Section 1 : le droit international
§1 : Principes directeurs de l’ONU
Dans le cadre de sa résolution A/RES/45/95, l’Assemblée générale des Nations Unis a adopté, le 14 décembre 1990, des « principes directeurs pour la réglementation des fichiers personnels informatisés »
Ce texte envisage un certain nombre de garanties minimales qui doivent être prévues par les États membres, étant précisé que, contrairement aux décisions prises par le Conseil de sécurité, les résolutions adoptées par l’Assemblée générale des Nations Unis sont dépourvues de force contraignante.
Les principes directeurs énoncés par la résolution ainsi adoptée sont au nombre de 10 :
A) Champ d’application
Les présents principes s’appliquent :
- D’une part, à tous les fichiers informatisés publics et privés et, par voie d’extension facultative et sous réserve des adaptations adéquates, aux fichiers traités manuellement.
- D’autre part, si cela est expressément prévu par les législations nationales, aux fichiers de personnes morales, notamment lorsqu’ils contiennent pour partie des informations concernant des personnes physiques.
B) Principe de licéité et de loyauté
Les données concernant les personnes ne doivent pas être obtenues ou traitées à l’aide de procédés illicites ou déloyaux, ni utilisées à des fins contraires aux buts et aux principes de la Charte des Nations Unies.
C) Principe d’exactitude
Les personnes responsables de l’établissement d’un fichier ou celles responsables de leur mise en œuvre doivent être tenues de vérifier l’exactitude et la pertinence des données enregistrées et de veiller à ce qu’elles demeurent aussi complètes que possible pour éviter les erreurs par omission et qu’elles soient mises à jour, périodiquement ou lors de l’utilisation des informations contenues dans un dossier, tant qu’elles font l’objet d’un traitement.
D) Principe de finalité
La finalité en vue de laquelle est créé un fichier et son utilisation en fonction de cette finalité doivent être spécifiées, justifiées et, lors de sa mise en œuvre, faire l’objet d’une mesure de publicité ou être portées à la connaissance de la personne concernée, afin qu’il soit ultérieurement possible de vérifier :
- Si toutes les données personnelles collectées et enregistrées restent pertinentes par rapport à la finalité poursuivie ;
- Si aucune desdites données personnelles n’est utilisée ou divulguée, sauf accord de la personne concernée, à des fins incompatibles avec celles ainsi spécifiées ;
- Si la durée de conservation des données personnelles n’excède pas celle permettant d’atteindre la finalité pour laquelle elles ont été enregistrées.
E) Principe de l’accès par les personnes concernées
Toute personne justifiant de son identité a le droit de savoir si des données la concernant font l’objet d’un traitement, d’en avoir communication sous une forme intelligible, sans délais ou frais excessifs, d’obtenir les rectifications ou destructions adéquates en cas d’enregistrements illicites, injustifiés ou inexacts, et, lorsqu’elles sont communiquées, d’en connaître les destinataires.
Une voie de recours doit être prévue, le cas échéant, auprès de l’autorité de contrôle prévue.
En cas de rectification, le coût devrait être à la charge du responsable du fichier.
Il est souhaitable que les dispositions de ce principe s’appliquent à toute personne, quelle que soit sa nationalité ou sa résidence.
F) Principe de non-discrimination
Sous réserve des cas de dérogations limitativement prévus sous le principe 6, les données pouvant engendrer une discrimination illégitime ou arbitraire, notamment les informations sur l’origine raciale ou ethnique, la couleur, la vie sexuelle, les opinions politiques, les convictions religieuses, philosophiques ou autres, ainsi que l’appartenance à une association ou un syndicat, ne doivent pas être collectées.
G) Faculté de dérogation
Deux catégories de dérogations doivent être distinguées :
- Les dérogations relatives aux principes de licéité et de loyauté, d’exactitude, de finalité et de libre accès peuvent faire l’objet de dérogations.
- Ces dérogations peuvent être envisagées par les États à la double condition
- D’une part, que ces dérogations soient nécessaires pour protéger la sécurité nationale, l’ordre public, la santé ou la moralité publique ainsi que, notamment, les droits et libertés d’autrui, spécialement de personnes persécutées (clause humanitaire)
- D’autre part, que ces dérogations soient expressément prévues par la loi ou par une réglementation équivalente prise en conformité avec le système juridique interne qui en fixe expressément les limites et édicte des garanties appropriées.
- Les dérogations relatives au principe de la prohibition de la discrimination
- Outre qu’elles doivent être soumises aux mêmes garanties que celles prévues pour les dérogations précédentes, elles ne peuvent être autorisées que dans les limites prévues par la Charte internationale des droits de l’homme et les autres instruments pertinents dans le domaine de la protection des droits de l’homme et de la lutte contre les discriminations.
H) Principe de sécurité
Des mesures appropriées doivent être prises pour protéger les fichiers tant contre les risques naturels, tels que la perte accidentelle ou la destruction par sinistre, que les risques humains, tels que l’accès non autorisé, l’utilisation détournée de données ou la contamination par des virus informatiques.
I) Contrôle et sanctions
Chaque législation doit désigner l’autorité qui, en conformité avec le système juridique interne, est chargée de contrôler le respect des principes précités.
Cette autorité doit présenter des garanties d’impartialité, d’indépendance à l’égard des personnes ou organismes responsables des traitements et de leur mise en œuvre, et de compétence technique.
En cas de violation des dispositions de la loi interne mettant en œuvre les principes précités, des sanctions pénales ou autres doivent être prévues ainsi que des recours individuels appropriés.
J) Flux transfrontières de données
Lorsque la législation de deux ou plusieurs pays, concernés par un flux transfrontière de données, présente des garanties comparables au regard de la protection de la vie privée, les informations doivent pouvoir circuler aussi librement qu’à l’intérieur de chacun des territoires concernés.
En l’absence de garanties comparables, des limitations à cette circulation ne peuvent être imposées indûment et seulement dans la stricte mesure où la protection de la vie privée l’exige.
§2 : Les lignes directrices de l’OCDE
A) Ratio legis
Par décision du 23 septembre 1980, l’Organisation de Coopération et de Développement Économiques (OCDE) a adopté des lignes directrices régissant la protection de la vie privée et les flux transfrontières de données de caractère personnel.
