RGPD: le principe de proportionnalité

§1 : Les textes

La LIL prévoit en son article 6, 3° que les données à caractère personnel « sont adéquates, pertinentes et non excessives au regard des finalités pour lesquelles elles sont collectées et de leurs traitements ultérieurs ».

Quant au RGPD, l’article 5, c) dispose que « les données à caractère personnel doivent être adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées (minimisation des données) ».

Il ressort de ces deux disposions que tout traitement de données à caractère personnel doit être guidé par l’observance du principe de proportionnalité.

Ce principe est issu de la directive du 24 octobre 1995 qui avait posé cette exigence. Le RGPD le qualifie encore de principe de minimisation des données.

§2 : Exposé du principe

Au fond, la règle véhiculée par le principe de proportionnalité est que seules les données à caractères personnel qui sont indispensables à l’opération envisagée ne peuvent faire l’objet d’un traitement. A défaut, le traitement est illicite.

La question qui alors se pose est de savoir à partir de quand peut-on considérer que le traitement d’une donnée à caractère personnel est indispensable.

Pour le déterminer il convient de se reporter à deux considérations que sont :

  • La finalité du traitement
  • La nature des données collectées

==> S’agissant de la finalité du traitement

Il convient de se reporter à la finalité déclarée par le responsable du traitement afin de déterminé si celui-ci est proportionné.

Exemples :

  • Décision n° 2010-113 du 22 av. 2010 (ACADOMIA)
    • Les faits
      • La société ACADOMIA a pour activité principal de sélectionner des enseignants puis de proposer leurs services de soutien scolaire à ses clients, majoritairement des parents d’élèves.
      • Les enseignants ne sont pas recrutés par la société, mais par les familles l’ayant mandatée à ces fins.
      • En sa qualité de mandataire, la société gère ainsi pour le compte de ses clients tous les aspects commerciaux et de gestion de cette relation parent-enseignant, y compris l’accomplissement des formalités requises par l’URSSAF et les organismes de sécurité sociale lorsque ses clients souhaitent en être déchargés.
      • Sur son site web, la société enregistrait des commentaires sur les enseignants et les clients.
        • Ont ainsi été relevés la présence de mentions telles que :
          • Hyper hyper hyper stressée
          • Sa bouche tremble quand elle me parle
          • Le problème c’est qu’elle sent très mauvais (renfermé, sueur, tabac) malgré tout jeune femme très jolie et qui a un passé difficile (a eu une leucémie) , négligé, pas sain, sent le tabac et la cave, a l’air à l’ouest… , petit détail annexe : sent mauvais de la bouche
          • ATTENTION : présente mal /sent l’alcool / parle bizarrement , sent la transpiration (ne connait pas le déo) ;
          • GROS CON!! BEAUCOUP TROP SUR DE LUI NE SURTOUT PAS CONVOQUE .
    • La décision
      • La CNIL a considéré qu’il était parfaitement légitime de procéder à la collecte d’informations concernant les élèves et leurs parents, en vue d’adapter les prestations fournies par la société aux situations individuelles et de faciliter la relation commerciale avec la clientèle.
      • Elle a encore estimé légitime de collecter des informations concernant les enseignants qui seront amenés à travailler au contact d’enfants, dès lors que cette collecte a pour objet de permettre à la société d’évaluer leurs compétences professionnelles et leur aptitude à dispenser des cours.
      • En revanche, elle a jugé qu’on ne saurait admettre que soient enregistrés des commentaires excessifs et inappropriés sur ces personnes, qui seraient susceptibles de porter gravement atteinte à leur vie privée.
      • Ainsi, pour la CNIL, le traitement des données n’était pas proportionné à la finalité poursuivie.
  • Décision n°2010-112 du 22 octobre 2010
    • Les faits
      • La CNIL a été saisie le 24 juin 2009 d’une plainte d’un salarié de la société, relative à la mise en œuvre en 2006 d’un dispositif de vidéosurveillance sur le lieu de travail
      • Le plaignant reprochait notamment à la société de n’avoir pas effectué de formalités préalables auprès de la CNIL concernant ce dispositif, de n’avoir pas informé les institutions représentatives du personnel et de n’avoir mis en place aucun support d’information sur la vidéosurveillance.
      • A la demande du comité d’entreprise de la société, celle-ci a effectivement mis en place un système de vidéosurveillance sur l’un de ses sites.
      • L’installation de ce dispositif répondait à des actes de dégradation et de vols commis sur ce site.
      • Le dispositif installé visait le local de repos des salariés (concernés par les dégradations et le vol précités), ainsi que le parking et un bureau de travail.
      • La société n’avait procédé à aucune formalité préalable concernant ce dispositif installé en 2006.
    • La décision
      • Dans cette affaire, la CNIL a jugé le traitement de données à caractère personnel effectué par la société illicite, en conséquence de quoi elle a ordonné l’interruption dudit traitement.
      • Pour la Commission
        • D’une part, le dispositif mis en place n’est pas justifié au regard de la nature des tâches accomplies par les salariés et disproportionné par rapport à l’objectif de sécurité, dès lors qu’il apparaît que ce dispositif place les salariés sous la surveillance constante de leur employeur
        • D’autre part, il a été relevé que la console du poste de gardiennage permettait d’accéder à des enregistrements vidéo conservés depuis plus de deux mois au jour du contrôle sur place. Or il s’agit là d’une durée a priori excessive au regard de la finalité du traitement, et en tout état de cause contraire aux engagements pris par la société dans sa déclaration effectuée auprès de la CNIL qui prévoyait une durée de conservation d’un mois.
  • Décisions du 17 décembre 2009 n°5335/06 B.B. c. France (n°5335/06) et n°22115/06 Gardel c. France et M.B. c. France
    • Les requérants dans ces affaires, qui avaient été condamnés à des peines de réclusion criminelle de viol sur mineurs de 15 ans par personne ayant autorité, se plaignaient en particulier de leur inscription au Fichier judiciaire national automatisé des auteurs d’infractions sexuelles (« FIJAIS »).
    • Dans les trois affaires, la Cour a conclu à la non-violation de l’article 8 de la Convention, jugeant que l’inscription au FIJAIS, telle qu’elle avait été appliquée aux requérants, avait ménagé un juste équilibre entre les intérêts privés et publics concurrents en jeu.
    • La Cour a réaffirmé en l’espèce que la protection des données à caractère personnel joue un rôle fondamental dans le respect de la vie privée et familiale, d’autant plus quand il s’agit de données personnelles soumises à un traitement automatique, en particulier lorsque ces données sont utilisées à des fins policières.
    • Cela étant, la Cour ne saurait mettre en doute les objectifs de prévention du fichier en question. En outre, les requérants ayant la possibilité concrète de présenter une requête en effacement des données, la Cour a estimé que la durée de conservation des données – de 30 maximum – n’était pas disproportionnée au regard du but poursuivi par la mémorisation des informations.
    • Enfin, la consultation de telles données par les autorités judiciaires, de police et administratives était régie par une obligation de confidentialité et des circonstances précisément déterminées

==> S’agissant de la nature des données

Le caractère proportionné du traitement s’apprécie, non seulement au regard de la finalité poursuivie, mais encore au regard de la nature des données à caractère personnel collectées.

Exemples :

  • CEDH 4 déc. 2008, S. et Marper c. Royaume-Uni
    • Cette affaire concernait la rétention indéfinie dans une base de donnée des empreintes digitales et données ADN (échantillons cellulaires et profil ADN6) des requérants après que les procédures pénales dirigées contre eux se furent soldées par un acquittement pour l’un et un classement sans suite pour l’autre.
    • La Cour a conclu à la violation de l’article 8 de la Convention, jugeant que la conservation en cause s’analysait en une atteinte disproportionnée au droit des requérants au respect de leur vie privée et ne pouvait passer pour nécessaire dans une société démocratique.
    • La Cour a considéré en particulier que l’usage des techniques scientifiques modernes dans le système de la justice pénale ne pouvait être autorisé à n’importe quel prix et sans une mise en balance attentive des avantages pouvant résulter d’un large recours à ces techniques, d’une part, et des intérêts essentiels s’attachant à la protection de la vie privée, d’autre part, et que tout État revendiquant un rôle de pionnier dans l’évolution de nouvelles technologies portait la responsabilité particulière de « trouver le juste équilibre» en la matière.
    • Elle a conclu que le caractère général et indifférencié du pouvoir de conservation des empreintes digitales, échantillons biologiques et profils ADN des personnes soupçonnées d’avoir commis des infractions mais non condamnées, tel qu’il avait été appliqué aux requérants en l’espèce, ne traduisait pas un juste équilibre entre les intérêts publics et privés concurrents en jeu.
  • CE, 28 mars 2014, n° 361042, SNES
    • Par requête enregistrée le 13 juillet 2012, un syndicat avait demandé au Conseil d’État d’annuler le décret n° 2012-342 du 8 mars 2012 portant création d’un traitement automatisé de données à caractère personnel dénommé « SIRHEN » (système d’information des ressources humaines de l’éducation nationale) relatif à la gestion des ressources humaines du ministère de l’éducation nationale, de la jeunesse et de la vie associative et du ministère de l’enseignement supérieur et de la recherche.
    • La création de SIRHEN a été autorisée par le décret du 8 mars 2012 précité, publié au J.O. du 10 mars 2012, après avis motivé de la Commission nationale de l’informatique et des libertés (CNIL), en application du I de l’article 27 de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés.
    • Ce traitement, qui réunit les différentes bases de gestion des ressources humaines du ministère de l’éducation nationale, de l’enseignement supérieur et de la recherche en une seule application, a pour finalités la gestion administrative et financière des personnels, la gestion des moyens et le pilotage national et académique, par la production d’indicateurs statistiques.
    • En l’espèce, le Conseil d’État a rejeté la requête, à l’exception des seules dispositions des troisième et sixième alinéas du 1° du B du I de l’annexe du décret du 8 mars 2012 en tant qu’elles prévoient la collecte d’informations relatives au sexe et à la nationalité des conjoints des agents figurant dans SIRHEN.
    • Le Conseil d’État a ensuite estimé « que la liste des données à caractère personnel et des informations ainsi collectées (…) sont relatives à l’identification des agents, à leur situation familiale, à leur vie professionnelle, auxquelles s’ajoutent des éléments économiques et financiers ; que la collecte de ces catégories de données est nécessaire à la finalité légitime du traitement ; que la collecte et le traitement de données telles que le nom, le prénom, la date et le lieu de naissance, ainsi que le NIR [numéro d’inscription au répertoire] des membres de la famille des agents, nécessaires pour permettre à ces derniers de bénéficier des avantages liés à leur situation de famille, sont proportionnés au regard des finalités du traitement»
    • Le Conseil relève, en revanche, que « l’administration ne fait état, dans ses écritures, d’aucune nécessité ou utilité quant au recueil des informations relatives au sexe et à la nationalité des conjoints ou partenaires des agents ; qu’en l’absence de toute justification sur ce point, la collecte de ces informations ne peut, en l’espèce, qu’être regardée comme excessive au regard des dispositions précitées du 3° de l’article 6 de la loi du 6 janvier 1978 ».
  • CE., 26 octobre 2011, Association pour la promotion de l’image et autres
    • Par requête enregistrée le 30 juin 2008 L’association pour la promotion de l’image a saisi le Conseil d’État aux fins d’annuler pour excès de pouvoir le décret n° 2008-426 du 30 avril 2008 modifiant le décret n° 2005-1726 du 30 décembre 2005 relatif aux passeports électroniques, ainsi que la circulaire n° INT/1/08/00105/C du 7 mai 2008 relative au choix des deux mille communes appelées à recevoir des stations d’enregistrement des données personnelles pour le nouveau passeport
    • La requérante contestait ce décret en ce qu’il autorisait, lors de l’établissement ou du renouvellement de passeports la collecte de huit empreintes digitales au lieu de deux prévues initialement par les dispositions européenne.
    • En l’espèce, le Conseil d’État a considéré que si le ministre soutient que la conservation dans le traitement automatisé des empreintes digitales de huit doigts, alors que le composant électronique du passeport n’en contient que deux, permettrait de réduire significativement les risques d’erreurs d’identification, cette assertion générale n’a été ni justifiée par une description précise des modalités d’utilisation du traitement dans les productions du ministre, ni explicitée lors de l’audience d’instruction à laquelle il a été procédé
    • Il estime, en outre, que « l’utilité du recueil des empreintes de huit doigts et non des deux seuls figurant sur le passeport n’étant pas établie, la collecte et la conservation d’un plus grand nombre d’empreintes digitales que celles figurant dans le composant électronique ne sont ni adéquates, ni pertinentes et apparaissent excessives au regard des finalités du traitement informatisé»

