De l’esprit de la loi informatique et libertés: l’article 1er

L’article 1er de la loi informatique et libertés prévoit que « l’informatique doit être au service de chaque citoyen. Son développement doit s’opérer dans le cadre de la coopération internationale. Elle ne doit porter atteinte ni à l’identité humaine, ni aux droits de l’homme, ni à la vie privée, ni aux libertés individuelles ou publiques.

Toute personne dispose du droit de décider et de contrôler les usages qui sont faits des données à caractère personnel la concernant, dans les conditions fixées par la présente loi».

En raison de la portée générale, sinon symbolique de cette disposition, elle occupe une place à part dans le corpus de la loi informatique et libertés. Et pour cause, elle en exprime l’esprit ; elle est son réceptacle.

À cet égard, l’article 1er révèle, chez le législateur, à la fois l’espoir et l’inquiétude que le développement de l’informatique peut faire naître.

Il prescrit, en face d’un phénomène de société sans précédent, une attitude que les autorités publiques, en particulier la Commission Nationale de l’Informatique et des Libertés (CNIL), ont pour mission de faire respecter.

Aussi, cela leur impose-t-il d’être attentives aux évolutions, aux glissements de pouvoirs, aux centralisations excessives, dans tous les domaines sans exception, où l’informatique est utilisée.

Si l’on se focalise sur les termes de l’article qui introduit la loi informatique et libertés, trois enseignements majeurs peuvent en être tirés :

  • Le traitement des données à caractères personnels ne doit porter atteinte, ni à l’état des personnes, ni à leurs droits et libertés
  • Les individus jouissent d’un droit à l’autodétermination informationnelle
  • L’encadrement des traitements de données à caractère personnel doit s’opérer dans le cadre d’une coopération internationale

§1 : La protection de la personne humaine

L’article 1er de la loi informatique et libertés dispose que l’informatique « ne doit porter atteinte ni à l’identité humaine, ni aux droits de l’homme, ni à la vie privée, ni aux libertés individuelles ou publiques. »

La lecture de cette disposition révèle que la volonté du législateur a été de conférer une protection des plus larges aux personnes, en ce sens qu’elle ne vise pas seulement à prévenir les atteintes susceptibles d’être portées à la vie privée.

Pour rappel, le droit à la vie privée a été consacré par la loi n° 70-643 du 17 juillet 1970 tendant à renforcer la garantie des droits individuels des citoyens.

Ce droit est énoncé à l’article 9 du Code civil qui dispose :

« Les juges peuvent, sans préjudice de la réparation du dommage subi, prescrire toutes mesures, telles que séquestre, saisie et autres, propres à empêcher ou faire cesser une atteinte à l’intimité de la vie privée : ces mesures peuvent, s’il y a urgence, être ordonnées en référé. »

Au vrai, si le législateur a entendu inclure dans le champ de la protection conférée par la loi informatique et libertés, l’identité humaine, les droits de l’Homme ainsi que les libertés publiques ou individuelles, c’est qu’il a estimé que le droit à la vie privé, fusse-t-il inséré dans le Code civil, était trop étroit.

Dès 1978, les parlementaires avaient bien conscience que les atteintes aux personnes engendrées par le traitement automatisé des données dépassaient le simple cadre de la vie privée.

De surcroît, le droit à la vie privée n’est reconnu par aucun texte à valeur constitutionnelle.

A) L’étroitesse du droit à la vie privée

Il est particulièrement frappant de constater que les normes constitutionnelles qui protègent les droits et libertés fondamentaux des individus ne mentionnent nulle part le droit de chacun au respect de sa vie privée et à la protection de ses données personnelles.

Ces droits ne sont inscrits, ni dans la Constitution du 4 octobre 1958, ni dans son préambule.

Ces droits sont seulement protégés par des dispositions de nature législative.

  • L’article 9 du Code civil énonce le droit au respect de la vie privée
  • Certaines dispositions pénales répriment les violations de l’intimité de la vie privée, notamment les articles 226-1, 226-2, 226-3, 226-4-1 ou 226-22 du code pénal.

C’est seulement par effet de la jurisprudence développée par le Conseil constitutionnel que ces droits ont été progressivement et partiellement reconnus.

Le Conseil constitutionnel a jugé, dans une décision du 23 juillet 1999 que la liberté proclamée par l’article 2 de la Déclaration des droits de l’homme et du citoyen de 1789 « implique le respect de la vie privée », principe qui figure au nombre des droits et libertés constitutionnellement garantis dont la mise en œuvre incombe à la fois au juge judiciaire et au juge administratif.

Le Conseil constitutionnel n’a, toutefois, tiré que très récemment les conséquences de ce droit en matière de protection des données personnelles, en jugeant à partir de 2012 que « la collecte, l’enregistrement, la conservation, la consultation et la communication de données à caractère personnel doivent être justifiés par un motif d’intérêt général et mis en œuvre de manière adéquate et proportionnée à cet objectif » (Décisions nos 2012-652 DC du 22 mars 2012).

Cette situation, qui démontre la relative obsolescence et l’inadaptation de notre corpus constitutionnel aux réalités de la société numérique, tranche également avec la reconnaissance dont ces droits ont fait l’objet en droit international.

Le principe du respect de la vie privée est explicitement affirmé et protégé par plusieurs instruments internationaux, parmi lesquels :

  • La Déclaration universelle des droits de l’homme du 10 décembre 1948
  • Le Pacte international relatif aux droits civils et politiques du 16 novembre 1966 (3), entré en vigueur le 23 mars 1976 et ratifié par la France le 4 novembre 1966
  • La Convention européenne de sauvegarde des droits de l’homme et des libertés fondamentales (CESDH) du 4 novembre 1950 (4), ratifiée par la France le 3 mai 1974.

Quant au droit à la protection des données à caractère personnel, il a notamment été consacré par la Convention du Conseil de l’Europe du 28 janvier 1981 pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel (6), dite « 108 ».