Les États membre de cette organisation internationale sont partis du constat, dès 1980, que le traitement automatique de l’information, qui permet de transmettre de vastes quantités de données en quelques secondes à travers les frontières nationales et même à travers les continents tendait à se généraliser et à prendre un essor qui n’aurait de cesse de s’accroître.
Il a encore été relevé que, en réaction, des législations relatives à la protection de la vie privée ont été adoptées en vue de prévenir des actes considérés comme constituant des violations des droits fondamentaux de l’homme, tels que le stockage illicite de données de caractère personnel qui sont inexactes, l’utilisation abusive ou la divulgation non autorisée de ces données.
L’OCDE y a vu le risque que des disparités se créent dans les législations nationales et qu’elles entravent la libre circulation des données de caractère personnel à travers les frontières.
Des restrictions imposées à ces flux pourraient, en effet, entraîner de graves perturbations dans d’importants secteurs de l’économie, tels que la banque et les assurances.
C’est pourquoi, les pays Membres de l’OCDE ont jugé nécessaire d’élaborer des lignes directrices qui permettraient d’harmoniser les législations nationales relatives à la protection de la vie privée et qui, tout en contribuant au maintien de ces droits de l’homme, empêcheraient que les flux internationaux de données ne subissent des interruptions.
Ces lignes directrices sont l’expression d’un consensus sur des principes fondamentaux qui peuvent être intégrés à la législation nationale en vigueur ou servir de base à une législation dans les pays qui ne sont pas encore dotés.
B) Énoncé des principes
Deux catégories de principes sont envisagées par les Lignes directrices de l’OCDE
?Les principes fondamentaux applicables au plan national
- Principe de la limitation en matière de collecte
- Il convient d’assigner des limites à la collecte des données de caractère personnel et toute donnée de ce type devrait être obtenue par des moyens licites et loyaux et, le cas échéant, après en avoir informé la personne concernée ou avec son consentement.
- Principe de la qualité des données
- Les données de caractère personnel doivent être pertinentes par rapport aux finalités en vue desquelles elles doivent être utilisées et, dans la mesure où ces finalités l’exigent, elles doivent être exactes, complètes et tenues à jour.
- Principe de la spécification des finalités
- Les finalités en vue desquelles les données de caractère personnel sont collectées doivent être déterminées au plus tard au moment de la collecte des données et lesdites données ne doivent être utilisées par la suite que pour atteindre ces finalités ou d’autres qui ne soient pas incompatibles avec les précédentes et qui seraient déterminées dès lors qu’elles seraient modifiées.
- Principe de la limitation de l’utilisation
- Les données de caractère personnel ne doivent pas être divulguées, ni fournies, ni utilisées à des fins autres que celles spécifiées conformément au paragraphe 9, si ce n’est :
- Avec le consentement de la personne concernée
- Lorsqu’une règle de droit le permet.
- Principe des garanties de sécurité
- Il convient de protéger les données de caractère personnel, grâce à des garanties de sécurité raisonnables, contre des risques tels que la perte des données ou leur accès, destruction, utilisation, ou divulgation non autorisés.
- Principe de la transparence
- Il convient d’assurer, d’une façon générale, la transparence des progrès, pratiques et politiques, ayant trait aux données de caractère personnel.
- Il doit être possible de se procurer aisément les moyens de déterminer l’existence et la nature des données de caractère personnel, et les finalités principales de leur utilisation, de même que l’identité du maître du fichier et le siège habituel de ses activités.
- Principe de la participation individuelle
- Toute personne physique doit avoir le droit :
- D’obtenir du maître d’un fichier, ou par d’autres voies, confirmation du fait que le maître du fichier détient ou non des données la concernant ;
- De se faire communiquer les données la concernant :
- Dans un délai raisonnable ;
- Moyennant, éventuellement, une redevance modérée ;
- Selon des modalités raisonnables ;
- Sous une forme qui lui soit aisément intelligible ;
- D’être informée des raisons pour lesquelles une demande quelle aurait présentée est rejetée et de pouvoir contester un tel rejet,
- De contester les données la concernant et, si la contestation est fondée, de les faire effacer, rectifier, compléter ou corriger.
- Principe de la responsabilité
- Tout maître de fichier devrait être responsable du respect des mesures donnant effet aux principes énoncés ci-dessus.
? Les principes fondamentaux applicables au plan international
- Libre circulation
- Les pays Membres doivent prendre en considération les conséquences pour d’autres pays Membres d’un traitement effectué sur leur propre territoire et de la réexportation des données de caractère personnel
- Les pays Membres doivent prendre toutes les mesures raisonnables et appropriées pour assurer que les flux transfrontières de données de caractère personnel, et notamment le transit par un pays Membre, aient lieu sans interruption et en toute sécurité.
- Un pays Membre doit s’abstenir de limiter les flux transfrontières de données de caractère personnel entre son territoire et celui d’un autre pays Membre, sauf lorsqu’un ce dernier ne se conforme pas encore pour l’essentiel aux Lignes directrices ou lorsque la réexportation desdites données permettrait de contourner sa législation interne sur la protection de la vie privée et des libertés individuelles.
- Restrictions légitimes
- Un pays Membre peut imposer des restrictions à l’égard de certaines catégories de données de caractère personnel pour lesquelles sa législation interne sur la protection de la vie privée et les libertés individuelles prévoit des réglementations spécifiques en raison de la nature de ces données et pour lesquelles l’autre pays Membre ne prévoit pas de protection équivalente.
- Les pays Membres doivent néanmoins éviter d’élaborer des lois, des politiques et des procédures, qui, sous couvert de la protection de la vie privée et des libertés individuelles, créeraient des obstacles à la circulation transfrontière des données de caractère personnel qui iraient au-delà des exigences propres à cette protection.
§3 : La convention STE 108
?Adoption de la convention
Les pays membres du Conseil de l’Europe ont adopté le 28 janvier 1981 la Convention pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel, dite Convention STE 108.
Cette convention fut, indéniablement, le premier instrument international juridique contraignant dans le domaine de la protection des données.
Il a été convenu, entre ses signataires, qu’ils devaient prendre toutes les mesures nécessaires en droit interne pour en appliquer les principes afin d’assurer, sur leur territoire, le respect des droits fondamentaux de la personne humaine au regard de l’application de la protection des données.