RGPD: le principe de finalité

==> Reconnaissance du principe

L’article 6, 2° de la loi informatique et libertés prévoit que les données à caractère personnel « sont collectées pour des finalités déterminées, explicites et légitimes et ne sont pas traitées ultérieurement de manière incompatible avec ces finalités ».

Dans la première version de la loi, le principe de finalité n’avait pas explicitement été érigé au rang de principe, à tout le moins pas directement. Ce principe n’était qu’évoqué en ce que le détournement de la finalité du traitement était sanctionné.

En 2004, lors de la transposition – tardive – de la directive du 24 octobre 1995, le législateur s’est saisi de l’occasion pour préciser que les données doivent être collectées « pour des finalités déterminées » et ne peuvent être « traitées ultérieurement de manière incompatible avec ces finalités ».

Ce complément majeur résulte du point b) du paragraphe 1) de l’article 6 de la directive. Il figurait déjà presque dans les mêmes termes dans la convention n° 108 du Conseil de l’Europe.

Le principe de finalité a été réaffirmé par le RGPD qui prévoit en son article 5, 1, b) que « les données à caractère personnel doivent être collectées pour des finalités déterminées, explicites et légitimes, et ne pas être traitées ultérieurement d’une manière incompatible avec ces finalités »

==> Signification du principe

Le principe de finalité est, sans aucun doute, la pierre angulaire de la loi informatique et libertés. Il signifie que, pour être licite, un traitement de données à caractère personnel doit être assorti d’une finalité.

Autrement dit, la collecte de données à caractère personnel ne peut jamais être une fin en soi. Pour être mise en œuvre, elle doit être justifiée par la poursuite d’un but déterminé. On ne peut pas se livrer à une collecte de données « au cas où ».

Lorsqu’il est procédé à un traitement de données, celui-ci doit poursuivre une finalité, laquelle finalité doit être portée à la connaissance de la personne concernée. Ainsi, le principe de finalité est étroitement lié à l’exigence de consentement qui préside au traitement de données à caractère personnel. Pour consentir à un traitement de données, encore faut-il avoir été informé de sa finalité.

Le considérant 42 du RGPD énonce en ce sens que « pour que le consentement soit éclairé, la personne concernée devrait connaître au moins l’identité du responsable du traitement et les finalités du traitement auquel sont destinées les données à caractère personnel. Le consentement ne devrait pas être considéré comme ayant été donné librement si la personne concernée ne dispose pas d’une véritable liberté de choix ou n’est pas en mesure de refuser ou de retirer son consentement sans subir de préjudice ».

Dans son avis n°03/2013 du 2 avril 2013, le groupe de l’article 29 justifie le principe de finalité en indiquant qu’il répond à trois impératifs :

  • Un impératif de transparence
    • La personne dont les données sont collectées doit être informée de la finalité du traitement afin d’être en capacité d’y consentir.
    • Autrement dit, la transparence garantit la prévisibilité et permet ainsi à la personne concernée de contrôler l’usage de ses données
  • Un impératif de prévisibilité
    • Pour le groupe de l’article 29, dès lors que la finalité du traitement est déterminée, les personnes concernées peuvent savoir à quoi s’attendre, en ce sens qu’elles connaissent le traitement dont est susceptible de faire l’objet leurs données ainsi que l’étendue de ce traitement.
  • Un impératif de sécurité juridique
    • L’exigence de détermination de la finalité du traitement apporte aux personnes concernées une sécurité juridique dans la mesure où elles sont en mesure de contrôler l’usage de leurs données, notamment en exerçant leurs droits, d’accès, d’opposition, de suppression, de rectification etc.

Pratiquement, il ressort de l’article 6 de la LIL que le principe de finalité met à la charge du responsable du traitement, deux séries d’obligations qui interviennent à deux stades bien distincts du traitement :

  • Au stade de la collecte des données
  • Au stade du traitement ultérieur des données

§1 : L’exigence d’une finalité déterminée, explicite et légitime au stade de la collecte des données

Si, pour être licite, une collecte de données à caractère personnel doit être assortie d’une finalité, la satisfaction de cette condition n’est pas suffisante.

L’article 6 de la LIL exige que la finalité de la collecte soit :

  • Déterminée
  • Explicite
  • Légitime

==> Une finalité déterminée

Les données à caractère personnel doivent être collectées à des fins déterminées. Aussi, appartient-il au responsable du traitement de soigneusement analyser, le ou les buts pour lesquelles les données seront collectées.

Cette analyse doit se faire en amont de la collecte. À cet égard, le responsable du traitement, doit documenter sa démarche et être en mesure de justifier la finalité communiquée à la personne visée.

Il devra notamment veiller à ce que la finalité retenue ne soit pas trop large. Elle doit donc être clairement et précisément identifiée. Plus encore, la finalité doit être suffisamment précise pour que la personne concernée soit en mesure de savoir quelles sont les utilisations incluses et exclues de ses données par le responsable du traitement.

Le G29 considère, par exemple, qu’une finalité est très vague ou générale lorsqu’elle est présentée comme consistant à « améliorer l’expérience utilisateur » ou qu’elle est exposée sous le terme « finalité marketing » ou encore « finalité sécurité IT ».

Au vrai, le degré de précision de la finalité annoncée dépend du contexte particulier dans lequel les données sont collectées et de la complexité du traitement.

==> Une finalité explicite

En plus d’être déterminée, la finalité du traitement doit être explicite. Elle doit, autrement dit, être clairement révélée et exprimée de façon intelligible.

L’explicitation de la finalité doit intervenir, selon le Groupe de l’article 69, au plus tard, au moment de la collecte des données.

L’objectif de cette exigence est de garantir la bonne compréhension du but poursuivi par le responsable du traitement, lequel ne saurait être imprécis ou ambiguë.

La finalité annoncée doit, en somme, être suffisamment explicite pour que la personne concernée comprenne l’intention du responsable du traitement.

==> Une finalité légitime

Selon le Groupe de l’article 29 pour que la finalité d’un traitement de données soit légitime, il est nécessaire que, à tous les stades et à tout moment, celui-ci repose :

  • Soit sur le consentement de la personne concernée
  • Soit sur l’un des cas prévus par dérogation à l’exigence de consentement (art. 7 de la LIL)

L’exigence de légitimité signifie encore que les finalités du traitement soient conformes à la loi. Il peut donc s’agir de respecter une réglementation différente de celle posée par la LIL.

Pour apprécier la légitimité de la finalité, pourront ainsi être pris en compte, le droit du travail, le droit de la consommation, la jurisprudence, la coutume, la déontologie.

§2 : L’exigence de compatibilité du traitement ultérieur avec la finalité initiale de la collecte des données

Le principe de finalité n’a pas seulement vocation à s’appliquer au stade de la collecte des données à caractère personnel, il doit également être respecté en cas de traitement ultérieur.

Plus précisément, l’article 6 de la LIL pose une exigence de compatibilité entre la finalité de la collecte et celle des traitements futurs.

Pour écarter le risque d’un usage injustifié, même décalé dans le temps, ce texte pose ainsi un principe d’interdiction de tout traitement ultérieur des données « incompatible avec les finalités pour lesquelles elles ont été collectées ».

Une exception est néanmoins prévue au profit des traitements réalisés à des fins statistiques ou scientifiques ou historiques, sous réserve qu’ils respectent les conditions de licéité.

