L’émergence du droit des données à caractère personnel: de la loi informatique et libertés au RGPD

I) La genèse

==> Noli me tangere

 Si, comme l’a écrit Nietzche, « notre époque se nourrit et vit des moralités du passé », depuis le début du XXe siècle les défenseurs du principe de laïcité n’ont eu de cesse de combattre ces moralités, afin qu’il soit procédé, comme l’a suggéré Georges Ripert, à « l’élimination complète de la force religieuse dans la création du droit »[1].

Il est, pourtant, une partie de cette force créatrice qui n’a pas succombé ; il s’agit de ce par quoi est maintenue la personne humaine au sommet de la pyramide des valeurs. Sans que les juristes y prêtent, pour la plupart, grande attention, le caractère sacré de la personne, est directement issu de la Genèse.

L’homme y est décrit comme une créature suprême, façonnée à l’image de Dieu. Ainsi, le vieil adage juridique Noli me tangere (ne me touche pas) est-il directement tiré de l’Evangile selon Saint Jean[2], le Christ exhortant Marie-Madelaine de ne pas le toucher afin que la croyance en sa résurrection relève de l’ordre de sa seule foi.

Cependant, comme le souligne Bernard Beigner, à la différence de l’interprétation faite par les théologiens, les juristes ont interprété ces paroles « d’une manière aussi libre et aussi peu théologique que l’adage tiré de saint Luc : « Les lis ne filent pas » pour justifier le principe de double masculinité dans la succession royale au trône de France »[3].

C’est la raison pour laquelle noli me tangere a perdu toute signification évangélique et, après avoir servi de fondement au droit romain[4], est désormais repris par notre droit pour justifier la primauté de la personne humaine sur toute autre considération[5].

En outre, en plus de cette erreur d’interprétation, les juristes se sont livrés à un amalgame, en assimilant, durant des siècles, la personne au corps humain[6], si bien que seul l’être charnel bénéficiait d’une protection juridique.

Il a fallu attendre la fin du XIXe siècle pour que « l’éminente dignité humaine en réfère aussi bien à l’animus qu’au corpus »[7]. C’est précisément à cette époque que certaines voix ont commencé à faire valoir, notamment sous l’impulsion de la doctrine germano-suisse, qu’il serait opportun de créer un droit de la personnalité soit, d’étendre la protection juridique conférée par l’adage noli me tangere, à l’être spirituel.

==> La naissance des droits de la personnalité

En France, c’est le professeur Perreau qui, le premier[8], s’est ouvertement prononcé en faveur d’une telle extension, lorsque, dans un article intitulé « Des droits de la personnalité »[9], il émet l’idée de la reconnaissance de droits – subjectifs – extrapatrimoniaux[10].

Dans un premier temps, cette position est pour le moins accueillie fraichement par la doctrine française. Roubier, par exemple, raille cette théorie de faire état de « droits fantômes conçus par des imaginations déréglées »[11]. Nombreux sont, cependant, les auteurs qui, dans un second temps, se sont ravisés, adhérant massivement à la proposition formulée par Perreau trente ans auparavant[12].

Finalement, pour reprendre une expression de Ripert, c’est la lutte « des forces sociales » qui a eu raison des querelles de juristes. Cette lutte s’est manifestée dans le courant des années soixante par une pléiade de décisions jurisprudentielles qui ont ému l’opinion publique.

À cette période, est en train de naître la presse, dite à « scandale », dans laquelle les lecteurs peuvent lire les frasques des différentes célébrités qui animent la vie publique de l’époque. Peu enclines à laisser paraitre au grand jour des évènements qu’elles jugent relever de leur intimité, certaines d’entre elles décident de requérir les services de la justice afin que cessent ces atteintes dont elles font de plus en plus fréquemment l’objet[13].

Malheureusement, les juges ne disposent guère plus que de l’inusable article 1382 du Code civil pour répondre à leurs attentes. Le vide juridique qui existe en la matière, est comparable à celui que l’on rencontre dans un trou noir[14].

Aussi, le législateur décide-t-il d’intervenir afin que ce vide qui, jusqu’alors, était comblé par les rustines du droit de la responsabilité, le soit, désormais, par le droit de la personnalité.