Concrètement, le but poursuivi par la Convention STE 108 est de garantir, sur le territoire des États membres, à toute personne physique, quelles que soient sa nationalité ou sa résidence, le respect de ses droits et de ses libertés fondamentales, et notamment de son droit à la vie privée, à l’égard du traitement automatisé des données à caractère personnel la concernant.
?Applicabilité directe
Dans un arrêt du 18 novembre 1992, la Conseil d’État a reconnu l’applicabilité directe de la Convention STE 108 (CE, 18 nov. 1992, n° 115367)
?Évolution de la convention
- Amendements à la Convention 108 permettant l’adhésion des Communautés Européennes
- Le Comité des Ministres du Conseil de l’Europe a adopté, le 15 juin 1999, des amendements permettant l’adhésion des Communautés Européennes à la Convention
- L’adhésion des Communautés correspondait à la volonté de l’Union européenne de renforcer la coopération avec le Conseil de l’Europe et de contribuer au renforcement d’un large forum international en matière de protection des données, notamment à l’égard des pays tiers.
- Selon le texte initial, seuls les États pouvaient en devenir Parties.
- C’est la raison pour laquelle il a été nécessaire de procéder par voie d’amendements
- Protocole additionnel à la Convention 108 sur les autorités de contrôle et les flux transfrontières de données (STE N°181)
- Le Protocole additionnel, ouvert à la signature le 8 novembre 2001 à Strasbourg, exige des parties la mise en place des autorités de contrôle, exerçant leurs fonctions en parfaite indépendance, et qui sont un élément de la protection effective des individus au regard du traitement des données personnelles.
- Avec l’accroissement des échanges de données personnelles à travers les frontières nationales, il est nécessaire d’assurer la protection effective des droits de l’homme et des libertés fondamentales, et en particulier du droit à la vie privée par rapport à de tels échanges de données personnelles.
- Ce texte renforce la protection des données personnelles et de la vie privée, en complétant la Convention de 1981 (STE n° 108) sur deux points.
- Premier point
- Il prévoit tout d’abord l’établissement d’autorités de contrôle chargées d’assurer le respect des lois ou règlements introduits par les États en application de la Convention concernant la protection des données personnelles et les flux transfrontières de données.
- Second point
- Il prévoit que les flux transfrontières de données vers des pays tiers ne peuvent être transférées que si elles bénéficient dans l’État ou l’organisation internationale destinataire, d’un niveau de protection adéquat.
?Contenu de la convention
Plusieurs principes ont été posés dans la Convention STE n°108:
- Sur la qualité des données
- Les données à caractère personnel faisant l’objet d’un traitement automatisé sont :
- Obtenues et traitées loyalement et licitement ;
- Enregistrées pour des finalités déterminées et légitimes et ne sont pas utilisées de manière incompatible avec ces finalités ;
- Adéquates, pertinentes et non excessives par rapport aux finalités pour lesquelles elles sont enregistrées ;
- Exactes et si nécessaire mises à jour ;
- Conservées sous une forme permettant l’identification des personnes concernées pendant une durée n’excédant pas celle nécessaire aux finalités pour lesquelles elles sont enregistrées.
- Sur les catégories particulières de données
- Les données à caractère personnel révélant l’origine raciale, les opinions politiques, les convictions religieuses ou autres convictions, ainsi que les données à caractère personnel relatives à la santé ou à la vie sexuelle, ne peuvent être traitées automatiquement à moins que le droit interne ne prévoie des garanties appropriées.
- Il en est de même des données à caractère personnel concernant des condamnations pénales.
- Sur la sécurité des données
- Des mesures de sécurité appropriées sont prises pour la protection des données à caractère personnel enregistrées dans des fichiers automatisés contre la destruction accidentelle ou non autorisée, ou la perte accidentelle, ainsi que contre l’accès, la modification ou la diffusion non autorisés.
- Sur les droits d’accès et de rectification
- Toute personne doit pouvoir :
- Connaître l’existence d’un fichier automatisé de données à caractère personnel, ses finalités principales, ainsi que l’identité et la résidence habituelle ou le principal établissement du maître du fichier ;
- Obtenir à des intervalles raisonnables et sans délais ou frais excessifs la confirmation de l’existence ou non dans le fichier automatisé, de données à caractère personnel la concernant ainsi que la communication de ces données sous une forme intelligible ;
- Obtenir, le cas échéant, la rectification de ces données ou leur effacement lorsqu’elles ont été traitées en violation des dispositions du droit interne donnant effet aux principes de base énoncés dans les articles 5 et 6 de la présente Convention ;
- Disposer d’un recours s’il n’est pas donné suite à une demande de confirmation ou, le cas échéant, de communication, de rectification ou d’effacement, visée aux paragraphes b et c du présent article.
§4 : La Convention européenne des droits de l’homme
A) Le silence du texte
La Convention de sauvegarde des droits de l’homme et des libertés fondamentales ne comporte aucune stipulation relative à la protection des données à caractère personnel.
Ce silence du texte n’a, toutefois, pas empêché la Cour européenne des droits de l’homme de veiller à garantir aux ressortissants des États membres une protection à l’égard des traitements automatisés de données à caractère personnel.
Pour ce faire, elle se fonde essentielle sur l’article 8 de la Convention relatif au respect de la vie privée et familiale
Aux termes de cette disposition « toute personne a droit au respect de sa vie privée et familiale, de son domicile et de sa correspondance »
Dans un arrêt du 7 août 1997, la Cour européenne des droits de l’homme a affirmé que « la protection des données à caractère personnel […] revêt une importance fondamentale pour l’exercice du droit au respect de la vie privée et familiale garanti par l’article 8 de la Convention » (CEDH, 27 août 1997, aff. 20837/92, M. S. c/ Suède)
Encore, dans un arrêt du 4 décembre 2008, elle a précisé que « la protection des données à caractère personnel joue un rôle fondamental pour l’exercice du droit au respect de la vie privée et familiale consacré par l’article 8. La législation interne doit donc ménager des garanties appropriées pour empêcher toute utilisation de données à caractère personnel qui ne serait pas conforme aux garanties prévues dans cet article (…). La nécessité de disposer de telles garanties se fait d’autant plus sentir lorsqu’il s’agit de protéger les données à caractère personnel soumises à un traitement automatique, en particulier lorsque ces données sont utilisées à des fins policières. Le droit interne doit notamment assurer que ces données soient pertinentes et non excessives par rapport aux finalités pour lesquelles elles sont enregistrées, et qu’elles soient conservées sous une forme permettant l’identification des personnes concernées pendant une durée n’excédant pas celle nécessaire aux finalités pour lesquelles elles sont enregistrées (…). [Il] doit aussi contenir des garanties de nature à protéger efficacement les données à caractère personnel enregistrées contre les usages impropres et abusifs (…) » (CEDH, 4 déc. 1997, aff. 30562/04 S. et Marper c/ Royaume-Uni).