I) Le principe

C’est donc l’interdiction de tout traitement ultérieur des données « incompatible avec les finalités pour lesquelles elles ont été collectées ».

On peut en déduire que le traitement de données à caractère personnel pour d’autres finalités que celles pour lesquelles les données à caractère personnel ont été collectées initialement n’est autorisé que s’il est compatible avec les finalités pour lesquelles les données à caractère personnel ont été collectées initialement.

Dans ce cas, aucune base juridique distincte de celle qui a permis la collecte des données à caractère personnel n’est requise.

Lorsque, en revanche, le traitement ultérieur incompatible, il conviendra de fonder le traitement sur un nouveau fondement juridique, ce qui pourrait consister, par exemple, à solliciter le consentement de la personne visée.

La question qui immédiatement se pose est alors de savoir ce que l’on doit entendre par la notion de compatibilité du traitement ultérieur avec les finalités initiales de la collecte.

Pour le déterminer, il convient de se reporter au test de compatibilité établi par le Groupe de l’article 29 et aux critères posés par le RGPD

A) Le test de compatibilité établir par le Groupe de l’article 29

  1. La méthode

Afin de déterminer si un traitement ultérieur de données est compatible avec la finalité initiale de leur collecte, le Groupe de l’article 29 suggère de procéder à deux sortes d’évaluations :

  • Une évaluation formelle
    • Elle consistera à comparer les finalités initialement déclarées par le responsable du traitement dans le cadre de l’information fournie à la personne concernée, à celles poursuivies ultérieurement et vérifier que ces dernières sont couvertes implicitement ou explicitement.
    • Cette première méthode peut sembler, à première vue, des plus objectives et neutres.
    • Toutefois, elle risque d’être trop rigide, en ce qu’elle se limite à une analyse seulement textuelle des finalités poursuivies.
  • Une évaluation matérielle
    • Il conviendra ici d’aller au-delà des déclarations officielles pour identifier à la fois nouvelles finalités et celles initialement poursuivies, en tenant compte de la manière dont elles ont été effectivement comprises par la personne concernée.
    • Cette seconde méthode est, de toute évidence, plus souple et pragmatique que la première, mais aussi plus efficace.
    • Elle permet de s’adapter aux évolutions futures de la finalité du traitement, tout en continuant à protéger efficacement la protection des données à caractère personnel.

Plusieurs exemples sont fournis par le Groupe de l’article 29 :

==> Exemple 1 : la compatibilité est évidente à première vue

Un client effectue une commande en ligne auprès d’un commerçant en vue de se faire livrer chaque semaine des paniers de légumes bio.

Après avoir collecté, lors de la conclusion du contrat, l’adresse et les coordonnées bancaires du client, ces données sont traitées ultérieurement par le commerçant les semaines suivantes pour les besoins de la livraison et du paiement.

Ici, il ne fait aucun doute que le traitement ultérieur des données est conforme à la finalité de la collecte initiale.

==> Exemple 2 : La compatibilité n’est pas évidente et nécessite une analyse plus approfondie

Le commerçant souhaite, dans ce scénario utiliser l’adresse e-mail du client afin de lui adresser des offres personnalisées et des bons de réductions pour des produits similaires, y compris sa gamme de produits laitiers biologiques.

Il souhaite également communiquer les données du client, dont son nom, adresse électronique, numéro de téléphone et historique des achats à un autre commerçant qui a ouvert une boucherie biologique dans le même quartier.

Dans les deux cas, ici le commerçant ne peut pas considérer que ce traitement ultérieur est compatible avec la finalité initiale de la collecte de données, de sorte que des analyses approfondies devront être menées par le responsable du traitement.

Pour le groupe de l’article 29, plus la différence entre la finalité initiale de la collecte et celle du traitement ultérieur est grande, plus le test de compatibilité doit être détaillé, ce qui pourra conduire à adopter des mesures supplémentaires pour compenser le changement de finalité, comme, par exemple, fournir des informations supplémentaires à la personne concernée.

==> Exemple 3 : L’incompatibilité est évidente

En plus d’acheter un panier de légumes bio le client commande une gamme d’autres produits biologiques sur le site web du commerçant, dont certains à prix réduit.

Le commerçant, sans informer le client, a mis en place une solution logicielle de personnalisation des prix prête à l’emploi, qui – entre autres choses – détecte si le client utilise un ordinateur Apple ou un PC Windows.

Le commerçant offre alors automatiquement des rabais plus importants aux utilisateurs de Windows.

Dans ce cas, le traitement ultérieur des données est clairement incompatible avec la finalité de la collecte initiale.

Si les données sont traitées de telle manière qu’une personne raisonnable trouverait le traitement, non seulement inattendu, mais égalent inapproprié, il est fort probable que celui-ci puisse être considéré comme incompatible.

2. Les critères

Afin d’évaluer la compatibilité d’un traitement ultérieur de données, le Groupe de l’article 29 a posé un certain nombre de critères

==> La relation entre les finalités pour lesquelles les données ont été collectées et les finalités du traitement ultérieur

Ce facteur est peut-être le plus évident car l’évaluation de la compatibilité repose, d’abord, sur la relation entre la finalité initiale de la collecte et la finalité du traitement ultérieur.

Ce critère peut couvrir des situations où le traitement ultérieur était déjà plus ou moins compris implicitement dans les finalités initiales, ou supposées comme l’étape logique suivante du traitement selon ces fins.

En tout état de cause, plus la différence entre les finalités de la collecte et celles du traitement ultérieur est grande plus l’évaluation de la compatibilité est problématique.

Afin de procéder à cette évaluation, il sera nécessaire de toujours se reporter au contexte factuel et à la finalité telle qu’elle a été comprise par la personne visée.

==> Le contexte dans lequel les données ont été collectées et les attentes raisonnables de la personne concernée quant à leur utilisation ultérieure

Ce deuxième critère est axé sur le contexte spécifique dans lequel les données ont été collectées et sur les attentes raisonnables des personnes concernées quant à l’utilisation de leurs données dans ce contexte.

En d’autres termes, la question ici est de savoir à quoi une personne raisonnable, qui se trouverait dans la situation de la personne concernée, s’attendrait s’agissant du traitement ultérieur de ses données.

A priori, plus le traitement ultérieur des données est inattendu ou surprenant, plus il est probable qu’il soit considéré comme incompatible.

==> La nature des données et l’impact du traitement ultérieur sur les personnes concernées

Le groupe de l’article 29 recommande ici de prendre en compte la nature des données collectées.

Au fond, l’idée sous-jacente est que plus les informations en cause sont sensibles, plus la marge de compatibilité est étroite.

À cela s’ajoute la prise en compte de l’incidence du traitement ultérieur sur les libertés de la personne concernée.

==> Les critères du RGPD

Selon l’article 6, 4 du RGPD, afin de déterminer si le traitement à une autre fin est compatible avec la finalité pour laquelle les données à caractère personnel ont été initialement collectées, le responsable du traitement tient compte, entre autres:

  • de l’existence éventuelle d’un lien entre les finalités pour lesquelles les données à caractère personnel ont été collectées et les finalités du traitement ultérieur envisagé;
  • du contexte dans lequel les données à caractère personnel ont été collectées, en particulier en ce qui concerne la relation entre les personnes concernées et le responsable du traitement;
  • de la nature des données à caractère personnel, en particulier si le traitement porte sur des catégories particulières de données à caractère personnel, en vertu de l’article 9, ou si des données à caractère personnel relatives à des condamnations pénales et à des infractions sont traitées, en vertu de l’article 10;
  • des conséquences possibles du traitement ultérieur envisagé pour les personnes concernées;
  • de l’existence de garanties appropriées, qui peuvent comprendre le chiffrement ou la pseudonymisation.

De toute évidence, les critères ici énoncés par le RGPD sont directement issus de l’avis formulé par le Groupe de l’article 29.

B) Les exceptions

Le principe d’interdiction du traitement ultérieur des données incompatible avec les finalités pour lesquelles elles ont été collectées est assorti de deux exceptions : la première est générale, la seconde spécifique

  1. L’exception générale

Il ressort de l’article 6, 4° du RGPD que, en cas d’incompatibilité du traitement ultérieur avec les finalités poursuivies initialement au stade de la collecte, celui-ci est, malgré tout, autorisé :

  • Si la personne concernée a exprimé son consentement
  • Si le traitement est fondé sur le droit de l’Union ou le droit d’un État membre qui constitue une mesure nécessaire et proportionnée dans une société démocratique pour garantir les objectifs visés à l’article 23, paragraphe 1
    • Au nombre de ces objectifs figurent :
      • la sécurité nationale;
      • la défense nationale;
      • la sécurité publique;
      • la prévention et la détection d’infractions pénales, ainsi que les enquêtes et les poursuites en la matière ou l’exécution de sanctions pénales, y compris la protection contre les menaces pour la sécurité publique et la prévention de telles menaces;
      • d’autres objectifs importants d’intérêt public général de l’Union ou d’un État membre, notamment un intérêt économique ou financier important de l’Union ou d’un État membre, y compris dans les domaines monétaire, budgétaire et fiscal, de la santé publique et de la sécurité sociale;
      • la protection de l’indépendance de la justice et des procédures judiciaires;
      • la prévention et la détection de manquements à la déontologie des professions réglementées, ainsi que les enquêtes et les poursuites en la matière;
      • une mission de contrôle, d’inspection ou de réglementation liée, même occasionnellement, à l’exercice de l’autorité publique, dans les cas visés aux points a) à e) et g);
      • la protection de la personne concernée ou des droits et libertés d’autrui;
      • l’exécution des demandes de droit civil.

2. L’exception spécifique

Par exception au principe d’interdiction du traitement incompatible, l’article 6 de la LIL pose une exception pour les traitements ultérieurs de données :

  • à des fins statistiques
  • à des fins de recherche scientifique
  • à des fins de recherche historique

Selon le Groupe de l’article 29, ce texte ne doit pas être interprété comme instituant une exception générale à l’exigence de compatibilité.