Fait notable, il est, depuis 2007, un droit fondamental dans l’ordre juridique de l’Union européenne, distinct du droit au respect de la vie privée.

L’article 8 de la Charte européenne des droits fondamentaux de l’Union européenne du 7 décembre 2000, à laquelle le traité de Lisbonne du 13 décembre 2007 a conféré valeur juridique contraignante, prévoit ainsi, distinctement de son article 7 relatif au respect de la vie privée, que :

  • Les données à caractère personnel doivent être traitées loyalement, à des fins déterminées et sur la base du consentement de la personne concernée ou en vertu d’un autre fondement légitime prévu par la loi
  • Toute personne a le droit d’accéder aux données collectées la concernant et d’en obtenir la rectification »
  • Le respect de ces règles est soumis au contrôle d’une autorité indépendante

Enfin, si la CESDH ne comporte pas d’article spécifiquement consacré à la protection des données personnelles, la CEDH protège expressément ce droit sur le fondement du droit au respect de la vie privée mentionné par l’article 8 de la Convention en jugeant que « la protection des données à caractère personnel joue un rôle fondamental pour l’exercice du droit au respect de la vie privée et familiale »[1].

Pour l’heure, la constitutionnalisation des droits au respect de la vie privée et à la protection des données à caractère personnel n’est toujours pas intervenue.

Pourtant, il a été proposé par Commission de réflexion et de propositions sur le droit et les libertés à l’âge numérique de consacrer explicitement et séparément dans la Constitution du 4 octobre 1958 les droits, d’une part, au respect de la vie privée, et, d’autre part, à la protection des données à caractère personnel.

Selon cette commission, la définition du droit au respect de la vie privée pourrait s’inspirer de la conception qu’en a développée jusqu’à ce jour le Conseil constitutionnel et la définition qu’en ont donné les normes et les juridictions communautaires et européennes.

Une telle consécration permettrait, pour ce qui concerne son volet numérique, de mieux protéger notamment le droit au secret des correspondances numériques et le droit à l’inviolabilité du domicile numérique face à certaines technologies intrusives.

La définition du droit à la protection des données personnelles pourrait pour sa part reprendre celle qu’en a donnée l’article 8 de la Charte européenne des droits fondamentaux de l’Union européenne, en parfaite cohérence avec les exigences posées par le droit communautaire dans ce domaine.

Sa consécration permettrait d’élever les conditions d’exploitation des données personnelles à l’ère numérique en soumettant leur traitement à l’exigence de loyauté et à l’existence de fins déterminées ainsi que d’un fondement légitime ou du consentement de l’intéressé.

Une telle consécration présenterait plusieurs avantages :

  • Tout d’abord, ainsi consacrés, ces droits se verraient érigés en exigences constitutionnelles de valeur équivalente à d’autres, comme la liberté d’entreprendre ou la liberté d’expression respectivement protégées par les articles 4 et 11 de la Déclaration des droits de l’homme et du citoyen de 1789, rendant plus aisée leur conciliation.
  • Par ailleurs, une telle consécration permettrait, comme suggéré par Isabelle Falque-Pierrotin, « d’afficher une protection du plus haut niveau dans ce domaine, ce qui serait très utile lors des négociations internationales» engagées au niveau de l’Union européenne et avec d’autres pays comme les États-Unis.
  • Enfin, elle rapprocherait la France des treize autres pays européens qui ont également procédé à la constitutionnalisation spécifique du droit à la protection des données à caractère personnel, en particulier l’Allemagne, l’Autriche, l’Espagne, la Grèce, la Hongrie, les Pays-Bas, le Portugal ou la Suède.

B) Une protection qui déborde le droit à la vie privée

En désignant comme objet de la protection assurée par la loi informatique et libertés, l’identité humaine, les droits de l’homme ainsi que les libertés individuelles ou publiques, le législateur a, sans nul doute, souhaité garantir le respect de la personne humaine dans toutes ses composantes.

L’étendue de cette protection se retrouve notamment à l’article 1er de la Convention 108 du Conseil de l’Europe aux termes duquel :

« le but de la présente Convention est de garantir, sur le territoire de chaque Partie, à toute personne physique, quelles que soient sa nationalité ou sa résidence, le respect de ses droits et de ses libertés fondamentales, et notamment de son droit à la vie privée, à l’égard du traitement automatisé des données à caractère personnel la concernant ».

La Directive du 24 octobre 1995 abondait dans le même sens en prévoyant à son article 1er que :

« Les États membres assurent, conformément à la présente directive, la protection des libertés et droits fondamentaux des personnes physiques, notamment de leur vie privée, à l’égard du traitement des données à caractère personnel. »

Quant au Règlement général sur la protection des données, son article 2 dispose, sensiblement dans les mêmes termes, que :

« Le présent règlement protège les libertés et droits fondamentaux des personnes physiques, et en particulier leur droit à la protection des données à caractère personnel. »

Ainsi, la protection de la personne humaine contre le traitement des données à caractère personnel doit être envisagée à l’aune des droits et libertés qui lui sont conférées.

En écho à l’article 1er de la loi informatique et libertés, le considérant 2 du RGPD prévient que « le traitement des données à caractère personnel devrait être conçu pour servir l’humanité », raison pour laquelle « les principes et les règles régissant la protection des personnes physiques à l’égard du traitement des données à caractère personnel les concernant devraient, quelle que soit la nationalité ou la résidence de ces personnes physiques, respecter leurs libertés et droits fondamentaux »

Au nombre des textes qui énoncent, en droit interne, ces droits et libertés figurent la Déclaration des Droits de l’Homme et du Citoyen, complétée par le préambule de la Constitution de 1946, le tout étant visé par le préambule de la Constitution du 4 octobre 1958.

L’article 1er de la loi informatique et libertés doit, en sus, être interprétée à la lumière de la jurisprudence du Conseil constitutionnel et des juridictions de l’ordre judiciaire et administratif.