B) La jurisprudence
?Aff. Klass et autres c. Allemagne – 6 septembre 1978
- Les faits
- Dans cette affaire, les requérants, cinq avocats allemands, dénonçaient en particulier la législation allemande qui permettait aux autorités de surveiller leur correspondance et leurs communications téléphoniques sans qu’elles aient l’obligation de les informer ultérieurement des mesures prises contre eux.
- Décision
- La Cour a conclu à la non-violation de l’article 8 de la Convention, jugeant que le législateur allemand était fondé à considérer l’ingérence résultant de la législation litigieuse dans l’exercice du droit consacré par l’article 8 § 1 comme nécessaire, dans une société démocratique, à la sécurité nationale, la défense de l’ordre et la prévention des infractions pénales (article 8 § 2).
- La Cour a observé en particulier que le pouvoir de surveiller en secret les citoyens, caractéristique de l’État policier, n’était tolérable d’après la Convention que dans la mesure strictement nécessaire à la sauvegarde des institutions démocratiques.
- Constatant toutefois que les sociétés démocratiques se trouvent menacées de nos jours par des formes très complexes d’espionnage et par le terrorisme, de sorte que l’État doit être capable, pour combattre efficacement ces menaces, de surveiller en secret les éléments subversifs opérant sur son territoire, elle a estimé que l’existence de dispositions législatives accordant des pouvoirs de surveillance secrète de la correspondance, des envois postaux et des télécommunications était, devant une situation exceptionnelle, nécessaire dans une société démocratique à la sécurité nationale et/ou à la défense de l’ordre et à la prévention des infractions pénales.
?Aff. Rotaru c. Roumanie – 4 mai 2000
- Faits
- Le requérant se plaignait de l’impossibilité de réfuter les données, selon lui contraires à la réalité, détenues dans un dossier à son sujet par le Service roumain des renseignements (SRI).
- L’intéressé avait été condamné en 1948 à une peine d’emprisonnement d’un an pour avoir exprimé des opinions critiques à l’égard du régime communiste.
- Décision
- La Cour a conclu à la violation de l’article 8 de la Convention, jugeant que la détention et l’utilisation par le SRI d’informations sur la vie privée du requérant n’étaient pas prévues par la loi.
- La Cour a observé en particulier que des données de nature publique peuvent relever de la vie privée lorsqu’elles sont, d’une manière systématique, recueillies et mémorisées dans des fichiers tenus par les pouvoirs publics.
- Cela vaut davantage encore lorsque ces données concernent le passé lointain d’une personne.
- Elle a ensuite relevé qu’aucune disposition de droit interne ne définissait ni le genre d’informations pouvant être consignées, ni les catégories de personnes susceptibles de faire l’objet des mesures de surveillance telles que la collecte et la conservation de données, ni les circonstances dans lesquelles pouvaient être prises ces mesures, ni la procédure à suivre.
- De même, la loi ne fixait pas de limites quant à l’ancienneté des informations détenues et la durée de leur conservation. Enfin, il n’existait aucune disposition explicite et détaillée de droit interne sur les personnes autorisées à consulter les dossiers, la nature de ces derniers, la procédure à suivre et l’usage qui pouvait être donné aux informations ainsi obtenues.
- Dès lors, la Cour la Cour a estimé que le droit roumain n’indiquait pas avec assez de clarté l’étendue et les modalités d’exercice du pouvoir d’appréciation des autorités dans le domaine considéré.
- La Cour a également conclu dans cette affaire à la violation de l’article 13 (droit à un recours effectif) de la Convention, en raison de l’impossibilité pour le requérant de contester sa détention ou de réfuter la véracité des renseignements en question.
?Aff. Gaskin c. Royaume-Uni – 7 juillet 1989
- Faits
- Le requérant, pris en charge par les services sociaux pendant son enfance, chercha à connaître son passé à sa majorité pour surmonter ses problèmes personnels.
- L’accès à son dossier lui fut refusé au motif qu’il contenait des informations confidentielles.
- Décision
- La Cour a conclu à la violation de l’article 8 de la Convention, jugeant que les procédures suivies n’avaient pas assuré à la vie privée et familiale du requérant le respect voulu par cet article.
- Elle a observé en particulier que les personnes se trouvant dans la situation du requérant ont un intérêt primordial, protégé par la Convention, à recevoir les renseignements nécessaires pour connaître et comprendre leur enfance et leurs années de formation.
- Cependant, le caractère confidentiel des dossiers officiels revêt de l’importance si l’on souhaite recueillir des informations objectives et dignes de foi et peut être nécessaire pour préserver des tiers.
- Sous ce dernier aspect, un système subordonnant l’accès aux dossiers à l’acceptation des informateurs, comme alors au Royaume-Uni, peut en principe être tenu pour compatible avec l’article 8, eu égard à la marge d’appréciation de l’État.
- La Cour a toutefois estimé qu’un tel système doit sauvegarder, quand un informateur n’est pas disponible ou refuse abusivement son accord, les intérêts de quiconque cherche à consulter des pièces relatives à sa vie privée et familiale et qu’il ne cadre avec le principe de proportionnalité que s’il charge un organe indépendant, au cas où un informateur ne répond pas ou ne donne pas son consentement, de prendre la décision finale sur l’accès.
- Or, il n’en allait pas ainsi en l’espèce.
?Aff. Perry c. Royaume-Uni – 17 juillet 2003
- Faits
- Le requérant fut arrêté après qu’eut été commise une série de vols à main armée sur la personne de chauffeurs de taxi, puis relâché en attendant que se tienne une séance d’identification.