Il ne saurait s’agir d’une règle qui vise à autoriser, en toutes circonstances, le traitement des données à des fins historiques, statistiques ou scientifiques.

Comme dans tout autre cas de traitement ultérieur, toutes les circonstances et tous les facteurs pertinents doivent être pris en compte pour décider quelles garanties peuvent être considérées comme appropriées et suffisantes.

Les sources du droit de la protection des données à caractère personnel

Section 1 : le droit international

§1 : Principes directeurs de l’ONU

Dans le cadre de sa résolution A/RES/45/95, l’Assemblée générale des Nations Unis a adopté, le 14 décembre 1990, des « principes directeurs pour la réglementation des fichiers personnels informatisés »

Ce texte envisage un certain nombre de garanties minimales qui doivent être prévues par les États membres, étant précisé que, contrairement aux décisions prises par le Conseil de sécurité, les résolutions adoptées par l’Assemblée générale des Nations Unis sont dépourvues de force contraignante.

Les principes directeurs énoncés par la résolution ainsi adoptée sont au nombre de 10 :

A) Champ d’application

Les présents principes s’appliquent :

  • D’une part, à tous les fichiers informatisés publics et privés et, par voie d’extension facultative et sous réserve des adaptations adéquates, aux fichiers traités manuellement.
  • D’autre part, si cela est expressément prévu par les législations nationales, aux fichiers de personnes morales, notamment lorsqu’ils contiennent pour partie des informations concernant des personnes physiques.

B) Principe de licéité et de loyauté

Les données concernant les personnes ne doivent pas être obtenues ou traitées à l’aide de procédés illicites ou déloyaux, ni utilisées à des fins contraires aux buts et aux principes de la Charte des Nations Unies.

C) Principe d’exactitude

Les personnes responsables de l’établissement d’un fichier ou celles responsables de leur mise en œuvre doivent être tenues de vérifier l’exactitude et la pertinence des données enregistrées et de veiller à ce qu’elles demeurent aussi complètes que possible pour éviter les erreurs par omission et qu’elles soient mises à jour, périodiquement ou lors de l’utilisation des informations contenues dans un dossier, tant qu’elles font l’objet d’un traitement.

D) Principe de finalité

La finalité en vue de laquelle est créé un fichier et son utilisation en fonction de cette finalité doivent être spécifiées, justifiées et, lors de sa mise en œuvre, faire l’objet d’une mesure de publicité ou être portées à la connaissance de la personne concernée, afin qu’il soit ultérieurement possible de vérifier :

  • Si toutes les données personnelles collectées et enregistrées restent pertinentes par rapport à la finalité poursuivie ;
  • Si aucune desdites données personnelles n’est utilisée ou divulguée, sauf accord de la personne concernée, à des fins incompatibles avec celles ainsi spécifiées ;
  • Si la durée de conservation des données personnelles n’excède pas celle permettant d’atteindre la finalité pour laquelle elles ont été enregistrées.

E) Principe de l’accès par les personnes concernées

Toute personne justifiant de son identité a le droit de savoir si des données la concernant font l’objet d’un traitement, d’en avoir communication sous une forme intelligible, sans délais ou frais excessifs, d’obtenir les rectifications ou destructions adéquates en cas d’enregistrements illicites, injustifiés ou inexacts, et, lorsqu’elles sont communiquées, d’en connaître les destinataires.

Une voie de recours doit être prévue, le cas échéant, auprès de l’autorité de contrôle prévue.

En cas de rectification, le coût devrait être à la charge du responsable du fichier.

Il est souhaitable que les dispositions de ce principe s’appliquent à toute personne, quelle que soit sa nationalité ou sa résidence.

F) Principe de non-discrimination

Sous réserve des cas de dérogations limitativement prévus sous le principe 6, les données pouvant engendrer une discrimination illégitime ou arbitraire, notamment les informations sur l’origine raciale ou ethnique, la couleur, la vie sexuelle, les opinions politiques, les convictions religieuses, philosophiques ou autres, ainsi que l’appartenance à une association ou un syndicat, ne doivent pas être collectées.

G) Faculté de dérogation

Deux catégories de dérogations doivent être distinguées :

  • Les dérogations relatives aux principes de licéité et de loyauté, d’exactitude, de finalité et de libre accès peuvent faire l’objet de dérogations.
    • Ces dérogations peuvent être envisagées par les États à la double condition
      • D’une part, que ces dérogations soient nécessaires pour protéger la sécurité nationale, l’ordre public, la santé ou la moralité publique ainsi que, notamment, les droits et libertés d’autrui, spécialement de personnes persécutées (clause humanitaire)
      • D’autre part, que ces dérogations soient expressément prévues par la loi ou par une réglementation équivalente prise en conformité avec le système juridique interne qui en fixe expressément les limites et édicte des garanties appropriées.
  • Les dérogations relatives au principe de la prohibition de la discrimination
    • Outre qu’elles doivent être soumises aux mêmes garanties que celles prévues pour les dérogations précédentes, elles ne peuvent être autorisées que dans les limites prévues par la Charte internationale des droits de l’homme et les autres instruments pertinents dans le domaine de la protection des droits de l’homme et de la lutte contre les discriminations.

H) Principe de sécurité

Des mesures appropriées doivent être prises pour protéger les fichiers tant contre les risques naturels, tels que la perte accidentelle ou la destruction par sinistre, que les risques humains, tels que l’accès non autorisé, l’utilisation détournée de données ou la contamination par des virus informatiques.

I) Contrôle et sanctions

Chaque législation doit désigner l’autorité qui, en conformité avec le système juridique interne, est chargée de contrôler le respect des principes précités.

Cette autorité doit présenter des garanties d’impartialité, d’indépendance à l’égard des personnes ou organismes responsables des traitements et de leur mise en œuvre, et de compétence technique.

En cas de violation des dispositions de la loi interne mettant en œuvre les principes précités, des sanctions pénales ou autres doivent être prévues ainsi que des recours individuels appropriés.

J) Flux transfrontières de données

Lorsque la législation de deux ou plusieurs pays, concernés par un flux transfrontière de données, présente des garanties comparables au regard de la protection de la vie privée, les informations doivent pouvoir circuler aussi librement qu’à l’intérieur de chacun des territoires concernés.

En l’absence de garanties comparables, des limitations à cette circulation ne peuvent être imposées indûment et seulement dans la stricte mesure où la protection de la vie privée l’exige.

§2 : Les lignes directrices de l’OCDE

A) Ratio legis

Par décision du 23 septembre 1980, l’Organisation de Coopération et de Développement Économiques (OCDE) a adopté des lignes directrices régissant la protection de la vie privée et les flux transfrontières de données de caractère personnel.

Les États membre de cette organisation internationale sont partis du constat, dès 1980, que le traitement automatique de l’information, qui permet de transmettre de vastes quantités de données en quelques secondes à travers les frontières nationales et même à travers les continents tendait à se généraliser et à prendre un essor qui n’aurait de cesse de s’accroître.

Il a encore été relevé que, en réaction, des législations relatives à la protection de la vie privée ont été adoptées en vue de prévenir des actes considérés comme constituant des violations des droits fondamentaux de l’homme, tels que le stockage illicite de données de caractère personnel qui sont inexactes, l’utilisation abusive ou la divulgation non autorisée de ces données.

L’OCDE y a vu le risque que des disparités se créent dans les législations nationales et qu’elles entravent la libre circulation des données de caractère personnel à travers les frontières.

Des restrictions imposées à ces flux pourraient, en effet, entraîner de graves perturbations dans d’importants secteurs de l’économie, tels que la banque et les assurances.

C’est pourquoi, les pays Membres de l’OCDE ont jugé nécessaire d’élaborer des lignes directrices qui permettraient d’harmoniser les législations nationales relatives à la protection de la vie privée et qui, tout en contribuant au maintien de ces droits de l’homme, empêcheraient que les flux internationaux de données ne subissent des interruptions.

Ces lignes directrices sont l’expression d’un consensus sur des principes fondamentaux qui peuvent être intégrés à la législation nationale en vigueur ou servir de base à une législation dans les pays qui ne sont pas encore dotés.

B) Énoncé des principes

Deux catégories de principes sont envisagées par les Lignes directrices de l’OCDE

?Les principes fondamentaux applicables au plan national

  • Principe de la limitation en matière de collecte
    • Il convient d’assigner des limites à la collecte des données de caractère personnel et toute donnée de ce type devrait être obtenue par des moyens licites et loyaux et, le cas échéant, après en avoir informé la personne concernée ou avec son consentement.
  • Principe de la qualité des données
    • Les données de caractère personnel doivent être pertinentes par rapport aux finalités en vue desquelles elles doivent être utilisées et, dans la mesure où ces finalités l’exigent, elles doivent être exactes, complètes et tenues à jour.
  • Principe de la spécification des finalités
    • Les finalités en vue desquelles les données de caractère personnel sont collectées doivent être déterminées au plus tard au moment de la collecte des données et lesdites données ne doivent être utilisées par la suite que pour atteindre ces finalités ou d’autres qui ne soient pas incompatibles avec les précédentes et qui seraient déterminées dès lors qu’elles seraient modifiées.
  • Principe de la limitation de l’utilisation
    • Les données de caractère personnel ne doivent pas être divulguées, ni fournies, ni utilisées à des fins autres que celles spécifiées conformément au paragraphe 9, si ce n’est :
      • Avec le consentement de la personne concernée
      • Lorsqu’une règle de droit le permet.
  • Principe des garanties de sécurité
    • Il convient de protéger les données de caractère personnel, grâce à des garanties de sécurité raisonnables, contre des risques tels que la perte des données ou leur accès, destruction, utilisation, ou divulgation non autorisés.
  • Principe de la transparence
    • Il convient d’assurer, d’une façon générale, la transparence des progrès, pratiques et politiques, ayant trait aux données de caractère personnel.
    • Il doit être possible de se procurer aisément les moyens de déterminer l’existence et la nature des données de caractère personnel, et les finalités principales de leur utilisation, de même que l’identité du maître du fichier et le siège habituel de ses activités.
  • Principe de la participation individuelle
    • Toute personne physique doit avoir le droit :
      • D’obtenir du maître d’un fichier, ou par d’autres voies, confirmation du fait que le maître du fichier détient ou non des données la concernant ;
      • De se faire communiquer les données la concernant :
        • Dans un délai raisonnable ;
        • Moyennant, éventuellement, une redevance modérée ;
        • Selon des modalités raisonnables ;
        • Sous une forme qui lui soit aisément intelligible ;
      • D’être informée des raisons pour lesquelles une demande quelle aurait présentée est rejetée et de pouvoir contester un tel rejet,
      • De contester les données la concernant et, si la contestation est fondée, de les faire effacer, rectifier, compléter ou corriger.
  • Principe de la responsabilité
    • Tout maître de fichier devrait être responsable du respect des mesures donnant effet aux principes énoncés ci-dessus.