Au bilan, il apparaît que la protection de la personne humaine contre les atteintes susceptibles d’être engendrées par le traitement des données à caractère personnel est bien plus étendue que celle garantie par le droit à la vie privée.

§2 : Le droit à l’autodétermination informationnelle

L’alinéa 2 de l’article 1er de la loi informatique et liberté dispose que « toute personne dispose du droit de décider et de contrôler les usages qui sont faits des données à caractère personnel la concernant, dans les conditions fixées par la présente loi. »

Cet alinéa, qui ne figurait pas dans le texte initial, est issu de la loi n° 2016-1321 du 7 octobre 2016 pour une République numérique.

Pourquoi cette précision ? Son ajout procède d’une réflexion sur le rapport que les sujets de droit entretiennent avec leurs données à caractère personnel.

Comme relevé par la Commission de réflexion et de propositions sur le droit et les libertés à l’âge numérique la monétisation économique croissante dont font aujourd’hui l’objet les données personnelles a pu conduire certains à considérer que la protection de la vie privée à l’ère numérique serait mieux assurée par la reconnaissance d’un droit de propriété de l’individu sur ses données permettant de mieux concilier l’exigence de protection avec le souhait de nombreuses personnes de valoriser leurs informations personnelles, en échange d’une rémunération ou d’un service.

Cette position est, cependant, loin d’être partagée par tous. Comme l’a indiqué Isabelle Falque-Pierrotin une telle logique ferait perdre « des leviers d’action considérables sur lesdites données : étant propriétaire de ses données, l’individu pourrait les vendre, notamment à des acteurs étrangers. Or la grande supériorité intellectuelle du droit à la protection des données personnelles réside dans le fait qu’il reconnaît le droit d’un individu même si les données sont traitées par d’autres ».

Certes la reconnaissance d’un droit de propriété de l’individu sur ses données ne conduirait pas à une privatisation irréversible de ses informations personnelles et à la perte de tout contrôle sur leur devenir. Le droit de la propriété intellectuelle enseigne, dans d’autres domaines, qu’il est possible de ménager des outils d’inaliénabilité limitant la portée du droit de cession, ouvrant des possibilités de licence et, en définitive, modulant cette patrimonialisation.

Mais, ainsi que l’a souligné Maryvonne de Saint-Pulgent, présidente de la section du rapport et des études du Conseil d’État, il est incontestable qu’elle fragiliserait considérablement le cadre juridique qui régit aujourd’hui les conditions d’utilisation des données personnelles.

Elle se heurterait encore aux limites territoriales de la reconnaissance du droit de propriété, à l’heure où les grands responsables de traitements de données sont implantés à l’étranger.

Et « la reconnaissance de ce droit de propriété rendrait plus difficile l’action de l’État pour protéger les individus confrontés à de multiples pièges car toutes ses interventions pourraient alors être regardées comme portant atteinte à un droit de valeur constitutionnelle ».

Par ailleurs, il est défendu, à juste titre, que les principes actuels de la loi informatique et libertés permettent déjà une valorisation économique des données, en autorisant, sous certaines conditions, leur recueil, leur exploitation et leur conservation en échange de la délivrance de services ou de facilités.

Qui plus est, un droit de propriété individuel sur les données ne permettrait pas de rééquilibrer la relation asymétrique qui existe aujourd’hui entre les éditeurs de services numériques et les internautes, marquée par la très faible valeur accordée aux données d’un seul individu.

Il serait donc pour le moins paradoxal d’accorder un droit de propriété à des individus pris isolément alors que c’est la masse des données de plusieurs centaines d’individus qui constitue une valeur économique aux yeux des responsables de traitements.

Enfin, cette reconnaissance romprait avec l’approche généraliste et personnaliste de notre législation, qui considère la donnée personnelle comme le support indirect d’un droit fondamental et inaliénable reconnu à l’individu dont elle émane et non comme un objet économique.

En lieu et place d’une privatisation de ses données personnelles, le législateur a don décidé de procéder à une plus grande autonomisation de l’individu dans l’univers numérique, en lui permettant non plus seulement de bénéficier de droits à la protection mais aussi d’être maître de son épanouissement dans l’univers numérique.

Jusqu’alors, l’approche par l’autonomisation individuelle était relativement absente de la législation française, à la différence d’autres pays européens comme l’Allemagne dont la Cour constitutionnelle fédérale a dégagé, dès 1983, des principes de dignité de l’homme et de droit au libre développement de sa personnalité un droit à l’autodétermination informationnelle de l’individu.

Pour la Cour de Karlsruhe qui s’est exprimée dans un arrêt du 15 décembre 1983, « la Constitution [allemande] garantit en principe la capacité de l’individu à décider de la communication et de l’utilisation de ses données à caractère personnel » car s’il « ne sait pas prévoir avec suffisamment de certitude quelles informations le concernant sont connues du milieu social et à qui celles-ci pourraient être communiquées, sa liberté de faire des projets ou de décider sans être soumis à aucune pression est fortement limitée ». Pour elle, « l’autodétermination est une condition élémentaire fonctionnelle dans une société démocratique libre, basée sur la capacité des citoyens d’agir et de coopérer ».

Séduit par cette approche, le législateur français a manifestement estimé, en complétant l’article 1er de la loi informatique et libertés que l’individu devait pouvoir disposer de moyens plus importants pour assurer sa protection face aux risques soulevés par le numérique.

Pratiquement, cette consécration du droit à l’autodétermination informationnelle présente quatre avantages parfaitement résumés par le Conseil d’État :

  • elle donne sens à tous les autres droits relatifs à la protection des données à caractère personnel qui ne constitue pas un but en soi ;
  • alors que le droit à la protection des données peut être perçu comme un concept défensif, le droit à l’autodétermination lui donne un contenu positif à la fois plus efficace et plus conforme à la logique personnaliste et non patrimoniale qui a toujours prévalu en Europe en matière de protection des données ;
  • elle souligne que la législation relative à la protection des données protège non seulement l’individu mais aussi les intérêts collectivement défendus par la société tout entière ;
  • elle apparaît d’une grande ambition, au regard de la perte générale de maîtrise par les individus de leurs données dans un contexte où la donnée personnelle est de plus en plus traitée comme une marchandise.

