

Il en va de même pour les fournisseurs de services internet qui conservent un fichier-registre sur le serveur HTTP. Dans ces cas, on peut parler, sans l’ombre d’un doute, de données à caractère personnel au sens de l’article 2, point a), de la directive».

Il apparaît notamment que lorsque le traitement d’adresses IP a été effectué pour identifier les utilisateurs de l’ordinateur (par exemple, par des titulaires de droits d’auteur afin de poursuivre ces utilisateurs d’ordinateurs pour violation de droits de la propriété intellectuelle), le responsable du traitement part du principe que les « moyens susceptibles d’être raisonnablement mis en œuvre » pour identifier les personnes seront disponibles, par exemple par l’intermédiaire des tribunaux saisis (sinon la collecte d’informations serait inutile), de sorte qu’il convient de considérer ces informations comme des données à caractère personnel.

La position de la CJUE

Dans un arrêt du 24 novembre 2011, la CJUE s’est prononcée pour la première fois sur la question de savoir si l’adresse IP pouvait être qualifiée de donnée à caractère personnel (CJUE, 24 nov. 2011, aff. C-70/10, Scarlet Extended).

Elle a considéré que les adresses IP étaient bien des données protégées à caractère personnel, car elles permettent l’identification précise desdits utilisateurs.

Dans un autre arrêt du 19 octobre 2016 elle a confirmé sa jurisprudence en considérant que « une adresse IP (protocole Internet) dynamique par laquelle un utilisateur a accédé au site Internet d’un fournisseur de médias électroniques constitue pour celui-ci une donnée à caractère personnel, dans la mesure où un fournisseur d’accès au réseau possède des informations supplémentaires qui, combinées à l’adresse IP dynamique, permettraient d’identifier l’utilisateur » (CJUE, 19 oct. 2016, aff. C-582/14).

Ce qui importe, c’est donc que l’information collectée rende la personne identifiable. Or pour qu’une personne soit considérée comme identifiable, il n’est pas nécessaire que tous les moyens d’identification de cette personne se trouvent entre les mains d’une seule entité.

Ainsi, une adresse IP peut constituer une donnée à caractère personnel si un tiers (par exemple, le fournisseur d’accès à Internet) dispose des moyens nécessaires à l’identification du titulaire de cette adresse sans déployer d’efforts démesurés.

Le RGPD

Le considérant 30 du RGPD prévoit que « les personnes physiques peuvent se voir associer, par les appareils, applications, outils et protocoles qu’elles utilisent, des identifiants en ligne tels que des adresses IP et des témoins de connexion («cookies») ou d’autres identifiants, par exemple des étiquettes d’identification par radiofréquence. Ces identifiants peuvent laisser des traces qui, notamment lorsqu’elles sont combinées aux identifiants uniques et à d’autres informations reçues par les serveurs, peuvent servir à créer des profils de personnes physiques et à identifier ces personnes. »

Il se déduit ainsi de ce texte que l’adresse IP constitue bien une donnée à caractère personnel. Le débat semble désormais clos.

Au total, il importe peu qu’une personne puisse être directement ou indirectement identifiée, toute la difficulté étant, au fond, de déterminer, si l’information collectée se rapporte à une personne physique identifiable.

Pour ce faire, il convient de se tourner, soit vers les textes, soit vers la jurisprudence lesquels fournissent plusieurs critères d’appréciations.

B) Sur les moyens d’identification de la personne

L’article 2 de la loi informatique et libertés dispose que « pour déterminer si une personne est identifiable, il convient de considérer l’ensemble des moyens en vue de permettre son identification dont dispose ou auxquels peut avoir accès le responsable du traitement ou toute autre personne. »

Cela signifie que la simple possibilité hypothétique de distinguer une personne n’est pas suffisante pour considérer cette personne comme «identifiable».

Si, compte tenu de l’ensemble des moyens susceptibles d’être raisonnablement mis en œuvre, soit par le responsable du traitement, soit par une autre personne, cette possibilité n’existe pas ou qu’elle est négligeable, la personne ne saurait être considérée comme «identifiable» et les informations ne seraient pas des «données à caractère personnel».

Le critère de l’ensemble des moyens susceptibles d’être raisonnablement mis en œuvre doit notamment prendre en compte tous les facteurs en jeu.

Le considérant 26 du RGPD précise en ce sens que « pour établir si des moyens sont raisonnablement susceptibles d’être utilisés pour identifier une personne physique, il convient de prendre en considération l’ensemble des facteurs objectifs, tels que le coût de l’identification et le temps nécessaire à celle-ci, en tenant compte des technologies disponibles au moment du traitement et de l’évolution de celles-ci ».

Ainsi, la finalité visée, la manière dont le traitement est structuré, l’intérêt escompté par le responsable du traitement, les intérêts en jeu pour les personnes, les risques de dysfonctionnements organisationnels (par exemple violations du devoir de confidentialité) et les défaillances techniques sont autant d’aspects qu’il convient de prendre en considération.

Par ailleurs, ce critère présente un caractère dynamique d’où la nécessité de tenir compte de l’état d’avancement technologique au moment du traitement et de changements éventuels pendant la période pour laquelle les données seront traitées. Il se peut que l’identification ne soit pas possible aujourd’hui avec l’ensemble des moyens existants auxquels l’on peut raisonnablement recourir.

Si les données doivent être conservées pendant une durée d’un mois, il est probable que l’identification ne pourra intervenir pendant la «durée de vie» des informations, et elles ne sauraient dès lors être considérées comme des données à caractère personnel.

Cependant, si elles doivent être conservées pendant dix ans, le responsable du traitement doit envisager la possibilité d’une identification pouvant intervenir même au cours de la neuvième année, ce qui en ferait à ce moment-là des données à caractère personnel. Il est souhaitable que le système puisse s’adapter à ces développements lorsqu’ils interviennent, et intégrer alors les mesures techniques et organisationnelles appropriées en temps utile.

En toute hypothèse, un facteur essentiel pour évaluer l’ensemble des moyens susceptibles d’être raisonnablement mis en œuvre pour identifier les personnes sera, en réalité, la finalité visée par le responsable du traitement dans le cadre du traitement des données.

Lorsque la finalité du traitement implique l’identification de personnes physiques, il est permis de penser que le responsable du traitement ou toute autre personne concernée dispose ou disposera de moyen «susceptibles d’être raisonnablement mis en œuvre» pour identifier la personne concernée.

En réalité, prétendre que les personnes physiques ne sont pas identifiables alors que la finalité du traitement est précisément de les identifier serait une contradiction absolue in terminis. Il est dès lors essentiel de considérer ces informations comme concernant des personnes physiques identifiables et d’appliquer les règles de protection des données à leur traitement.

[1] CJUE Arrêt du 6 novembre 2003 dans l’affaire C-101/2001 (Lindqvist), point 98

[2] CJUE Arrêt du 6 novembre 2003 dans l’affaire C-101/2001 (Lindqvist), point 27.

(0)