? Les principes fondamentaux applicables au plan international

  • Libre circulation
    • Les pays Membres doivent prendre en considération les conséquences pour d’autres pays Membres d’un traitement effectué sur leur propre territoire et de la réexportation des données de caractère personnel
    • Les pays Membres doivent prendre toutes les mesures raisonnables et appropriées pour assurer que les flux transfrontières de données de caractère personnel, et notamment le transit par un pays Membre, aient lieu sans interruption et en toute sécurité.
    • Un pays Membre doit s’abstenir de limiter les flux transfrontières de données de caractère personnel entre son territoire et celui d’un autre pays Membre, sauf lorsqu’un ce dernier ne se conforme pas encore pour l’essentiel aux Lignes directrices ou lorsque la réexportation desdites données permettrait de contourner sa législation interne sur la protection de la vie privée et des libertés individuelles.
  • Restrictions légitimes
    • Un pays Membre peut imposer des restrictions à l’égard de certaines catégories de données de caractère personnel pour lesquelles sa législation interne sur la protection de la vie privée et les libertés individuelles prévoit des réglementations spécifiques en raison de la nature de ces données et pour lesquelles l’autre pays Membre ne prévoit pas de protection équivalente.
    • Les pays Membres doivent néanmoins éviter d’élaborer des lois, des politiques et des procédures, qui, sous couvert de la protection de la vie privée et des libertés individuelles, créeraient des obstacles à la circulation transfrontière des données de caractère personnel qui iraient au-delà des exigences propres à cette protection.

§3 : La convention STE 108

?Adoption de la convention

Les pays membres du Conseil de l’Europe ont adopté le 28 janvier 1981 la Convention pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel, dite Convention STE 108.

Cette convention fut, indéniablement, le premier instrument international juridique contraignant dans le domaine de la protection des données.

Il a été convenu, entre ses signataires, qu’ils devaient prendre toutes les mesures nécessaires en droit interne pour en appliquer les principes afin d’assurer, sur leur territoire, le respect des droits fondamentaux de la personne humaine au regard de l’application de la protection des données.

Concrètement, le but poursuivi par la Convention STE 108 est de garantir, sur le territoire des États membres, à toute personne physique, quelles que soient sa nationalité ou sa résidence, le respect de ses droits et de ses libertés fondamentales, et notamment de son droit à la vie privée, à l’égard du traitement automatisé des données à caractère personnel la concernant.

?Applicabilité directe

Dans un arrêt du 18 novembre 1992, la Conseil d’État a reconnu l’applicabilité directe de la Convention STE 108 (CE, 18 nov. 1992, n° 115367)

?Évolution de la convention

  • Amendements à la Convention 108 permettant l’adhésion des Communautés Européennes
    • Le Comité des Ministres du Conseil de l’Europe a adopté, le 15 juin 1999, des amendements permettant l’adhésion des Communautés Européennes à la Convention
    • L’adhésion des Communautés correspondait à la volonté de l’Union européenne de renforcer la coopération avec le Conseil de l’Europe et de contribuer au renforcement d’un large forum international en matière de protection des données, notamment à l’égard des pays tiers.
    • Selon le texte initial, seuls les États pouvaient en devenir Parties.
    • C’est la raison pour laquelle il a été nécessaire de procéder par voie d’amendements
  • Protocole additionnel à la Convention 108 sur les autorités de contrôle et les flux transfrontières de données (STE N°181)
    • Le Protocole additionnel, ouvert à la signature le 8 novembre 2001 à Strasbourg, exige des parties la mise en place des autorités de contrôle, exerçant leurs fonctions en parfaite indépendance, et qui sont un élément de la protection effective des individus au regard du traitement des données personnelles.
    • Avec l’accroissement des échanges de données personnelles à travers les frontières nationales, il est nécessaire d’assurer la protection effective des droits de l’homme et des libertés fondamentales, et en particulier du droit à la vie privée par rapport à de tels échanges de données personnelles.
    • Ce texte renforce la protection des données personnelles et de la vie privée, en complétant la Convention de 1981 (STE n° 108) sur deux points.
      • Premier point
        • Il prévoit tout d’abord l’établissement d’autorités de contrôle chargées d’assurer le respect des lois ou règlements introduits par les États en application de la Convention concernant la protection des données personnelles et les flux transfrontières de données.
      • Second point
        • Il prévoit que les flux transfrontières de données vers des pays tiers ne peuvent être transférées que si elles bénéficient dans l’État ou l’organisation internationale destinataire, d’un niveau de protection adéquat.

?Contenu de la convention

Plusieurs principes ont été posés dans la Convention STE n°108:

  • Sur la qualité des données
    • Les données à caractère personnel faisant l’objet d’un traitement automatisé sont :
      • Obtenues et traitées loyalement et licitement ;
      • Enregistrées pour des finalités déterminées et légitimes et ne sont pas utilisées de manière incompatible avec ces finalités ;
      • Adéquates, pertinentes et non excessives par rapport aux finalités pour lesquelles elles sont enregistrées ;
      • Exactes et si nécessaire mises à jour ;
      • Conservées sous une forme permettant l’identification des personnes concernées pendant une durée n’excédant pas celle nécessaire aux finalités pour lesquelles elles sont enregistrées.
  • Sur les catégories particulières de données
    • Les données à caractère personnel révélant l’origine raciale, les opinions politiques, les convictions religieuses ou autres convictions, ainsi que les données à caractère personnel relatives à la santé ou à la vie sexuelle, ne peuvent être traitées automatiquement à moins que le droit interne ne prévoie des garanties appropriées.
    • Il en est de même des données à caractère personnel concernant des condamnations pénales.
  • Sur la sécurité des données
    • Des mesures de sécurité appropriées sont prises pour la protection des données à caractère personnel enregistrées dans des fichiers automatisés contre la destruction accidentelle ou non autorisée, ou la perte accidentelle, ainsi que contre l’accès, la modification ou la diffusion non autorisés.
  • Sur les droits d’accès et de rectification
    • Toute personne doit pouvoir :
      • Connaître l’existence d’un fichier automatisé de données à caractère personnel, ses finalités principales, ainsi que l’identité et la résidence habituelle ou le principal établissement du maître du fichier ;
      • Obtenir à des intervalles raisonnables et sans délais ou frais excessifs la confirmation de l’existence ou non dans le fichier automatisé, de données à caractère personnel la concernant ainsi que la communication de ces données sous une forme intelligible ;
      • Obtenir, le cas échéant, la rectification de ces données ou leur effacement lorsqu’elles ont été traitées en violation des dispositions du droit interne donnant effet aux principes de base énoncés dans les articles 5 et 6 de la présente Convention ;
      • Disposer d’un recours s’il n’est pas donné suite à une demande de confirmation ou, le cas échéant, de communication, de rectification ou d’effacement, visée aux paragraphes b et c du présent article.

§4 : La Convention européenne des droits de l’homme

A) Le silence du texte

La Convention de sauvegarde des droits de l’homme et des libertés fondamentales ne comporte aucune stipulation relative à la protection des données à caractère personnel.

Ce silence du texte n’a, toutefois, pas empêché la Cour européenne des droits de l’homme de veiller à garantir aux ressortissants des États membres une protection à l’égard des traitements automatisés de données à caractère personnel.

Pour ce faire, elle se fonde essentielle sur l’article 8 de la Convention relatif au respect de la vie privée et familiale

Aux termes de cette disposition « toute personne a droit au respect de sa vie privée et familiale, de son domicile et de sa correspondance »

Dans un arrêt du 7 août 1997, la Cour européenne des droits de l’homme a affirmé que « la protection des données à caractère personnel […] revêt une importance fondamentale pour l’exercice du droit au respect de la vie privée et familiale garanti par l’article 8 de la Convention » (CEDH, 27 août 1997, aff. 20837/92,  M. S. c/ Suède)

Encore, dans un arrêt du 4 décembre 2008, elle a précisé que « la protection des données à caractère personnel joue un rôle fondamental pour l’exercice du droit au respect de la vie privée et familiale consacré par l’article 8. La législation interne doit donc ménager des garanties appropriées pour empêcher toute utilisation de données à caractère personnel qui ne serait pas conforme aux garanties prévues dans cet article (…). La nécessité de disposer de telles garanties se fait d’autant plus sentir lorsqu’il s’agit de protéger les données à caractère personnel soumises à un traitement automatique, en particulier lorsque ces données sont utilisées à des fins policières. Le droit interne doit notamment assurer que ces données soient pertinentes et non excessives par rapport aux finalités pour lesquelles elles sont enregistrées, et qu’elles soient conservées sous une forme permettant l’identification des personnes concernées pendant une durée n’excédant pas celle nécessaire aux finalités pour lesquelles elles sont enregistrées (…). [Il] doit aussi contenir des garanties de nature à protéger efficacement les données à caractère personnel enregistrées contre les usages impropres et abusifs (…) » (CEDH, 4 déc. 1997, aff. 30562/04 S. et Marper c/ Royaume-Uni).