§3 : L’exigence de coopération internationale

L’article 1er de la loi informatique et libertés prévoit que le développement de l’informatique « doit s’opérer dans le cadre de la coopération internationale ».

Cette précision fait écho au développement des flux transfrontaliers de données à caractère personnel.

La mondialisation, l’essor de l’Internet et l’effondrement des coûts des télécommunications augmentent, en effet, considérablement le volume des informations de caractère personnel qui franchissent les frontières.

Cet accroissement de la circulation transfrontière de l’information a des retombées positives tant pour les organisations que pour les personnes en abaissant les coûts, en induisant des gains d’efficience et en améliorant le service au client.

Dans le même temps, ces flux d’informations de caractère personnel accentuent les préoccupations pour la vie privée, en soulevant de nouveaux problèmes de protection des informations de caractère personnel des individus.

Lorsque des données de caractère personnel partent à l’étranger, le risque que les personnes perdent leur capacité d’exercer leurs droits à la vie privée, ou de se protéger contre l’utilisation ou la divulgation illicite de cette information, augmente. Dans le même temps, les autorités chargées de faire appliquer les lois sur la vie privée peuvent constater qu’elles sont dans l’incapacité de donner suite aux plaintes ou de procéder à des investigations en relation avec les activités d’organisations implantées à l’étranger.

Les efforts qu’elles déploient pour œuvrer ensemble dans un contexte transfrontière pourraient également être entravés par des pouvoirs insuffisants en matière de mesures préventives ou correctives, par des disparités dans les régimes juridiques et par des obstacles pratiques comme des contraintes de ressources.

Dans ce contexte, un consensus s’est dessiné sur la nécessité de promouvoir une coopération plus étroite entre les autorités chargées de faire appliquer la législation sur la vie privée, afin de les aider à échanger des informations et procéder à des enquêtes avec leurs homologues à l’étranger.

L’importance de la coopération dans l’application des lois relatives à la protection de la vie privée est reconnue non seulement au sein de l’OCDE, mais aussi dans d’autres enceintes, notamment la Conférence internationale des commissaires à la protection des données et à la vie privée, le Conseil de l’Europe, la Coopération économique AsiePacifique (APEC), ainsi que l’Union européenne et son groupe de protection des personnes à l’égard du traitement des données de caractère personnel (Groupe de travail « Article 29 »).

De fait, les instruments régionaux et autres mécanismes moins formels destinés à faciliter la coopération transfrontière se multiplient. Cependant, aucun de ces instruments n’a de portée mondiale.

De fait, la nécessité d’un renforcement de la coopération dans l’application des lois est apparue pour la première fois dans les Lignes directrices de l’OCDE de 1980 régissant la protection de la vie privée et les flux transfrontières de données de caractère personnel (« Lignes directrices sur la vie privée »), rappelé dans la Déclaration ministérielle d’Ottawa de 1998 et souligné plus récemment en 2003 dans le rapport « Protection de la vie privée en ligne : orientations politiques et pratiques de l’OCDE ».

Bien que les Lignes directrices sur la vie privée servent de point de départ à l’initiative actuelle, l’environnement a changé.

Lorsque les Lignes directrices sur la vie privée ont été adoptées, environ un tiers seulement des pays Membres disposaient d’une législation sur la protection de la vie privée.

Aujourd’hui, la quasi-totalité des pays Membres de l’OCDE se sont dotés de lois protégeant la vie privée et ont mis en place des autorités ayant des pouvoirs pour les faire appliquer – signe que la protection de la vie privée et de la sécurité des informations personnelles est essentielle dans les sociétés démocratiques et concourt à la confiance des consommateurs sur les marchés tant intérieurs que mondiaux.

Pour toutes ces raisons, il est absolument nécessaire de satisfaire à cette exigence de coopération internationale, gravée dans le marbre de la loi informatique et libertés.

Pratiquement, afin d’élaborer des mécanismes de coopération internationale destinés à faciliter et à mettre en place une assistance mutuelle internationale pour faire appliquer les législations relatives à la protection des données à caractère personnel, il est un impératif que les autorités nationales puissent échanger des informations et coopérer dans le cadre d’activités liées à l’exercice de leurs compétences avec les autorités compétentes dans les pays tiers, sur une base réciproque.

Cette base réciproque est constituée notamment :

  • Des lignes directrices de l’OCDE
  • Des principes directeurs de l’ONU
  • De la convention STE 108
  • De la Convention européenne des droits de l’homme

[1] CEDH, 4 décembre 2008, S. et Marper c. Royaume-Uni, n° 30562/04 et 305566/04

L’émergence du droit des données à caractère personnel: de la loi informatique et libertés au RGPD

I) La genèse

==> Noli me tangere

 Si, comme l’a écrit Nietzche, « notre époque se nourrit et vit des moralités du passé », depuis le début du XXe siècle les défenseurs du principe de laïcité n’ont eu de cesse de combattre ces moralités, afin qu’il soit procédé, comme l’a suggéré Georges Ripert, à « l’élimination complète de la force religieuse dans la création du droit »[1].

Il est, pourtant, une partie de cette force créatrice qui n’a pas succombé ; il s’agit de ce par quoi est maintenue la personne humaine au sommet de la pyramide des valeurs. Sans que les juristes y prêtent, pour la plupart, grande attention, le caractère sacré de la personne, est directement issu de la Genèse.

L’homme y est décrit comme une créature suprême, façonnée à l’image de Dieu. Ainsi, le vieil adage juridique Noli me tangere (ne me touche pas) est-il directement tiré de l’Evangile selon Saint Jean[2], le Christ exhortant Marie-Madelaine de ne pas le toucher afin que la croyance en sa résurrection relève de l’ordre de sa seule foi.