C’est ainsi, que, par une loi du 17 juillet 1970, a été reconnu, à l’article 9 du Code civil, le droit au respect la vie privée[15].

La protection conférée par l’adage noli me tangere à l’être charnel est étendue à l’être spirituel. Au même moment, l’informatique fait une entrée fracassante dans une société en pleine mutation et met rapidement en évidence, les limites de cette nouvelle législation.

==> Le projet SAFARI

 Bien que les textes qui consacrent le droit à la vie privée soient nombreux[16], la notion de « vie privée » n’est définie par aucun d’eux. C’est pourquoi il est revenu aux juges la tâche d’en délimiter les contours. Si, au fil de leurs décisions, ces derniers ont pu affirmer que toutes les informations relatives à la vie privée sont des informations personnelles[17], ils ont également eu l’occasion de souligner que les données à caractère personnel ne relevaient pas toutes de la vie privée[18].

Force est de constater, comme le souligne Guy Braibant, que « la notion d’atteinte à la vie privée ne permet […] pas d’épuiser tous les cas de méconnaissance des droits des personnes auxquels la mise en œuvre de traitements de données à caractère personnel est susceptible de donner lieu »[19].

La question s’est alors posée de savoir si la protection conférée par le droit au respect de la vie privée, était suffisante quant à protéger l’être informationnel dans son ensemble. Une fois encore, ce sont les forces sociales qui se sont illustrées, lorsque, dans un retentissant article publié dans le journal Le Monde, le journaliste Philippe Boucher dénonce le projet SAFARI (Système Automatisé pour les fichiers administratifs et le répertoire des individus)[20].

Ce projet avait ambition de réaliser une interconnexion générale des différents fichiers administratifs à l’aide de l’identification unique de chaque français. Comme le souligne le titre de l’article, la réalisation d’un tel dispositif aurait eu pour conséquence de sonner l’ouverture de « la chasse aux français ».

Le danger qui guettait les administrés était, en somme, qu’un ordinateur central recoupe chacune de leurs données personnelles, sans qu’ils puissent invoquer un quelconque droit à la vie privée pour l’en empêcher.

Ce droit ne peut, en effet, être exercé que s’il est porté atteinte au libre choix d’une personne de ne pas divulguer une information la concernant. Or tel n’est pas ce que prévoit le projet SAFARI. Celui-ci vise, non pas à permettre une immixtion de l’administration dans l’intimité de ses administrés, mais seulement une interconnexion des données qui lui ont volontairement été divulguées.

Dans cette perspective, Adolphe Touffait, procureur général près la Cour de cassation déclare, à l’époque, que « la dynamique du système qui tend à la centralisation des fichiers risque de porter gravement atteinte aux libertés, et même à l’équilibre des pouvoirs politiques »[21].

II) L’autonomisation du droit des données à caractère personnel

==> La loi informatique et libertés

 En réaction au vent de panique créé par le projet SAFARI, le premier ministre décide, immédiatement, de saisir le garde des sceaux afin que soit créée, en urgence, une commission chargée de formuler des propositions « tendant à garantir que le développement de l’informatique dans les secteurs publics, semi-publics et privés, se réalisera dans le respect de la vie privée, des libertés individuelles et des libertés publiques ».

Le défi lancé à la Commission informatique et libertés est de taille. Comme le fait remarquer Bernard Tricot « il est toujours difficile de bâtir une muraille de Chine juridique sur laquelle viendront s’écraser les assauts de l’informatique ».

Par chance, les travaux réalisés par la Commission sont d’une excellente facture, ce qui permet la rédaction d’un remarquable projet de loi.

Déposé en août 1976, ce projet accouche de la loi du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés.

Par cette loi, la protection conférée par l’adage noli me tangere est étendue à l’être informationnel dans son entier.

Désormais, c’est la personne humaine réunie dans ses trois composantes qui est protégée par le droit. Comme pour remercier le remarquable travail de la Commission qui avait fort bien œuvré, elle est instituée gardienne de la loi informatique et libertés.

À l’image d’une pierre jetée dans l’eau, l’adoption de cette législation, très innovante, a pour effet immédiat de se propager partout en Europe.