B) La jurisprudence

?Aff. Klass et autres c. Allemagne – 6 septembre 1978

  • Les faits
    • Dans cette affaire, les requérants, cinq avocats allemands, dénonçaient en particulier la législation allemande qui permettait aux autorités de surveiller leur correspondance et leurs communications téléphoniques sans qu’elles aient l’obligation de les informer ultérieurement des mesures prises contre eux.
  • Décision
    • La Cour a conclu à la non-violation de l’article 8 de la Convention, jugeant que le législateur allemand était fondé à considérer l’ingérence résultant de la législation litigieuse dans l’exercice du droit consacré par l’article 8 § 1 comme nécessaire, dans une société démocratique, à la sécurité nationale, la défense de l’ordre et la prévention des infractions pénales (article 8 § 2).
    • La Cour a observé en particulier que le pouvoir de surveiller en secret les citoyens, caractéristique de l’État policier, n’était tolérable d’après la Convention que dans la mesure strictement nécessaire à la sauvegarde des institutions démocratiques.
    • Constatant toutefois que les sociétés démocratiques se trouvent menacées de nos jours par des formes très complexes d’espionnage et par le terrorisme, de sorte que l’État doit être capable, pour combattre efficacement ces menaces, de surveiller en secret les éléments subversifs opérant sur son territoire, elle a estimé que l’existence de dispositions législatives accordant des pouvoirs de surveillance secrète de la correspondance, des envois postaux et des télécommunications était, devant une situation exceptionnelle, nécessaire dans une société démocratique à la sécurité nationale et/ou à la défense de l’ordre et à la prévention des infractions pénales.

?Aff. Rotaru c. Roumanie – 4 mai 2000

  • Faits
    • Le requérant se plaignait de l’impossibilité de réfuter les données, selon lui contraires à la réalité, détenues dans un dossier à son sujet par le Service roumain des renseignements (SRI).
    • L’intéressé avait été condamné en 1948 à une peine d’emprisonnement d’un an pour avoir exprimé des opinions critiques à l’égard du régime communiste.
  • Décision
    • La Cour a conclu à la violation de l’article 8 de la Convention, jugeant que la détention et l’utilisation par le SRI d’informations sur la vie privée du requérant n’étaient pas prévues par la loi.
    • La Cour a observé en particulier que des données de nature publique peuvent relever de la vie privée lorsqu’elles sont, d’une manière systématique, recueillies et mémorisées dans des fichiers tenus par les pouvoirs publics.
    • Cela vaut davantage encore lorsque ces données concernent le passé lointain d’une personne.
    • Elle a ensuite relevé qu’aucune disposition de droit interne ne définissait ni le genre d’informations pouvant être consignées, ni les catégories de personnes susceptibles de faire l’objet des mesures de surveillance telles que la collecte et la conservation de données, ni les circonstances dans lesquelles pouvaient être prises ces mesures, ni la procédure à suivre.
    • De même, la loi ne fixait pas de limites quant à l’ancienneté des informations détenues et la durée de leur conservation. Enfin, il n’existait aucune disposition explicite et détaillée de droit interne sur les personnes autorisées à consulter les dossiers, la nature de ces derniers, la procédure à suivre et l’usage qui pouvait être donné aux informations ainsi obtenues.
    • Dès lors, la Cour la Cour a estimé que le droit roumain n’indiquait pas avec assez de clarté l’étendue et les modalités d’exercice du pouvoir d’appréciation des autorités dans le domaine considéré.
    • La Cour a également conclu dans cette affaire à la violation de l’article 13 (droit à un recours effectif) de la Convention, en raison de l’impossibilité pour le requérant de contester sa détention ou de réfuter la véracité des renseignements en question.

?Aff. Gaskin c. Royaume-Uni – 7 juillet 1989

  • Faits
    • Le requérant, pris en charge par les services sociaux pendant son enfance, chercha à connaître son passé à sa majorité pour surmonter ses problèmes personnels.
    • L’accès à son dossier lui fut refusé au motif qu’il contenait des informations confidentielles.
  • Décision
    • La Cour a conclu à la violation de l’article 8 de la Convention, jugeant que les procédures suivies n’avaient pas assuré à la vie privée et familiale du requérant le respect voulu par cet article.
    • Elle a observé en particulier que les personnes se trouvant dans la situation du requérant ont un intérêt primordial, protégé par la Convention, à recevoir les renseignements nécessaires pour connaître et comprendre leur enfance et leurs années de formation.
    • Cependant, le caractère confidentiel des dossiers officiels revêt de l’importance si l’on souhaite recueillir des informations objectives et dignes de foi et peut être nécessaire pour préserver des tiers.
    • Sous ce dernier aspect, un système subordonnant l’accès aux dossiers à l’acceptation des informateurs, comme alors au Royaume-Uni, peut en principe être tenu pour compatible avec l’article 8, eu égard à la marge d’appréciation de l’État.
    • La Cour a toutefois estimé qu’un tel système doit sauvegarder, quand un informateur n’est pas disponible ou refuse abusivement son accord, les intérêts de quiconque cherche à consulter des pièces relatives à sa vie privée et familiale et qu’il ne cadre avec le principe de proportionnalité que s’il charge un organe indépendant, au cas où un informateur ne répond pas ou ne donne pas son consentement, de prendre la décision finale sur l’accès.
    • Or, il n’en allait pas ainsi en l’espèce.

?Aff. Perry c. Royaume-Uni – 17 juillet 2003

  • Faits
    • Le requérant fut arrêté après qu’eut été commise une série de vols à main armée sur la personne de chauffeurs de taxi, puis relâché en attendant que se tienne une séance d’identification.
    • Comme il ne s’était pas présenté à la séance prévue ni à plusieurs autres séances ultérieures, la police sollicita l’autorisation de le filmer en secret avec une caméra vidéo. Le requérant se plaignait que la police l’avait filmé en secret en vue de l’identifier puis avait utilisé le film vidéo dans le cadre des poursuites dirigées contre lui.
  • Décision
    • La Cour a conclu à la violation de l’article 8 de la Convention.
    • Elle a relevé que rien n’indiquait que le requérant s’attendait à ce qu’on le filme au poste de police à des fins d’identification au moyen d’un enregistrement vidéo ni à ce que le film soit éventuellement utilisé comme preuve à charge lors de son procès.
    • Le stratagème adopté par la police avait outrepassé l’utilisation normale de ce type de caméra et constitué une ingérence dans l’exercice par le requérant de son droit au respect de sa vie privée.
    • Cette ingérence n’était par ailleurs pas prévue par la loi, la police n’ayant pas respecté les procédures énoncées par le code applicable : elle n’avait pas obtenu le consentement du requérant, ne l’avait pas averti de l’enregistrement vidéo et, de surcroît, ne l’avait pas informé de ses droits à cet égard.

?Aff. Z. c. Finlande – 25 février 1997

  • Faits
    • Cette affaire concernait la révélation de la séroposivité de la requérante au cours d’une procédure pénale dirigée contre son mari.
  • Décision
    • La Cour a conclu à la violation de l’article 8 de la Convention, jugeant que la divulgation de l’identité et de la séropositivité de la requérante dans le texte de l’arrêt de la cour d’appel communiqué à la presse ne se justifiait pas par quelque motif impérieux que ce soit et que la publication de ces informations avait dès lors porté atteinte au droit au respect de la vie privée et familiale de la requérante.
    • La Cour a observé en particulier que le respect du caractère confidentiel des informations sur la santé constitue un principe essentiel du système juridique de toutes les Parties contractantes à la Convention et est capital non seulement pour protéger la vie privée des malades mais également pour préserver leur confiance dans le corps médical et les services de santé en général.
    • La législation interne doit donc ménager des garanties appropriées pour empêcher toute communication ou divulgation de données à caractère personnel relatives à la santé qui ne serait pas conforme aux garanties prévues à l’article 8 de la Convention.

Section 2 : Le droit de l’Union européenne

§1 : La directive du 24 octobre 1995

A) La genèse de la directive

Par l’adoption de directive 95/46 CE du 24 octobre 1995, l’Union européenne s’est, pour la première fois, dotée d’un cadre commun de protection des personnes physiques à l’égard des traitements de données à caractère personnel.

?Compétence matérielle

Il peut être observé que, lors des travaux législatifs, la question de la compétence de la Communauté européenne pour légiférer dans cette matière s’est posée, la protection des libertés et de la vie privée étant exclue de son champ de compétence.

Néanmoins, la Commission des Communautés européennes a considéré qu’il s’agissait principalement d’établir la libre circulation des données à caractère personnel, considérées comme des marchandises, ce qui explique que la directive 95/46 CE soit une directive « marché intérieur ».

Sa négociation fut longue et difficile, s’agissant d’un problème de liberté opposant des cultures différentes.

?Socle de protection minimum

Le Conseil d’État s’est prononcé en assemblée générale par un avis du 10 juin 1999 invitant le Gouvernement à veiller à ce que la directive « ne contienne pas de dispositions qui conduiraient à priver des principes de valeur constitutionnelle de la protection que leur accorde la loi du 6 janvier 1978 actuellement en vigueur » afin de prévenir « tout risque d’inconstitutionnalité de la future loi assurant la transposition de cette directive » et énumérant certaines dispositions du projet susceptibles de conduire à une régression du niveau de protection.

En outre, le Parlement a adopté des résolutions sur ce projet en application de l’article 88-4 de la Constitution issu de la révision du 25 juin 1992.

L’Assemblée nationale a estimé dans une résolution du 25 juin 1993 que l’intervention de la Communauté européenne ne devait pas nuire au haut degré de protection dont devaient bénéficier les personnes, ni assimiler ces données à de simples marchandises.

Elle craignait également que les options très larges laissées aux États membres pour la transposition ne garantissent pas l’homogénéité de cette protection dans la Communauté européenne.

Elle demandait donc au Gouvernement :

  • D’une part, de subordonner son accord au maintien intégral du niveau de protection assuré par la loi du 6 janvier 1978
  • D’autre part, de prévenir le risque de divergences dangereuses au moment de la transposition de la directive par les États membres
  • Enfin, de garantir aux États membres le pouvoir d’interdire le transfert de données à caractère personnel vers des pays tiers n’assurant pas un niveau de protection adéquat, au besoin par l’instauration d’une procédure d’urgence.