- Comme il ne s’était pas présenté à la séance prévue ni à plusieurs autres séances ultérieures, la police sollicita l’autorisation de le filmer en secret avec une caméra vidéo. Le requérant se plaignait que la police l’avait filmé en secret en vue de l’identifier puis avait utilisé le film vidéo dans le cadre des poursuites dirigées contre lui.
- Décision
- La Cour a conclu à la violation de l’article 8 de la Convention.
- Elle a relevé que rien n’indiquait que le requérant s’attendait à ce qu’on le filme au poste de police à des fins d’identification au moyen d’un enregistrement vidéo ni à ce que le film soit éventuellement utilisé comme preuve à charge lors de son procès.
- Le stratagème adopté par la police avait outrepassé l’utilisation normale de ce type de caméra et constitué une ingérence dans l’exercice par le requérant de son droit au respect de sa vie privée.
- Cette ingérence n’était par ailleurs pas prévue par la loi, la police n’ayant pas respecté les procédures énoncées par le code applicable : elle n’avait pas obtenu le consentement du requérant, ne l’avait pas averti de l’enregistrement vidéo et, de surcroît, ne l’avait pas informé de ses droits à cet égard.
?Aff. Z. c. Finlande – 25 février 1997
- Faits
- Cette affaire concernait la révélation de la séroposivité de la requérante au cours d’une procédure pénale dirigée contre son mari.
- Décision
- La Cour a conclu à la violation de l’article 8 de la Convention, jugeant que la divulgation de l’identité et de la séropositivité de la requérante dans le texte de l’arrêt de la cour d’appel communiqué à la presse ne se justifiait pas par quelque motif impérieux que ce soit et que la publication de ces informations avait dès lors porté atteinte au droit au respect de la vie privée et familiale de la requérante.
- La Cour a observé en particulier que le respect du caractère confidentiel des informations sur la santé constitue un principe essentiel du système juridique de toutes les Parties contractantes à la Convention et est capital non seulement pour protéger la vie privée des malades mais également pour préserver leur confiance dans le corps médical et les services de santé en général.
- La législation interne doit donc ménager des garanties appropriées pour empêcher toute communication ou divulgation de données à caractère personnel relatives à la santé qui ne serait pas conforme aux garanties prévues à l’article 8 de la Convention.
Section 2 : Le droit de l’Union européenne
§1 : La directive du 24 octobre 1995
A) La genèse de la directive
Par l’adoption de directive 95/46 CE du 24 octobre 1995, l’Union européenne s’est, pour la première fois, dotée d’un cadre commun de protection des personnes physiques à l’égard des traitements de données à caractère personnel.
?Compétence matérielle
Il peut être observé que, lors des travaux législatifs, la question de la compétence de la Communauté européenne pour légiférer dans cette matière s’est posée, la protection des libertés et de la vie privée étant exclue de son champ de compétence.
Néanmoins, la Commission des Communautés européennes a considéré qu’il s’agissait principalement d’établir la libre circulation des données à caractère personnel, considérées comme des marchandises, ce qui explique que la directive 95/46 CE soit une directive « marché intérieur ».
Sa négociation fut longue et difficile, s’agissant d’un problème de liberté opposant des cultures différentes.
?Socle de protection minimum
Le Conseil d’État s’est prononcé en assemblée générale par un avis du 10 juin 1999 invitant le Gouvernement à veiller à ce que la directive « ne contienne pas de dispositions qui conduiraient à priver des principes de valeur constitutionnelle de la protection que leur accorde la loi du 6 janvier 1978 actuellement en vigueur » afin de prévenir « tout risque d’inconstitutionnalité de la future loi assurant la transposition de cette directive » et énumérant certaines dispositions du projet susceptibles de conduire à une régression du niveau de protection.
En outre, le Parlement a adopté des résolutions sur ce projet en application de l’article 88-4 de la Constitution issu de la révision du 25 juin 1992.
L’Assemblée nationale a estimé dans une résolution du 25 juin 1993 que l’intervention de la Communauté européenne ne devait pas nuire au haut degré de protection dont devaient bénéficier les personnes, ni assimiler ces données à de simples marchandises.
Elle craignait également que les options très larges laissées aux États membres pour la transposition ne garantissent pas l’homogénéité de cette protection dans la Communauté européenne.
Elle demandait donc au Gouvernement :
- D’une part, de subordonner son accord au maintien intégral du niveau de protection assuré par la loi du 6 janvier 1978
- D’autre part, de prévenir le risque de divergences dangereuses au moment de la transposition de la directive par les États membres
- Enfin, de garantir aux États membres le pouvoir d’interdire le transfert de données à caractère personnel vers des pays tiers n’assurant pas un niveau de protection adéquat, au besoin par l’instauration d’une procédure d’urgence.
Le Sénat a adopté une résolution le 7 juin 1994, par laquelle il observait que la référence à des articles du Traité de nature économique, appliquée en l’espèce au domaine des libertés publiques conduisait à une interprétation extensive des compétences de la Communauté, mais que cette intervention était justifiée. Il appelait en outre à une harmonisation préalable de leur législation par les États membres.
Ces recommandations ont été suivies dans une large mesure.
B) Le contenu de la directive
?Champ d’application
Tout d’abord, la directive ne s’applique qu’aux traitements relevant du champ de compétences de l’Union européenne, c’est-à-dire qu’elle exclut notamment les « traitements de souveraineté » (défense, sécurité publique, sûreté de l’État, droit pénal).
En revanche, son champ d’application est élargi puisqu’elle s’étend non seulement aux traitements automatisés, mais aussi aux fichiers manuels à l’expiration d’un délai de 12 ans à compter de son adoption, c’est-à-dire en octobre 2007.
Par ailleurs, elle couvre les sons et les images à l’exclusion des traitements de vidéosurveillance mis en œuvre à des fins de sécurité publique.
?Méthodologie
Selon l’article 189 du traité instituant la Communauté européenne, « la directive lie tout État membre quant aux résultats à atteindre, tout en laissant aux instances nationales la compétence quant à la forme et aux moyens ».