Cependant, comme le souligne Bernard Beigner, à la différence de l’interprétation faite par les théologiens, les juristes ont interprété ces paroles « d’une manière aussi libre et aussi peu théologique que l’adage tiré de saint Luc : « Les lis ne filent pas » pour justifier le principe de double masculinité dans la succession royale au trône de France »[3].

C’est la raison pour laquelle noli me tangere a perdu toute signification évangélique et, après avoir servi de fondement au droit romain[4], est désormais repris par notre droit pour justifier la primauté de la personne humaine sur toute autre considération[5].

En outre, en plus de cette erreur d’interprétation, les juristes se sont livrés à un amalgame, en assimilant, durant des siècles, la personne au corps humain[6], si bien que seul l’être charnel bénéficiait d’une protection juridique.

Il a fallu attendre la fin du XIXe siècle pour que « l’éminente dignité humaine en réfère aussi bien à l’animus qu’au corpus »[7]. C’est précisément à cette époque que certaines voix ont commencé à faire valoir, notamment sous l’impulsion de la doctrine germano-suisse, qu’il serait opportun de créer un droit de la personnalité soit, d’étendre la protection juridique conférée par l’adage noli me tangere, à l’être spirituel.

==> La naissance des droits de la personnalité

En France, c’est le professeur Perreau qui, le premier[8], s’est ouvertement prononcé en faveur d’une telle extension, lorsque, dans un article intitulé « Des droits de la personnalité »[9], il émet l’idée de la reconnaissance de droits – subjectifs – extrapatrimoniaux[10].

Dans un premier temps, cette position est pour le moins accueillie fraichement par la doctrine française. Roubier, par exemple, raille cette théorie de faire état de « droits fantômes conçus par des imaginations déréglées »[11]. Nombreux sont, cependant, les auteurs qui, dans un second temps, se sont ravisés, adhérant massivement à la proposition formulée par Perreau trente ans auparavant[12].

Finalement, pour reprendre une expression de Ripert, c’est la lutte « des forces sociales » qui a eu raison des querelles de juristes. Cette lutte s’est manifestée dans le courant des années soixante par une pléiade de décisions jurisprudentielles qui ont ému l’opinion publique.

À cette période, est en train de naître la presse, dite à « scandale », dans laquelle les lecteurs peuvent lire les frasques des différentes célébrités qui animent la vie publique de l’époque. Peu enclines à laisser paraitre au grand jour des évènements qu’elles jugent relever de leur intimité, certaines d’entre elles décident de requérir les services de la justice afin que cessent ces atteintes dont elles font de plus en plus fréquemment l’objet[13].

Malheureusement, les juges ne disposent guère plus que de l’inusable article 1382 du Code civil pour répondre à leurs attentes. Le vide juridique qui existe en la matière, est comparable à celui que l’on rencontre dans un trou noir[14].

Aussi, le législateur décide-t-il d’intervenir afin que ce vide qui, jusqu’alors, était comblé par les rustines du droit de la responsabilité, le soit, désormais, par le droit de la personnalité.

C’est ainsi, que, par une loi du 17 juillet 1970, a été reconnu, à l’article 9 du Code civil, le droit au respect la vie privée[15].

La protection conférée par l’adage noli me tangere à l’être charnel est étendue à l’être spirituel. Au même moment, l’informatique fait une entrée fracassante dans une société en pleine mutation et met rapidement en évidence, les limites de cette nouvelle législation.

==> Le projet SAFARI

 Bien que les textes qui consacrent le droit à la vie privée soient nombreux[16], la notion de « vie privée » n’est définie par aucun d’eux. C’est pourquoi il est revenu aux juges la tâche d’en délimiter les contours. Si, au fil de leurs décisions, ces derniers ont pu affirmer que toutes les informations relatives à la vie privée sont des informations personnelles[17], ils ont également eu l’occasion de souligner que les données à caractère personnel ne relevaient pas toutes de la vie privée[18].

Force est de constater, comme le souligne Guy Braibant, que « la notion d’atteinte à la vie privée ne permet […] pas d’épuiser tous les cas de méconnaissance des droits des personnes auxquels la mise en œuvre de traitements de données à caractère personnel est susceptible de donner lieu »[19].

La question s’est alors posée de savoir si la protection conférée par le droit au respect de la vie privée, était suffisante quant à protéger l’être informationnel dans son ensemble. Une fois encore, ce sont les forces sociales qui se sont illustrées, lorsque, dans un retentissant article publié dans le journal Le Monde, le journaliste Philippe Boucher dénonce le projet SAFARI (Système Automatisé pour les fichiers administratifs et le répertoire des individus)[20].

Ce projet avait ambition de réaliser une interconnexion générale des différents fichiers administratifs à l’aide de l’identification unique de chaque français. Comme le souligne le titre de l’article, la réalisation d’un tel dispositif aurait eu pour conséquence de sonner l’ouverture de « la chasse aux français ».

Le danger qui guettait les administrés était, en somme, qu’un ordinateur central recoupe chacune de leurs données personnelles, sans qu’ils puissent invoquer un quelconque droit à la vie privée pour l’en empêcher.

Ce droit ne peut, en effet, être exercé que s’il est porté atteinte au libre choix d’une personne de ne pas divulguer une information la concernant. Or tel n’est pas ce que prévoit le projet SAFARI. Celui-ci vise, non pas à permettre une immixtion de l’administration dans l’intimité de ses administrés, mais seulement une interconnexion des données qui lui ont volontairement été divulguées.

Dans cette perspective, Adolphe Touffait, procureur général près la Cour de cassation déclare, à l’époque, que « la dynamique du système qui tend à la centralisation des fichiers risque de porter gravement atteinte aux libertés, et même à l’équilibre des pouvoirs politiques »[21].