Nombre d’États souhaitent, dans le sillage de la France, protéger leurs ressortissants de l’informatique, qui dorénavant est perçue comme « une dévoreuse d’identité, elle capte l’individu sous toutes ses facettes et porte au grand jour des aspects qu’il souhaiterait conserver secret »[22].

==> La propagation internationale du mouvement de protection de la vie privée

Exception faite des États-Unis qui, pour des considérations essentiellement d’ordre économique, préfèrent fermer les yeux sur les dangers qui menacent l’intimité des citoyens américains, de nombreux pays ont, dès le début des années quatre-vingts, pris des mesures concertées, afin que l’appétit de l’ogre informatique à engloutir des données, s’arrête là où commence le droit des personnes à ne pas abandonner les éléments de leur identité.

La première de ces mesures peut être portée au crédit de l’OCDE (Organisation de Coopération et de Développement Economique), qui adopte le 23 septembre 1980 des lignes directrices destinées à régir la protection de la vie privée et les flux transfrontières de données à caractères personnel.

Quatre mois plus tard, cette organisation internationale est suivie par le Conseil de l’Europe qui adopte, le 28 janvier 1981, la convention pour la protection des personnes à l’égard du traitement des données à caractère personnel[23]. On l’appelle également la convention 108. L’objectif de ce traité est de « garantir sur le territoire de chaque partie, à toute personne physique, quelles que soient sa nationalité ou sa résidence, le respect de ses droits et de ses libertés fondamentales, et notamment de sa vie privée, à l’égard du traitement automatisé de données à caractère personnel la concernant »[24].

Enfin, par une résolution n°45/95 du 14 décembre 1990, l’assemblée générale des Nations Unies[25] apporte une touche d’universalité à ces conventions, dont la portée ne dépasse guère plus les frontières de l’Europe. Pis, seule la convention 108 présente un caractère contraignant[26]. Fort légitimement, on est alors en droit de s’interroger sur l’utilité de proclamer des grands principes, s’il n’existe aucun moyen de les faire appliquer, à plus forte raison lorsqu’il s’agit de garantir des libertés.

Indépendamment de l’impact international provoqué par la loi informatique et libertés, il doit être souligné, comme l’affirme le Conseil constitutionnel dans sa décision n° 92-316 du 20 janvier 1993, que cette loi participe, avant tout, au système de protection de la liberté personnelle et individuelle[27] ce qui, sans lui conférer une valeur constitutionnelle, « l’enracine en quelque sorte dans le bloc de constitutionnalité qui la vivifie »[28].

==> Le toilettage de la loi informatique et libertés

 La loi informatique et libertés se trouve être à la croisée de nombreuses libertés fondamentales, au-delà même du droit au respect à la vie privée[29].

En témoignent les rapports étroits qu’elle entretient avec le droit bancaire, le droit de la santé, le droit de la consommation, le droit de la communication, le droit de la propriété intellectuelle, ou encore le droit social. Sont ici concernés tous les droits qui appréhendent des secteurs dans lesquels sont collectées et traitées des données à caractère personnel. L’étendue du champ d’application de la loi informatique et libertés apparaît illimitée.

C’est de là qu’est issue la très grande portée de cette loi, laquelle montre une aptitude à se saisir des situations nouvelles créées par les machines. Ces situations « s’étendent à tous les aspects de la vie publique et privée, des activités collectives et individuelles »[30].

Bien que très étendu puisse apparaître le champ d’application de la loi informatique et libertés lors de son adoption, il est, toutefois un évènement qui, assez paradoxalement, va, plus tard, le rendre trop étroit. Quel est cet évènement ? Il s’agit de la naissance de l’internet qui s’est accompagnée, nous l’avons vu, de nouvelles techniques de collectes de données à caractère personnel.

Surtout, ce qui est nouveau, c’est que, une fois collectées, les données peuvent, en quelques clics de souris, circuler d’ordinateur en ordinateur, sans compter que la menace vient désormais, moins de l’administration publique que des agents privés. Naturellement, on ne saurait reprocher au législateur de n’avoir pas anticipé ces phénomènes.