De surcroît, les directives de l’Union imposent généralement aux États la mise en œuvre de leurs dispositions dans des délais qu’elles déterminent : en l’espèce, l’article 32 de la directive 95/46 impliquait que « les États membres mettent en vigueur les dispositions législatives, réglementaires et administratives nécessaires pour se conformer à la présente directive au plus tard à l’issue d’une période de trois ans à compter de son adoption », soit le 24 octobre 1998.
Sans doute, la loi du 6 janvier 1978 constitue-t-elle, en quelque sorte, une « transposition anticipée » de la directive, puisque nombre de ses dispositions répondent aux exigences communautaires.
Toutefois, au-delà de principes communs, tels que la loyauté de la collecte des données, la protection des données dites sensibles, le principe de finalité des traitements ou le droit d’information, de rectification ou d’opposition des personnes, ainsi que la nécessité de l’existence d’une autorité de contrôle indépendante, des différences substantielles subsistent entre la loi du 6 janvier 1978 et la directive 95/46 qui requièrent, en conséquence, une modification de notre législation.
On remarquera, notamment, que la directive du 24 octobre 1995 retient une démarche particulière, en quatre étapes :
Elle s’attache à définir :
- En premier lieu, les conditions générales de licéité des traitements
- En deuxième lieu, les droits fondamentaux des personnes concernées
- En troisième lieu, les restrictions qu’il est possible de leur apporter
- En quatrième lieu, les procédures et les recours destinés à assurer la régularité des traitements de données à caractère personnel.
Cette organisation tient à la primauté accordée par la directive aux principes de fond sur les dispositions de forme, les États membres possédant davantage de marge de manœuvre pour transposer les secondes que les premières.
Or, tel n’est pas le choix fait par le législateur français qui a établi une distinction essentielle fondée sur la nature juridique du destinataire du traitement, dont il déduit la procédure et les règles de forme applicables.
?L’égalité de principe entre secteurs public et privé
Alors que la loi du 6 janvier 1978 retient un critère organique, la directive retient un critère matériel et soumet les traitements similaires de responsables publics et privés à une même procédure.
Ainsi, les traitements de données à caractère personnel, qu’ils soient privés ou publics, ne sont plus désormais soumis qu’à une obligation de déclaration préalable auprès de l’autorité de contrôle.
La distinction entre les régimes de la déclaration et de l’autorisation, qui subsiste, est donc désormais indépendante de la qualité du responsable.
On retrouve un tel précédent dans la loi informatique et libertés en matière de traitement de recherche dans le domaine de la santé et d’évaluation des pratiques de soins.
L’assimilation des deux secteurs ne sera néanmoins pas totale, puisque les traitements de souveraineté ne sont pas concernés par les dispositions de la directive, celle-ci ne s’appliquant qu’aux traitements relevant du champ de compétence de l’Union européenne.
?Le renforcement du contrôle a posteriori
L’article 20 de la directive indique que les États membres doivent préciser les traitements « susceptibles de présenter des risques particuliers au regard des droits et des libertés des personnes concernées et veillent à ce que ces traitements soient examinés avant leur mise en œuvre ».
À l’inverse, ceux qui « ne sont pas susceptibles de porter atteinte aux droits et libertés des personnes concernées » peuvent ne donner lieu qu’à une déclaration simplifiée ou même être exonérés de toute formalité.
Parallèlement à cette limitation des contrôles a priori, la directive invite à un recentrage des missions de la CNIL en direction du contrôle a posteriori.
L’article 28 de la directive relatif aux prérogatives de l’autorité de contrôle précise donc qu’elle doit disposer en particulier de pouvoirs d’investigations ou d’accès aux données ainsi que de pouvoirs « effectifs d’intervention » lui permettant le cas échéant d’ordonner le verrouillage, l’effacement ou la destruction des données.
Si la loi du 6 janvier 1978 comporte déjà des dispositions relatives aux pouvoirs de contrôle a posteriori de la CNIL (article 21), l’insuffisance des moyens de la CNIL et la relative indifférence des parquets et tribunaux face à une matière nouvelle et technique ont, dans les faits, largement relativisé sa portée.
?La reconnaissance de l’importance des flux internationaux de données à caractère personnel
Si la loi du 6 janvier 1978 évoque déjà la question de la circulation des données, elle ne distingue pas entre les transferts vers d’autres États membres de la Communauté européenne et ceux intervenant vers des États tiers.
Or, la mondialisation de la circulation des données a été démultipliée par l’apparition des nouvelles technologies de l’information et de la communication.
Dès son article premier, la directive affirme donc le principe de la libre circulation des données au sein des États membres de l’Union européenne.
En revanche, ne sont possibles les transferts vers des pays tiers que si ceux-ci assurent un niveau de protection adéquat. La directive prévoit des mécanismes communautaires permettant de l’évaluer (articles 25 et 26), ainsi que leur articulation avec les modalités d’intervention en la matière de l’autorité nationale de contrôle.
§2 : Le Règlement Général sur la Protection des Données (RGPD)
La directive 95/46/CE qui constitue l’instrument législatif central de la protection des données à caractère personnel en Europe, a posé un jalon dans l’histoire de la protection des données.
Ses objectifs, qui consistent à assurer le fonctionnement du marché unique et la protection effective des libertés et des droits fondamentaux des personnes physiques, demeurent d’actualité.
Mais elle a été adoptée il y a plus de 20 ans, soit à une époque où internet n’en était qu’à ses premiers balbutiements.
L’environnement numérique actuel et ses exigences font que les règles en vigueur ne présentent ni le degré d’harmonisation requis ni l’efficacité nécessaire pour garantir le droit à la protection des données à caractère personnel.
C’est dans ce contexte que la Commission européenne a proposé, le 25 janvier 2012, un règlement destiné à remplacer la directive 95/46/CE et qui instaure un cadre général de l’UE pour la protection des données.
La proposition de règlement modernise les principes de la directive de 1995 en les adaptant à l’ère numérique et en harmonisant la législation sur la protection des données en Europe.
La protection des données doit faire l’objet de règles strictes pour rétablir la confiance des personnes dans la manière dont leurs données à caractère personnel sont utilisées.
La proposition de règlement vise à renforcer les droits des personnes et le marché intérieur de l’UE, garantir un contrôle accru de l’application de la réglementation, simplifier les transferts internationaux de données à caractère personnel et instaurer des normes mondiales en matière de protection des données.