II) L’autonomisation du droit des données à caractère personnel

==> La loi informatique et libertés

 En réaction au vent de panique créé par le projet SAFARI, le premier ministre décide, immédiatement, de saisir le garde des sceaux afin que soit créée, en urgence, une commission chargée de formuler des propositions « tendant à garantir que le développement de l’informatique dans les secteurs publics, semi-publics et privés, se réalisera dans le respect de la vie privée, des libertés individuelles et des libertés publiques ».

Le défi lancé à la Commission informatique et libertés est de taille. Comme le fait remarquer Bernard Tricot « il est toujours difficile de bâtir une muraille de Chine juridique sur laquelle viendront s’écraser les assauts de l’informatique ».

Par chance, les travaux réalisés par la Commission sont d’une excellente facture, ce qui permet la rédaction d’un remarquable projet de loi.

Déposé en août 1976, ce projet accouche de la loi du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés.

Par cette loi, la protection conférée par l’adage noli me tangere est étendue à l’être informationnel dans son entier.

Désormais, c’est la personne humaine réunie dans ses trois composantes qui est protégée par le droit. Comme pour remercier le remarquable travail de la Commission qui avait fort bien œuvré, elle est instituée gardienne de la loi informatique et libertés.

À l’image d’une pierre jetée dans l’eau, l’adoption de cette législation, très innovante, a pour effet immédiat de se propager partout en Europe.

Nombre d’États souhaitent, dans le sillage de la France, protéger leurs ressortissants de l’informatique, qui dorénavant est perçue comme « une dévoreuse d’identité, elle capte l’individu sous toutes ses facettes et porte au grand jour des aspects qu’il souhaiterait conserver secret »[22].

==> La propagation internationale du mouvement de protection de la vie privée

Exception faite des États-Unis qui, pour des considérations essentiellement d’ordre économique, préfèrent fermer les yeux sur les dangers qui menacent l’intimité des citoyens américains, de nombreux pays ont, dès le début des années quatre-vingts, pris des mesures concertées, afin que l’appétit de l’ogre informatique à engloutir des données, s’arrête là où commence le droit des personnes à ne pas abandonner les éléments de leur identité.

La première de ces mesures peut être portée au crédit de l’OCDE (Organisation de Coopération et de Développement Economique), qui adopte le 23 septembre 1980 des lignes directrices destinées à régir la protection de la vie privée et les flux transfrontières de données à caractères personnel.

Quatre mois plus tard, cette organisation internationale est suivie par le Conseil de l’Europe qui adopte, le 28 janvier 1981, la convention pour la protection des personnes à l’égard du traitement des données à caractère personnel[23]. On l’appelle également la convention 108. L’objectif de ce traité est de « garantir sur le territoire de chaque partie, à toute personne physique, quelles que soient sa nationalité ou sa résidence, le respect de ses droits et de ses libertés fondamentales, et notamment de sa vie privée, à l’égard du traitement automatisé de données à caractère personnel la concernant »[24].

Enfin, par une résolution n°45/95 du 14 décembre 1990, l’assemblée générale des Nations Unies[25] apporte une touche d’universalité à ces conventions, dont la portée ne dépasse guère plus les frontières de l’Europe. Pis, seule la convention 108 présente un caractère contraignant[26]. Fort légitimement, on est alors en droit de s’interroger sur l’utilité de proclamer des grands principes, s’il n’existe aucun moyen de les faire appliquer, à plus forte raison lorsqu’il s’agit de garantir des libertés.

Indépendamment de l’impact international provoqué par la loi informatique et libertés, il doit être souligné, comme l’affirme le Conseil constitutionnel dans sa décision n° 92-316 du 20 janvier 1993, que cette loi participe, avant tout, au système de protection de la liberté personnelle et individuelle[27] ce qui, sans lui conférer une valeur constitutionnelle, « l’enracine en quelque sorte dans le bloc de constitutionnalité qui la vivifie »[28].

==> Le toilettage de la loi informatique et libertés

 La loi informatique et libertés se trouve être à la croisée de nombreuses libertés fondamentales, au-delà même du droit au respect à la vie privée[29].

En témoignent les rapports étroits qu’elle entretient avec le droit bancaire, le droit de la santé, le droit de la consommation, le droit de la communication, le droit de la propriété intellectuelle, ou encore le droit social. Sont ici concernés tous les droits qui appréhendent des secteurs dans lesquels sont collectées et traitées des données à caractère personnel. L’étendue du champ d’application de la loi informatique et libertés apparaît illimitée.

C’est de là qu’est issue la très grande portée de cette loi, laquelle montre une aptitude à se saisir des situations nouvelles créées par les machines. Ces situations « s’étendent à tous les aspects de la vie publique et privée, des activités collectives et individuelles »[30].

Bien que très étendu puisse apparaître le champ d’application de la loi informatique et libertés lors de son adoption, il est, toutefois un évènement qui, assez paradoxalement, va, plus tard, le rendre trop étroit. Quel est cet évènement ? Il s’agit de la naissance de l’internet qui s’est accompagnée, nous l’avons vu, de nouvelles techniques de collectes de données à caractère personnel.

Surtout, ce qui est nouveau, c’est que, une fois collectées, les données peuvent, en quelques clics de souris, circuler d’ordinateur en ordinateur, sans compter que la menace vient désormais, moins de l’administration publique que des agents privés. Naturellement, on ne saurait reprocher au législateur de n’avoir pas anticipé ces phénomènes.

Quoi qu’il en soit, un toilettage de la loi informatique et libertés devient, rapidement, nécessaire. Contrairement, à son élaboration qui s’est faite dans un cadre national, la refonte de cette loi est impulsée par les instances communautaires, qui brandissent – de façon assez discutable – leur compétence quant à connaître de tout ce qui relève de la circulation des marchandises. Or, selon elles, les données à caractère personnel peuvent y être assimilées.

Comment, dès lors, parvenir d’une part, à une harmonisation des législations nationales et, d’autre part, à la libre circulation des données à caractère personnel, tout en garantissant un niveau élevé de protection des libertés individuelles.