Quoi qu’il en soit, un toilettage de la loi informatique et libertés devient, rapidement, nécessaire. Contrairement, à son élaboration qui s’est faite dans un cadre national, la refonte de cette loi est impulsée par les instances communautaires, qui brandissent – de façon assez discutable – leur compétence quant à connaître de tout ce qui relève de la circulation des marchandises. Or, selon elles, les données à caractère personnel peuvent y être assimilées.

Comment, dès lors, parvenir d’une part, à une harmonisation des législations nationales et, d’autre part, à la libre circulation des données à caractère personnel, tout en garantissant un niveau élevé de protection des libertés individuelles.

 Pour le conseil d’Etat, qui se prononce en assemblée générale, dans un avis du 13 juin 1993, le texte qui va être adopté ne saurait contenir de « dispositions qui conduiraient à priver des principes de valeur constitutionnelle de la protection que leur accorde la loi du 6 janvier 1978 actuellement en vigueur »[31].

De la même manière, dans une résolution de l’assemblée nationale du 25 juin 1993, il est estimé que la Communauté européenne ne peut « justifier son intervention dans la réglementation des traitements des données à caractère personnel qu’à la condition que la réalisation de cet objectif ne nuise pas au haut degré de protection dont doivent bénéficier les personnes physiques à l’égard de ces traitements et encore moins à assimiler ces données à de simples marchandises ».

Fort heureusement, en raison de la grande considération que les instances communautaires portent à la loi informatique et libertés, les recommandations formulées par les autorités françaises, notamment par la CNIL, ont été suivies rigoureusement.

Cela s’est traduit par l’adoption d’une directive, le 24 octobre 1995, qui dispose, dans son dixième considérant, que « […] le rapprochement [des] législations ne doit pas conduire à affaiblir la protection qu’elles assurent mais doit, au contraire, avoir pour objectif de garantir un niveau élevé de protection dans la Communauté »[32]. Par ce texte communautaire est assuré « la protection des libertés et droits fondamentaux des personnes physiques, notamment de leur vie privée, à l’égard du traitement des données à caractère personnel »[33].

En France, il faut attendre près de dix ans pour que cette directive soit transposée. Elle le fut, par une loi du 6 août 2004, qui, sans remplacer la précédente du 6 juillet 1978, a simplement été intégrée à elle.

==> Le RGPD

Une proposition de règlement et une proposition de directive ont été formulées par la Commission européenne le 25 janvier 2012[34], en vue de remplacer respectivement la – déjà obsolète – directive du 24 octobre 1995 et la décision cadre 2008/977/JAI sur la protection des données dans le cadre de la coopération policière et judiciaire[35].

A cet égard, le législateur européen s’est donné pour objectif de renforcer les droits des personnes et le marché intérieur de l’UE, garantir un contrôle accru de l’application de la réglementation, simplifier les transferts internationaux de données à caractère personnel et instaurer des normes mondiales en matière de protection des données.

La France a pris une part très active dans les négociations afin de maintenir et promouvoir son modèle de protection des données qui constitue encore aujourd’hui une référence en Europe et dans le monde.

A l’issue de longues négociations, le Parlement européen et le Conseil ont adopté le « paquet protection des données » le 27 avril 2016, fruit d’un compromis entre les Etats membres de l’Union européenne.

Ce paquet se compose :

  • D’un règlement relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (règlement (UE) 2016/679).
  • D’une directive relative aux traitements mis en œuvre à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales (directive (UE) 2016/680).

Au-delà des exigences propres à la mise en conformité avec le droit européen de la protection des données à caractère personnel, le règlement prévoit plus d’une cinquantaine de marges de manœuvre qui permettent aux Etats membres de préciser certaines dispositions ou d’aller plus loin que ce que prévoit le droit européen.

Certaines de ces marges de manœuvre permettent de maintenir des dispositions déjà existantes dans notre droit national. D’autres, en revanche, peuvent être mises en œuvre afin notamment de prendre en compte l’évolution technologique et sociétale.

Le rapport annuel du Conseil d’Etat de 2014, intitulé « Le numérique et les droits fondamentaux » a souligné la nécessité de repenser la protection des droits fondamentaux afin de mettre le numérique au service des droits individuels et de l’intérêt général.