À l’issue de longues négociations, le Parlement européen et le Conseil ont adopté le « paquet protection des données » le 27 avril 2016, fruit d’un compromis entre les États membres de l’Union européenne.
Ce paquet se compose :
- D’un règlement relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (règlement (UE) 2016/679)
- Applicable notamment à la matière civile et commerciale, il constitue le cadre général de la protection des données.
- Ce règlement abroge la directive 95/46/CE transposée par la loi n° 2004-801 du 6 août 2004 qui avait modifié la loi n° 78-17 du 6 janvier 1978. Il conforte les droits des personnes physiques sur leurs données à caractère personnel déjà garantis dans la loi n° 78-17 du 6 janvier 1978.
- Il renforce ainsi notamment le droit d’information des personnes, qui disposeront d’informations plus complètes et claires sur le traitement de leurs données, et en crée de nouveaux : droit à l’effacement ou « droit à l’oubli », droit à la portabilité des données.
- En outre, le règlement uniformise et simplifie les règles auxquelles les organismes traitant des données sont soumis tout en renforçant les garanties offertes par la loi n° 78-17 du 6 janvier 1978.
- Il prévoit en particulier la réduction des formalités préalables pour la mise en œuvre des traitements comportant le moins de risques, avec le passage d’un système de contrôle ex ante de la Commission nationale de l’informatique et des libertés par le biais des déclarations et autorisations à un contrôle ex post plus adapté aux évolutions technologiques.
- Ce règlement est applicable à compter du 25 mai 2018.
- D’une directive relative aux traitements mis en œuvre à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales (directive (UE) 2016/680)
- La directive s’applique aux traitements de données à caractère personnel mis en œuvre par une autorité compétente à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution des sanctions pénales, y compris la protection contre les menaces pour la sécurité publique et la prévention de telles menaces.
- La directive n’est pas applicable dès lors que le traitement de données est mis en œuvre pour d’autres finalités ou par une autorité qui n’est pas compétente. La directive n’est pas non plus applicable aux traitements intéressant la sûreté de l’État et la défense, qui ne relèvent pas du droit de l’Union.
- La directive vise à faciliter le libre flux des données à caractère personnel entre les autorités compétentes à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales, y compris la protection contre les menaces pour la sécurité publique et la prévention de telles menaces au sein de l’Union, et le transfert de telles données vers des pays tiers et à des organisations internationales, tout en assurant un niveau élevé de protection des données à caractère personnel.
- Certaines dispositions de la directive sont porteuses d’un changement de philosophie du droit de la protection des données ; d’autres représentent de réelles innovations qui, sans témoigner d’un réel changement de philosophie, imposent d’importantes modifications d’ordre technique.
- Cette directive doit être transposée d’ici le 6 mai 2018.
L’articulation entre la directive et le règlement est précisée par le considérant 12 de la directive.
Celui-ci indique notamment que relèvent de la directive les traitements concernant des « activités menées par la police ou d’autres autorités répressives [qui] sont axées principalement sur la prévention et la détection des infractions pénales et les enquêtes et les poursuites en la matière, y compris les activités de police effectuées sans savoir au préalable si un incident constitue une infraction pénale ou non».
Il précise que « ces activités peuvent également comprendre l’exercice de l’autorité par l’adoption de mesures coercitives, par exemple les activités de police lors de manifestations, de grands événements sportifs et d’émeutes », et que « parmi ces activités figure également le maintien de l’ordre public lorsque cette mission est confiée à la police ou à d’autres autorités répressives lorsque cela est nécessaire à des fins de protection contre les menaces pour la sécurité publique et pour les intérêts fondamentaux de la société protégés par la loi, et de prévention de telles menaces, qui sont susceptibles de déboucher sur une infraction pénale ».
Il indique en revanche, qu’entrent dans le champ d’application du règlement, pour autant qu’ils relèvent du droit de l’Union, les traitements par lesquels « les États membres [confient] aux autorités compétentes d’autres missions qui ne sont pas nécessairement menées à des fins de prévention et de détection des infractions pénales, d’enquêtes ou de poursuites en la matière, y compris la protection contre les menaces pour la sécurité publique et la prévention de telles menaces ».
Les nouvelles exigences posées par le législateur européen ont été transposées en droit français lors de l’adoption de la loi n° 2018-493 du 20 juin 2018 relative à la protection des données personnelles.
Section 3 : Le droit interne
§1 : La loi du 6 janvier 1978
Les premiers travaux ayant trait au développement de l’informatique dans les administrations virent le jour, en fait, à la fin des années 1960, tant en Europe que sur le continent américain : ils mettent en évidence les risques que font peser ces nouvelles pratiques sur les libertés publiques.
En France, le Conseil d’État adressa au Gouvernement, dès 1971, une série de recommandations visant à encadrer l’usage des données personnelles. Mais la prise de conscience des enjeux liés à cette question intervint en 1974, face à un projet gouvernemental connu sous le nom de « Système automatisé des fichiers administratifs et du répertoire des individus » (SAFARI), qui prévoyait une interconnexion des fichiers publics à partir d’un identifiant unique, le numéro de sécurité sociale.
Ce dispositif suscita alors de fortes réactions, résumées, le 21 mars, par le journal Le Monde, sous le titre suivant : « Safari ou la chasse aux Français ». Ce débat a débouché sur le « rapport Tricot », issu des travaux d’une commission mise en place par le Premier ministre pour proposer des mesures tendant à garantir que le développement de l’informatique se réalise dans le respect de la vie privée et des libertés, puis sur la loi n°78-17 du 6 janvier 1978, relative à l’informatique, aux fichiers et aux libertés.
Ce texte, communément appelé « loi Informatique et libertés », fut l’un des premiers au monde à encadrer l’usage des données à caractère personnel ; il a d’ailleurs inspiré, dans une large mesure, les instruments internationaux intervenus depuis lors, y compris la directive du 24 octobre 1995 que le présent projet de loi tend à transposer en droit français.
Il se présente comme un corpus de normes destinées à assurer la défense des libertés individuelles et publiques des personnes physiques face aux technologies informationnelles.
De fait, c’est bien sur ce terrain que le législateur s’est placé en affirmant, d’emblée, dès l’article 1er, que : « L’informatique doit être au service de chaque citoyen. (…) Elle ne doit porter atteinte ni à l’identité humaine, ni aux droits de l’homme, ni à la vie privée, ni aux libertés individuelles ou publiques ».