 Pour le conseil d’Etat, qui se prononce en assemblée générale, dans un avis du 13 juin 1993, le texte qui va être adopté ne saurait contenir de « dispositions qui conduiraient à priver des principes de valeur constitutionnelle de la protection que leur accorde la loi du 6 janvier 1978 actuellement en vigueur »[31].

De la même manière, dans une résolution de l’assemblée nationale du 25 juin 1993, il est estimé que la Communauté européenne ne peut « justifier son intervention dans la réglementation des traitements des données à caractère personnel qu’à la condition que la réalisation de cet objectif ne nuise pas au haut degré de protection dont doivent bénéficier les personnes physiques à l’égard de ces traitements et encore moins à assimiler ces données à de simples marchandises ».

Fort heureusement, en raison de la grande considération que les instances communautaires portent à la loi informatique et libertés, les recommandations formulées par les autorités françaises, notamment par la CNIL, ont été suivies rigoureusement.

Cela s’est traduit par l’adoption d’une directive, le 24 octobre 1995, qui dispose, dans son dixième considérant, que « […] le rapprochement [des] législations ne doit pas conduire à affaiblir la protection qu’elles assurent mais doit, au contraire, avoir pour objectif de garantir un niveau élevé de protection dans la Communauté »[32]. Par ce texte communautaire est assuré « la protection des libertés et droits fondamentaux des personnes physiques, notamment de leur vie privée, à l’égard du traitement des données à caractère personnel »[33].

En France, il faut attendre près de dix ans pour que cette directive soit transposée. Elle le fut, par une loi du 6 août 2004, qui, sans remplacer la précédente du 6 juillet 1978, a simplement été intégrée à elle.

==> Le RGPD

Une proposition de règlement et une proposition de directive ont été formulées par la Commission européenne le 25 janvier 2012[34], en vue de remplacer respectivement la – déjà obsolète – directive du 24 octobre 1995 et la décision cadre 2008/977/JAI sur la protection des données dans le cadre de la coopération policière et judiciaire[35].

A cet égard, le législateur européen s’est donné pour objectif de renforcer les droits des personnes et le marché intérieur de l’UE, garantir un contrôle accru de l’application de la réglementation, simplifier les transferts internationaux de données à caractère personnel et instaurer des normes mondiales en matière de protection des données.

La France a pris une part très active dans les négociations afin de maintenir et promouvoir son modèle de protection des données qui constitue encore aujourd’hui une référence en Europe et dans le monde.

A l’issue de longues négociations, le Parlement européen et le Conseil ont adopté le « paquet protection des données » le 27 avril 2016, fruit d’un compromis entre les Etats membres de l’Union européenne.

Ce paquet se compose :

  • D’un règlement relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (règlement (UE) 2016/679).
  • D’une directive relative aux traitements mis en œuvre à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales (directive (UE) 2016/680).

Au-delà des exigences propres à la mise en conformité avec le droit européen de la protection des données à caractère personnel, le règlement prévoit plus d’une cinquantaine de marges de manœuvre qui permettent aux Etats membres de préciser certaines dispositions ou d’aller plus loin que ce que prévoit le droit européen.

Certaines de ces marges de manœuvre permettent de maintenir des dispositions déjà existantes dans notre droit national. D’autres, en revanche, peuvent être mises en œuvre afin notamment de prendre en compte l’évolution technologique et sociétale.

Le rapport annuel du Conseil d’Etat de 2014, intitulé « Le numérique et les droits fondamentaux » a souligné la nécessité de repenser la protection des droits fondamentaux afin de mettre le numérique au service des droits individuels et de l’intérêt général.

De même, le rapport d’information déposé par la Commission des lois constitutionnelles, de la législation et de l’administration générale de la République de l’Assemblée nationale a également révélé l’importance des « incidences des nouvelles normes européennes en matière de protection des données personnelles sur la législation française »

Les nouvelles exigences posées par le législateur européen ont été transposées en droit français lors de l’adoption de la loi n° 2018-493 du 20 juin 2018 relative à la protection des données personnelles.

[1] G. Ripert, Les forces créatrices du droit, LGDJ, coll. « reprint », 1998, p. 146.

[2] V. en ce sens G. Cornu, Linguistique juridique, Montchrestien, coll. « Domat », 2005, p. 356 ; H. Roland et L. Boyer, Adages du droit français, Litec, coll. « traités », 3éd., Paris, 1992, n°251, p. 533 ; B. Beignier, Droit de la personnalité, PUF, coll. « Que sais-je ? », 1992, p. 14-15.

[3] Cité in B. Beignier, op. préc., p. 15.

[4] Ulpien affirmait « dominus membrorum suorum nemo videtur » (nul n’est propriétaire de son corps), Digeste, IX-2-13, cité in B. Beignier, op. préc., p. 76.

[5] Selon R. Andorno, « le système juridique repose sur la base de la distinction radicale personnes-choses, qui est une condition sine qua non, non seulement de l’existence du système, mais du respect dû à la personne humaine » (R. Andorno, « Procréations artificielles, personnes et choses », RRJ, 1992, n°1, pp. 13 s.).

[6] J. Carbonnier, Droit civil. Introduction, Les personnes, La famille, l’enfant, le couple, PUF, coll. « Quadrige manuels », 2004, n°4, p.19.

[7] Bernard Beigner, op. préc., p. 7.

[8] Emile Beaussire par son ouvrage « les principes du droit » publié en 1888 et A. Boistel dans son cours de philosophie du droit en 1889 avaient néanmoins déjà développé la notion de droits innés au nombre desquels figurait le droit au respect de l’individualité.

[9] E.-H. Perreau, « Des droits de la personnalité », RTDCiv, 1909, pp. 501 et s.

[10] Perreaufait, par exemple, référence au dommage moral, à la protection du corps et de l’esprit, à l’honneur ou encore au « droit à la liberté ».