De même, le rapport d’information déposé par la Commission des lois constitutionnelles, de la législation et de l’administration générale de la République de l’Assemblée nationale a également révélé l’importance des « incidences des nouvelles normes européennes en matière de protection des données personnelles sur la législation française »

Les nouvelles exigences posées par le législateur européen ont été transposées en droit français lors de l’adoption de la loi n° 2018-493 du 20 juin 2018 relative à la protection des données personnelles.

[1] G. Ripert, Les forces créatrices du droit, LGDJ, coll. « reprint », 1998, p. 146.

[2] V. en ce sens G. Cornu, Linguistique juridique, Montchrestien, coll. « Domat », 2005, p. 356 ; H. Roland et L. Boyer, Adages du droit français, Litec, coll. « traités », 3éd., Paris, 1992, n°251, p. 533 ; B. Beignier, Droit de la personnalité, PUF, coll. « Que sais-je ? », 1992, p. 14-15.

[3] Cité in B. Beignier, op. préc., p. 15.

[4] Ulpien affirmait « dominus membrorum suorum nemo videtur » (nul n’est propriétaire de son corps), Digeste, IX-2-13, cité in B. Beignier, op. préc., p. 76.

[5] Selon R. Andorno, « le système juridique repose sur la base de la distinction radicale personnes-choses, qui est une condition sine qua non, non seulement de l’existence du système, mais du respect dû à la personne humaine » (R. Andorno, « Procréations artificielles, personnes et choses », RRJ, 1992, n°1, pp. 13 s.).

[6] J. Carbonnier, Droit civil. Introduction, Les personnes, La famille, l’enfant, le couple, PUF, coll. « Quadrige manuels », 2004, n°4, p.19.

[7] Bernard Beigner, op. préc., p. 7.

[8] Emile Beaussire par son ouvrage « les principes du droit » publié en 1888 et A. Boistel dans son cours de philosophie du droit en 1889 avaient néanmoins déjà développé la notion de droits innés au nombre desquels figurait le droit au respect de l’individualité.

[9] E.-H. Perreau, « Des droits de la personnalité », RTDCiv, 1909, pp. 501 et s.

[10] Perreaufait, par exemple, référence au dommage moral, à la protection du corps et de l’esprit, à l’honneur ou encore au « droit à la liberté ».

[11] P. Roubier, préface in R. Nerson, Les droits extrapatrimoniaux, LGDJ, 1939.

[12] Sans doute est-ce là le résultat de l’influence de Jean Dabin, qui avance dans son ouvrage relatif aux droits subjectifs, que ces deniers incluent, tant les intérêts juridiquement protégés, que les « droits de liberté ». Dans le droit fil de cette idée Roger Nerson, élève de Roubier, écrit plus tard dans sa thèse qu’« un droit extrapatrimonial est un droit dont la fin est de satisfaire un besoin non économique : besoin souvent moral, parfois d’ordre matériel » (R. Nerson, op. préc., p. 6).

[13] V. en ce sens notamment, Aff. Marlène Dietrich, CA Paris, 16 mars 1955, D. 1955, p. 295 ; Aff. Picasso, CA Paris, 6 juill. 1965, Gaz. Pal. 1966, 1, p. 39 ; Aff. Trintignant, CA Paris, 17 mars 1966, D. 1966, p. 749; Aff. Bardot, TGI Seine, 24 nov. 1965, JCP G 1966, II, 14521, puis CA Paris, 27 févr. 1967 : D. 1967, p. 450, note Foulon-Piganiol.

[14] R. Badinter, « Le droit au respect de la vie privée », JCP G, 1968, I, 2136, n° 12.

[15] Article 9 de la loi n°70-643 du 17 juillet 1970 : « chacun a droit au respect de sa vie privée ».

[16] On peut citer l’article 8 de la Convention européenne de sauvegarde des droits de l’homme, l’article 7 de la Chartes des droits fondamentaux de l’Union Européenne ou encore l’article 1er de la Directive Directive 2002/58/CE du Parlement européen et du Conseil du 12 juillet 2002 concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques JO 31 juillet 2002, L. 201, pp. 37-47.