Le Sénat a adopté une résolution le 7 juin 1994, par laquelle il observait que la référence à des articles du Traité de nature économique, appliquée en l’espèce au domaine des libertés publiques conduisait à une interprétation extensive des compétences de la Communauté, mais que cette intervention était justifiée. Il appelait en outre à une harmonisation préalable de leur législation par les États membres.

Ces recommandations ont été suivies dans une large mesure.

B) Le contenu de la directive

?Champ d’application

Tout d’abord, la directive ne s’applique qu’aux traitements relevant du champ de compétences de l’Union européenne, c’est-à-dire qu’elle exclut notamment les « traitements de souveraineté » (défense, sécurité publique, sûreté de l’État, droit pénal).

En revanche, son champ d’application est élargi puisqu’elle s’étend non seulement aux traitements automatisés, mais aussi aux fichiers manuels à l’expiration d’un délai de 12 ans à compter de son adoption, c’est-à-dire en octobre 2007.

Par ailleurs, elle couvre les sons et les images à l’exclusion des traitements de vidéosurveillance mis en œuvre à des fins de sécurité publique.

?Méthodologie

Selon l’article 189 du traité instituant la Communauté européenne, « la directive lie tout État membre quant aux résultats à atteindre, tout en laissant aux instances nationales la compétence quant à la forme et aux moyens ».

De surcroît, les directives de l’Union imposent généralement aux États la mise en œuvre de leurs dispositions dans des délais qu’elles déterminent : en l’espèce, l’article 32 de la directive 95/46 impliquait que « les États membres mettent en vigueur les dispositions législatives, réglementaires et administratives nécessaires pour se conformer à la présente directive au plus tard à l’issue d’une période de trois ans à compter de son adoption », soit le 24 octobre 1998.

Sans doute, la loi du 6 janvier 1978 constitue-t-elle, en quelque sorte, une « transposition anticipée » de la directive, puisque nombre de ses dispositions répondent aux exigences communautaires.

Toutefois, au-delà de principes communs, tels que la loyauté de la collecte des données, la protection des données dites sensibles, le principe de finalité des traitements ou le droit d’information, de rectification ou d’opposition des personnes, ainsi que la nécessité de l’existence d’une autorité de contrôle indépendante, des différences substantielles subsistent entre la loi du 6 janvier 1978 et la directive 95/46 qui requièrent, en conséquence, une modification de notre législation.

On remarquera, notamment, que la directive du 24 octobre 1995 retient une démarche particulière, en quatre étapes :

Elle s’attache à définir :

  • En premier lieu, les conditions générales de licéité des traitements
  • En deuxième lieu, les droits fondamentaux des personnes concernées
  • En troisième lieu, les restrictions qu’il est possible de leur apporter
  • En quatrième lieu, les procédures et les recours destinés à assurer la régularité des traitements de données à caractère personnel.

Cette organisation tient à la primauté accordée par la directive aux principes de fond sur les dispositions de forme, les États membres possédant davantage de marge de manœuvre pour transposer les secondes que les premières.

Or, tel n’est pas le choix fait par le législateur français qui a établi une distinction essentielle fondée sur la nature juridique du destinataire du traitement, dont il déduit la procédure et les règles de forme applicables.

?L’égalité de principe entre secteurs public et privé

Alors que la loi du 6 janvier 1978 retient un critère organique, la directive retient un critère matériel et soumet les traitements similaires de responsables publics et privés à une même procédure.

Ainsi, les traitements de données à caractère personnel, qu’ils soient privés ou publics, ne sont plus désormais soumis qu’à une obligation de déclaration préalable auprès de l’autorité de contrôle.

La distinction entre les régimes de la déclaration et de l’autorisation, qui subsiste, est donc désormais indépendante de la qualité du responsable.

On retrouve un tel précédent dans la loi informatique et libertés en matière de traitement de recherche dans le domaine de la santé et d’évaluation des pratiques de soins.

L’assimilation des deux secteurs ne sera néanmoins pas totale, puisque les traitements de souveraineté ne sont pas concernés par les dispositions de la directive, celle-ci ne s’appliquant qu’aux traitements relevant du champ de compétence de l’Union européenne.

?Le renforcement du contrôle a posteriori

L’article 20 de la directive indique que les États membres doivent préciser les traitements « susceptibles de présenter des risques particuliers au regard des droits et des libertés des personnes concernées et veillent à ce que ces traitements soient examinés avant leur mise en œuvre ».

À l’inverse, ceux qui « ne sont pas susceptibles de porter atteinte aux droits et libertés des personnes concernées » peuvent ne donner lieu qu’à une déclaration simplifiée ou même être exonérés de toute formalité.

Parallèlement à cette limitation des contrôles a priori, la directive invite à un recentrage des missions de la CNIL en direction du contrôle a posteriori.

L’article 28 de la directive relatif aux prérogatives de l’autorité de contrôle précise donc qu’elle doit disposer en particulier de pouvoirs d’investigations ou d’accès aux données ainsi que de pouvoirs « effectifs d’intervention » lui permettant le cas échéant d’ordonner le verrouillage, l’effacement ou la destruction des données.

Si la loi du 6 janvier 1978 comporte déjà des dispositions relatives aux pouvoirs de contrôle a posteriori de la CNIL (article 21), l’insuffisance des moyens de la CNIL et la relative indifférence des parquets et tribunaux face à une matière nouvelle et technique ont, dans les faits, largement relativisé sa portée.

?La reconnaissance de l’importance des flux internationaux de données à caractère personnel

Si la loi du 6 janvier 1978 évoque déjà la question de la circulation des données, elle ne distingue pas entre les transferts vers d’autres États membres de la Communauté européenne et ceux intervenant vers des États tiers.

Or, la mondialisation de la circulation des données a été démultipliée par l’apparition des nouvelles technologies de l’information et de la communication.

Dès son article premier, la directive affirme donc le principe de la libre circulation des données au sein des États membres de l’Union européenne.

En revanche, ne sont possibles les transferts vers des pays tiers que si ceux-ci assurent un niveau de protection adéquat. La directive prévoit des mécanismes communautaires permettant de l’évaluer (articles 25 et 26), ainsi que leur articulation avec les modalités d’intervention en la matière de l’autorité nationale de contrôle.

§2 : Le Règlement Général sur la Protection des Données (RGPD)

La directive 95/46/CE qui constitue l’instrument législatif central de la protection des données à caractère personnel en Europe, a posé un jalon dans l’histoire de la protection des données.

Ses objectifs, qui consistent à assurer le fonctionnement du marché unique et la protection effective des libertés et des droits fondamentaux des personnes physiques, demeurent d’actualité.

Mais elle a été adoptée il y a plus de 20 ans, soit à une époque où internet n’en était qu’à ses premiers balbutiements.

L’environnement numérique actuel et ses exigences font que les règles en vigueur ne présentent ni le degré d’harmonisation requis ni l’efficacité nécessaire pour garantir le droit à la protection des données à caractère personnel.

C’est dans ce contexte que la Commission européenne a proposé, le 25 janvier 2012, un règlement destiné à remplacer la directive 95/46/CE et qui instaure un cadre général de l’UE pour la protection des données.

La proposition de règlement modernise les principes de la directive de 1995 en les adaptant à l’ère numérique et en harmonisant la législation sur la protection des données en Europe.

La protection des données doit faire l’objet de règles strictes pour rétablir la confiance des personnes dans la manière dont leurs données à caractère personnel sont utilisées.

La proposition de règlement vise à renforcer les droits des personnes et le marché intérieur de l’UE, garantir un contrôle accru de l’application de la réglementation, simplifier les transferts internationaux de données à caractère personnel et instaurer des normes mondiales en matière de protection des données.

À l’issue de longues négociations, le Parlement européen et le Conseil ont adopté le « paquet protection des données » le 27 avril 2016, fruit d’un compromis entre les États membres de l’Union européenne.

Ce paquet se compose :

  • D’un règlement relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (règlement (UE) 2016/679)
    • Applicable notamment à la matière civile et commerciale, il constitue le cadre général de la protection des données.
    • Ce règlement abroge la directive 95/46/CE transposée par la loi n° 2004-801 du 6 août 2004 qui avait modifié la loi n° 78-17 du 6 janvier 1978. Il conforte les droits des personnes physiques sur leurs données à caractère personnel déjà garantis dans la loi n° 78-17 du 6 janvier 1978.
    • Il renforce ainsi notamment le droit d’information des personnes, qui disposeront d’informations plus complètes et claires sur le traitement de leurs données, et en crée de nouveaux : droit à l’effacement ou « droit à l’oubli », droit à la portabilité des données.
    • En outre, le règlement uniformise et simplifie les règles auxquelles les organismes traitant des données sont soumis tout en renforçant les garanties offertes par la loi n° 78-17 du 6 janvier 1978.
    • Il prévoit en particulier la réduction des formalités préalables pour la mise en œuvre des traitements comportant le moins de risques, avec le passage d’un système de contrôle ex ante de la Commission nationale de l’informatique et des libertés par le biais des déclarations et autorisations à un contrôle ex post plus adapté aux évolutions technologiques.
    • Ce règlement est applicable à compter du 25 mai 2018.
  • D’une directive relative aux traitements mis en œuvre à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales (directive (UE) 2016/680)
    • La directive s’applique aux traitements de données à caractère personnel mis en œuvre par une autorité compétente à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution des sanctions pénales, y compris la protection contre les menaces pour la sécurité publique et la prévention de telles menaces.
    • La directive n’est pas applicable dès lors que le traitement de données est mis en œuvre pour d’autres finalités ou par une autorité qui n’est pas compétente. La directive n’est pas non plus applicable aux traitements intéressant la sûreté de l’État et la défense, qui ne relèvent pas du droit de l’Union.
    • La directive vise à faciliter le libre flux des données à caractère personnel entre les autorités compétentes à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales, y compris la protection contre les menaces pour la sécurité publique et la prévention de telles menaces au sein de l’Union, et le transfert de telles données vers des pays tiers et à des organisations internationales, tout en assurant un niveau élevé de protection des données à caractère personnel.
    • Certaines dispositions de la directive sont porteuses d’un changement de philosophie du droit de la protection des données ; d’autres représentent de réelles innovations qui, sans témoigner d’un réel changement de philosophie, imposent d’importantes modifications d’ordre technique.
    • Cette directive doit être transposée d’ici le 6 mai 2018.