[11] P. Roubier, préface in R. Nerson, Les droits extrapatrimoniaux, LGDJ, 1939.

[12] Sans doute est-ce là le résultat de l’influence de Jean Dabin, qui avance dans son ouvrage relatif aux droits subjectifs, que ces deniers incluent, tant les intérêts juridiquement protégés, que les « droits de liberté ». Dans le droit fil de cette idée Roger Nerson, élève de Roubier, écrit plus tard dans sa thèse qu’« un droit extrapatrimonial est un droit dont la fin est de satisfaire un besoin non économique : besoin souvent moral, parfois d’ordre matériel » (R. Nerson, op. préc., p. 6).

[13] V. en ce sens notamment, Aff. Marlène Dietrich, CA Paris, 16 mars 1955, D. 1955, p. 295 ; Aff. Picasso, CA Paris, 6 juill. 1965, Gaz. Pal. 1966, 1, p. 39 ; Aff. Trintignant, CA Paris, 17 mars 1966, D. 1966, p. 749; Aff. Bardot, TGI Seine, 24 nov. 1965, JCP G 1966, II, 14521, puis CA Paris, 27 févr. 1967 : D. 1967, p. 450, note Foulon-Piganiol.

[14] R. Badinter, « Le droit au respect de la vie privée », JCP G, 1968, I, 2136, n° 12.

[15] Article 9 de la loi n°70-643 du 17 juillet 1970 : « chacun a droit au respect de sa vie privée ».

[16] On peut citer l’article 8 de la Convention européenne de sauvegarde des droits de l’homme, l’article 7 de la Chartes des droits fondamentaux de l’Union Européenne ou encore l’article 1er de la Directive Directive 2002/58/CE du Parlement européen et du Conseil du 12 juillet 2002 concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques JO 31 juillet 2002, L. 201, pp. 37-47.

[17] Comme le souligne Emmanuel Derieux « à défaut d’une définition légale précise de la vie privée […], c’est dans la jurisprudence, tant antérieure que postérieure à la loi de 1970 que l’on doit chercher la signification ou l’interprétation de cette notion. […] On considère généralement – encore que cela puisse varier selon les circonstances et l’identité des individus concernés – que relèvent de la vie privée d’une personne : sa vie sentimentale ; ses relations amicales ; sa situation de famille ; ses ressources et moyens d’existence ; ses loisirs […] ; sens opinions politiques ; son appartenance syndicale ou religieuse ; son état de santé ; le mode d’éducation choisi pour ses enfants ; son adresse […] » (E. Derieux, Droit des médias. Droit français, européen et international, LGDL, coll. « Manuel », 2008, n°1803-1804, p. 583).

[18] On pense notamment aux données relatives au patrimoine, à la confession ou encore à la profession.

[19] G. Braibant, Rapport Données personnelles et société de l’information. Transposition en droit français de la directive numéro 95/46, La documentation française, coll. « rapports officiels », 1998, p. 7. V. également sur la notion d’atteinte à la vie privée, B. Beignier, « Vie privée et vie publique », Légipresse, sep. 1995, n°124, pp. 67-74 ; O. d’Antin et L. Brossollet, « Le domaine de la vie privée et sa délimitation jurisprudentielle » Légicom, octobre 1999, n° 20, pp. 9-19 ; J. Curto, « La fin justifie-t-elle les moyens ? De la notion de vie privée et de la preuve déloyale » Revue Lamy Droit Civil, avr. 2012, n°92, pp. 55-56.

[20] Ph. Boucher, « Safari ou la chasse aux Français », Le Monde, 21 mars 1974.

[21] A. Touffait, Discours du 9 avril 1973 devant l’Académie des Sciences morales et politiques, cité in Ph. Boucher, art. préc.

[22] D. Pousson, « L’identité informatisée », in L’identité de la personne humaine. Étude de droit français et de droit comparé, Bruylant, Bruxelles, 2002, p. 373.

[23] Cette convention a été complétée par un amendement adopté le 15 juin 1999, lequel prévoit l’ouverture à la signature de l’Union européenne et par un protocole additionnel relatif aux autorités de contrôle des flux transfrontières de données à caractère personnel.

[24] Article 1er de la convention 108, publiée par le décret n°85-1203 du 15 novembre 1985, JO 20 nov., p. 13436

[25] Résolution 45/95 du 14 décembre 1990 adoptée par l’assemblée générale des Nations Unies relative aux principes directeurs pour la règlementation des fichiers personnels informatisés.

[26] La convention 108 prend directement sa source dans la Convention de sauvegarde des droits de l’homme et des libertés fondamentales laquelle est d’application directe. L’arrêt du Conseil d’État du 18 novembre 1992 semble aller en ce sens (CE, 18 nov. 1992, Licra, AJDA 1993, n°3, p. 213, note Letterson).

[27] Décision n° 92-316 DC du 20 janvier 1993, JORF n°18 du 22 janvier 1993 p. 1118.

[28] A. Lucas, J. Devèze, J. Frayssinet, op. cit. note n°100, n°41, p. 28.

[29] Ibid.

[30] P. Laroque, « Informatique et libertés publiques », in Techniques de l’Ingénieur, Fascicules H 8770, éd. Techniques, 1970.

[31] V. en ce sens, Les grands avis du Conseil d’État, Paris, LGDJ, 1997, p. 399, note de B. Stirn.

[32] Directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, JO 23 nov. 1995, L. 281, pp. 31-50.

[33] Article 1er, 1° de la directive 95/46/CE.

[34] Communication de la Commission « une approche globale de la protection des données à caractère personnel dans l’Union européenne », 4 novembre 2010, COM(2010)609 final.

[35] Décision-cadre 2008/977/JAI du Conseil du 27 novembre 2008 relative à la protection des données à caractère personnel traitées dans le cadre de la coopération policière et judiciaire en matière pénale, J.O.C.E. L 350 du 30 décembre 2008.