[17] Comme le souligne Emmanuel Derieux « à défaut d’une définition légale précise de la vie privée […], c’est dans la jurisprudence, tant antérieure que postérieure à la loi de 1970 que l’on doit chercher la signification ou l’interprétation de cette notion. […] On considère généralement – encore que cela puisse varier selon les circonstances et l’identité des individus concernés – que relèvent de la vie privée d’une personne : sa vie sentimentale ; ses relations amicales ; sa situation de famille ; ses ressources et moyens d’existence ; ses loisirs […] ; sens opinions politiques ; son appartenance syndicale ou religieuse ; son état de santé ; le mode d’éducation choisi pour ses enfants ; son adresse […] » (E. Derieux, Droit des médias. Droit français, européen et international, LGDL, coll. « Manuel », 2008, n°1803-1804, p. 583).

[18] On pense notamment aux données relatives au patrimoine, à la confession ou encore à la profession.

[19] G. Braibant, Rapport Données personnelles et société de l’information. Transposition en droit français de la directive numéro 95/46, La documentation française, coll. « rapports officiels », 1998, p. 7. V. également sur la notion d’atteinte à la vie privée, B. Beignier, « Vie privée et vie publique », Légipresse, sep. 1995, n°124, pp. 67-74 ; O. d’Antin et L. Brossollet, « Le domaine de la vie privée et sa délimitation jurisprudentielle » Légicom, octobre 1999, n° 20, pp. 9-19 ; J. Curto, « La fin justifie-t-elle les moyens ? De la notion de vie privée et de la preuve déloyale » Revue Lamy Droit Civil, avr. 2012, n°92, pp. 55-56.

[20] Ph. Boucher, « Safari ou la chasse aux Français », Le Monde, 21 mars 1974.

[21] A. Touffait, Discours du 9 avril 1973 devant l’Académie des Sciences morales et politiques, cité in Ph. Boucher, art. préc.

[22] D. Pousson, « L’identité informatisée », in L’identité de la personne humaine. Étude de droit français et de droit comparé, Bruylant, Bruxelles, 2002, p. 373.

[23] Cette convention a été complétée par un amendement adopté le 15 juin 1999, lequel prévoit l’ouverture à la signature de l’Union européenne et par un protocole additionnel relatif aux autorités de contrôle des flux transfrontières de données à caractère personnel.

[24] Article 1er de la convention 108, publiée par le décret n°85-1203 du 15 novembre 1985, JO 20 nov., p. 13436

[25] Résolution 45/95 du 14 décembre 1990 adoptée par l’assemblée générale des Nations Unies relative aux principes directeurs pour la règlementation des fichiers personnels informatisés.

[26] La convention 108 prend directement sa source dans la Convention de sauvegarde des droits de l’homme et des libertés fondamentales laquelle est d’application directe. L’arrêt du Conseil d’État du 18 novembre 1992 semble aller en ce sens (CE, 18 nov. 1992, Licra, AJDA 1993, n°3, p. 213, note Letterson).

[27] Décision n° 92-316 DC du 20 janvier 1993, JORF n°18 du 22 janvier 1993 p. 1118.

[28] A. Lucas, J. Devèze, J. Frayssinet, op. cit. note n°100, n°41, p. 28.

[29] Ibid.

[30] P. Laroque, « Informatique et libertés publiques », in Techniques de l’Ingénieur, Fascicules H 8770, éd. Techniques, 1970.

[31] V. en ce sens, Les grands avis du Conseil d’État, Paris, LGDJ, 1997, p. 399, note de B. Stirn.

[32] Directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, JO 23 nov. 1995, L. 281, pp. 31-50.

[33] Article 1er, 1° de la directive 95/46/CE.

[34] Communication de la Commission « une approche globale de la protection des données à caractère personnel dans l’Union européenne », 4 novembre 2010, COM(2010)609 final.

[35] Décision-cadre 2008/977/JAI du Conseil du 27 novembre 2008 relative à la protection des données à caractère personnel traitées dans le cadre de la coopération policière et judiciaire en matière pénale, J.O.C.E. L 350 du 30 décembre 2008.