La loi du 6 janvier 1978 réglemente la collecte et l’utilisation des informations dites « nominatives », qui permettent, aux termes de son article 4, d’identifier, directement ou indirectement, des personnes physiques. Elle s’applique à deux types de procédés :
- Le traitement automatisé desdites informations, quel que soit le support ou la technique utilisée, qui est défini, à l’article 5, comme : « tout ensemble d’opérations réalisées par les moyens automatiques, relatif à la collecte, l’enregistrement, l’élaboration, la modification, la conservation et la destruction d’informations nominatives ainsi que tout ensemble d’opérations de même nature se rapportant à l’exploitation de fichiers ou bases de données et notamment les interconnexions ou rapprochements, consultations ou communications d’informations nominatives».
- Les fichiers manuels ou mécanographiques, qui n’étaient pourtant pas visés par le texte initial du Gouvernement : la loi ne fait d’ailleurs référence qu’à « l’informatique », tant à l’article 1er (« L’informatique doit être au service de chaque citoyen ») que dans le titre de l’institution de contrôle qu’elle crée par ailleurs (« Commission nationale de l’informatique et des libertés »). Cette extension a été réalisée à l’initiative du Parlement, qui a modifié, en conséquence, l’intitulé de la loi (« relative à l’informatique, aux fichiers et aux libertés »). Toutefois, ces fichiers ne sont soumis qu’à une partie des règles applicables aux traitements automatisés (notamment les dispositions relatives à la collecte, l’enregistrement et la conservation des informations, ainsi que le droit d’accès ou d’opposition), à l’exclusion de certaines obligations telles que les formalités de déclaration préalable auprès de la CNIL.
§2 : La loi du 6 août 2004
La loi n° 2004-801 du 6 août 2004 relative à la protection des personnes physiques à l’égard des traitements de données à caractère personnel, qui modifie la loi du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, a pour objet d’assurer la transposition de la directive européenne du 24 octobre 1995 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données.
Au-delà de cette transposition, il vise à adapter le droit des fichiers informatiques aux progrès technologiques et aux réalités contemporaines, dans le respect des principes fondamentaux posés par la loi du 6 janvier 1978.
Les principales dispositions du projet de loi peuvent être résumées autour de quatre axes :
- Le renforcement des droits fondamentaux des personnes dès lors que des données, de quelque nature qu’elles soient (informations nominatives, voix, image, empreintes génétiques …), font l’objet d’un fichier, sous forme d’un traitement automatisé ou non, ainsi que le renforcement des obligations pesant sur les responsables de ces traitements. En particulier, le caractère discrétionnaire du droit d’opposition des personnes intéressées à l’encontre de la mise en œuvre de tels traitements à des fins de prospection, notamment commerciale, est reconnu
- La consécration de la Commission nationale de l’informatique et des libertés (CNIL), dont la composition est, à une exception près, inchangée, comme l’autorité administrative indépendante chargée du contrôle de la mise en œuvre de la loi. La commission voit ses pouvoirs substantiellement développés ; elle sera, en particulier, dotée de pouvoirs d’investigation, d’injonction et de sanction administrative qui lui permettront d’exercer un contrôle a posteriori sur les traitements de données
- La rationalisation des formalités préalables exigées pour la création d’un traitement automatisé de données à caractère personnel : le projet de loi ne distingue plus le régime administratif applicable selon la nature publique ou privée du responsable du traitement. Le régime de droit commun sera celui de la déclaration, qui sera simplifiée pour les modèles de traitement les plus courants. Mais toutes les catégories de traitement dont les finalités ou le contenu présentent des risques particuliers au regard des droits des personnes seront soumises à l’autorisation de la CNIL.
- Les traitements publics, dits de souveraineté, intéressant la sûreté de l’État, la défense et la sécurité publique, ou les traitements publics utilisant le numéro d’inscription des personnes au répertoire national d’identification des personnes physiques, continuent à faire l’objet d’une autorisation par un décret ou par un arrêté pris après avis de la CNIL
§3 : La loi du 20 juin 2018
La loi n° 2018-493 du 20 juin 2018 relative à la protection des données personnelles vise à transposer le « paquet européen de protection des données » adopté par le Parlement européen et le Conseil le 27 avril 2016.
Pour mémoire, ce mémoire se compose :
- d’un règlement (UE) 2016/679 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel. Applicable notamment à la matière civile et commerciale, il constitue le cadre général de la protection des données. Les obligations prévues par le règlement seront également applicables aux opérateurs installés hors de l’Union européenne et offrant des biens et services aux Européens. Ce règlement est applicable à compter du 25 mai 2018 ;
- d’une directive (UE) 2016/680 relative aux traitements mis en œuvre à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales. Cette directive doit être transposée d’ici le 6 mai 2018.
Afin d’assurer la transposition de ces deux textes, le Gouvernement français a fait le choix symbolique de ne pas abroger la loi fondatrice du 6 janvier 1978.
Certes, l’adaptation du droit national au règlement et la transposition de la directive exigent de remanier plusieurs articles de cette loi, mais les principes fondateurs dégagés par le législateur il y a près de quarante ans demeurent toujours valables.
À cet égard, la loi du 20 juin 2018 retranscrit les dispositions du règlement qui conforte les droits des personnes physiques sur leurs données à caractère personnel déjà garantis dans la loi du 6 janvier 1978 (notamment le droit d’information des personnes), et en crée de nouveaux comme le droit à l’effacement ou « droit à l’oubli » et le droit à la portabilité des données.
En outre, le règlement uniformise et simplifie les règles auxquelles les organismes traitant des données sont soumis tout en renforçant les garanties offertes par la loi de 1978.
Il prévoit en particulier la réduction des formalités préalables pour la mise en œuvre des traitements comportant le moins de risques, avec le passage d’un système de contrôle a priori de la CNIL, par le biais des déclarations et autorisations, à un contrôle a posteriori plus adapté aux évolutions technologiques.
En contrepartie, la CNIL voit ses pouvoirs de contrôle et de sanctions renforcés avec la possibilité d’infliger des amendes pouvant aller jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires mondial de l’organisme concerné.