L’articulation entre la directive et le règlement est précisée par le considérant 12 de la directive.

Celui-ci indique notamment que relèvent de la directive les traitements concernant des « activités menées par la police ou d’autres autorités répressives [qui] sont axées principalement sur la prévention et la détection des infractions pénales et les enquêtes et les poursuites en la matière, y compris les activités de police effectuées sans savoir au préalable si un incident constitue une infraction pénale ou non».

Il précise que « ces activités peuvent également comprendre l’exercice de l’autorité par l’adoption de mesures coercitives, par exemple les activités de police lors de manifestations, de grands événements sportifs et d’émeutes », et que « parmi ces activités figure également le maintien de l’ordre public lorsque cette mission est confiée à la police ou à d’autres autorités répressives lorsque cela est nécessaire à des fins de protection contre les menaces pour la sécurité publique et pour les intérêts fondamentaux de la société protégés par la loi, et de prévention de telles menaces, qui sont susceptibles de déboucher sur une infraction pénale ».

Il indique en revanche, qu’entrent dans le champ d’application du règlement, pour autant qu’ils relèvent du droit de l’Union, les traitements par lesquels « les États membres [confient] aux autorités compétentes d’autres missions qui ne sont pas nécessairement menées à des fins de prévention et de détection des infractions pénales, d’enquêtes ou de poursuites en la matière, y compris la protection contre les menaces pour la sécurité publique et la prévention de telles menaces ».

Les nouvelles exigences posées par le législateur européen ont été transposées en droit français lors de l’adoption de la loi n° 2018-493 du 20 juin 2018 relative à la protection des données personnelles.

Section 3 : Le droit interne

§1 : La loi du 6 janvier 1978

Les premiers travaux ayant trait au développement de l’informatique dans les administrations virent le jour, en fait, à la fin des années 1960, tant en Europe que sur le continent américain : ils mettent en évidence les risques que font peser ces nouvelles pratiques sur les libertés publiques.

En France, le Conseil d’État adressa au Gouvernement, dès 1971, une série de recommandations visant à encadrer l’usage des données personnelles. Mais la prise de conscience des enjeux liés à cette question intervint en 1974, face à un projet gouvernemental connu sous le nom de « Système automatisé des fichiers administratifs et du répertoire des individus » (SAFARI), qui prévoyait une interconnexion des fichiers publics à partir d’un identifiant unique, le numéro de sécurité sociale.

Ce dispositif suscita alors de fortes réactions, résumées, le 21 mars, par le journal Le Monde, sous le titre suivant : « Safari ou la chasse aux Français ». Ce débat a débouché sur le « rapport Tricot », issu des travaux d’une commission mise en place par le Premier ministre pour proposer des mesures tendant à garantir que le développement de l’informatique se réalise dans le respect de la vie privée et des libertés, puis sur la loi n°78-17 du 6 janvier 1978, relative à l’informatique, aux fichiers et aux libertés.

Ce texte, communément appelé « loi Informatique et libertés », fut l’un des premiers au monde à encadrer l’usage des données à caractère personnel ; il a d’ailleurs inspiré, dans une large mesure, les instruments internationaux intervenus depuis lors, y compris la directive du 24 octobre 1995 que le présent projet de loi tend à transposer en droit français.

Il se présente comme un corpus de normes destinées à assurer la défense des libertés individuelles et publiques des personnes physiques face aux technologies informationnelles.

De fait, c’est bien sur ce terrain que le législateur s’est placé en affirmant, d’emblée, dès l’article 1er, que : « L’informatique doit être au service de chaque citoyen. (…) Elle ne doit porter atteinte ni à l’identité humaine, ni aux droits de l’homme, ni à la vie privée, ni aux libertés individuelles ou publiques ».

La loi du 6 janvier 1978 réglemente la collecte et l’utilisation des informations dites « nominatives », qui permettent, aux termes de son article 4, d’identifier, directement ou indirectement, des personnes physiques. Elle s’applique à deux types de procédés :

  • Le traitement automatisé desdites informations, quel que soit le support ou la technique utilisée, qui est défini, à l’article 5, comme : « tout ensemble d’opérations réalisées par les moyens automatiques, relatif à la collecte, l’enregistrement, l’élaboration, la modification, la conservation et la destruction d’informations nominatives ainsi que tout ensemble d’opérations de même nature se rapportant à l’exploitation de fichiers ou bases de données et notamment les interconnexions ou rapprochements, consultations ou communications d’informations nominatives».
  • Les fichiers manuels ou mécanographiques, qui n’étaient pourtant pas visés par le texte initial du Gouvernement : la loi ne fait d’ailleurs référence qu’à « l’informatique », tant à l’article 1er (« L’informatique doit être au service de chaque citoyen ») que dans le titre de l’institution de contrôle qu’elle crée par ailleurs (« Commission nationale de l’informatique et des libertés »). Cette extension a été réalisée à l’initiative du Parlement, qui a modifié, en conséquence, l’intitulé de la loi (« relative à l’informatique, aux fichiers et aux libertés »). Toutefois, ces fichiers ne sont soumis qu’à une partie des règles applicables aux traitements automatisés (notamment les dispositions relatives à la collecte, l’enregistrement et la conservation des informations, ainsi que le droit d’accès ou d’opposition), à l’exclusion de certaines obligations telles que les formalités de déclaration préalable auprès de la CNIL.

§2 : La loi du 6 août 2004

La loi n° 2004-801 du 6 août 2004 relative à la protection des personnes physiques à l’égard des traitements de données à caractère personnel, qui modifie la loi du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, a pour objet d’assurer la transposition de la directive européenne du 24 octobre 1995 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données.

Au-delà de cette transposition, il vise à adapter le droit des fichiers informatiques aux progrès technologiques et aux réalités contemporaines, dans le respect des principes fondamentaux posés par la loi du 6 janvier 1978.

Les principales dispositions du projet de loi peuvent être résumées autour de quatre axes :

  • Le renforcement des droits fondamentaux des personnes dès lors que des données, de quelque nature qu’elles soient (informations nominatives, voix, image, empreintes génétiques …), font l’objet d’un fichier, sous forme d’un traitement automatisé ou non, ainsi que le renforcement des obligations pesant sur les responsables de ces traitements. En particulier, le caractère discrétionnaire du droit d’opposition des personnes intéressées à l’encontre de la mise en œuvre de tels traitements à des fins de prospection, notamment commerciale, est reconnu
  • La consécration de la Commission nationale de l’informatique et des libertés (CNIL), dont la composition est, à une exception près, inchangée, comme l’autorité administrative indépendante chargée du contrôle de la mise en œuvre de la loi. La commission voit ses pouvoirs substantiellement développés ; elle sera, en particulier, dotée de pouvoirs d’investigation, d’injonction et de sanction administrative qui lui permettront d’exercer un contrôle a posteriori sur les traitements de données
  • La rationalisation des formalités préalables exigées pour la création d’un traitement automatisé de données à caractère personnel : le projet de loi ne distingue plus le régime administratif applicable selon la nature publique ou privée du responsable du traitement. Le régime de droit commun sera celui de la déclaration, qui sera simplifiée pour les modèles de traitement les plus courants. Mais toutes les catégories de traitement dont les finalités ou le contenu présentent des risques particuliers au regard des droits des personnes seront soumises à l’autorisation de la CNIL.
  • Les traitements publics, dits de souveraineté, intéressant la sûreté de l’État, la défense et la sécurité publique, ou les traitements publics utilisant le numéro d’inscription des personnes au répertoire national d’identification des personnes physiques, continuent à faire l’objet d’une autorisation par un décret ou par un arrêté pris après avis de la CNIL

§3 : La loi du 20 juin 2018

La loi n° 2018-493 du 20 juin 2018 relative à la protection des données personnelles vise à transposer le « paquet européen de protection des données » adopté par le Parlement européen et le Conseil le 27 avril 2016.

Pour mémoire, ce mémoire se compose :

  • d’un règlement (UE) 2016/679 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel. Applicable notamment à la matière civile et commerciale, il constitue le cadre général de la protection des données. Les obligations prévues par le règlement seront également applicables aux opérateurs installés hors de l’Union européenne et offrant des biens et services aux Européens. Ce règlement est applicable à compter du 25 mai 2018 ;
  • d’une directive (UE) 2016/680 relative aux traitements mis en œuvre à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales. Cette directive doit être transposée d’ici le 6 mai 2018.

Afin d’assurer la transposition de ces deux textes, le Gouvernement français a fait le choix symbolique de ne pas abroger la loi fondatrice du 6 janvier 1978.

Certes, l’adaptation du droit national au règlement et la transposition de la directive exigent de remanier plusieurs articles de cette loi, mais les principes fondateurs dégagés par le législateur il y a près de quarante ans demeurent toujours valables.

À cet égard, la loi du 20 juin 2018 retranscrit les dispositions du règlement qui conforte les droits des personnes physiques sur leurs données à caractère personnel déjà garantis dans la loi du 6 janvier 1978 (notamment le droit d’information des personnes), et en crée de nouveaux comme le droit à l’effacement ou « droit à l’oubli » et le droit à la portabilité des données.

En outre, le règlement uniformise et simplifie les règles auxquelles les organismes traitant des données sont soumis tout en renforçant les garanties offertes par la loi de 1978.

Il prévoit en particulier la réduction des formalités préalables pour la mise en œuvre des traitements comportant le moins de risques, avec le passage d’un système de contrôle a priori de la CNIL, par le biais des déclarations et autorisations, à un contrôle a posteriori plus adapté aux évolutions technologiques.

En contrepartie, la CNIL voit ses pouvoirs de contrôle et de sanctions renforcés avec la possibilité d’infliger des amendes pouvant aller jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires mondial de l’organisme concerné.