La notion de responsable du traitement

Selon le groupe de l’article 29 la notion de responsable du traitement des données et son interaction avec la notion de sous-traitant des données jouent un rôle central dans l’application du RGPD, car elles déterminent la ou les personnes chargées de faire respecter les règles en matière de protection des données et la manière dont les personnes concernées peuvent exercer leurs droits dans la pratique.

Ainsi, en présence d’un traitement de données à caractère personnel il convient de déterminer le responsable à qui il échoit de respecter les règles de protection des droits et libertés et de supporter d’éventuelles sanctions administratives, civiles voire pénales.

Le rôle premier de la notion de responsable du traitement est donc de déterminer qui est chargé de faire respecter les règles de protection des données, et comment les personnes concernées peuvent exercer leurs droits dans la pratique. En d’autres termes, il s’agit d’attribuer les responsabilités.

L’article 3 de la loi informatique et libertés définit le responsable du traitement comme « la personne, l’autorité publique, le service ou l’organisme qui détermine ses finalités et ses moyens ».

Dans une approche plus restrictive, la convention 108 désigne le responsable du traitement comme le « «maître du fichier» lequel est « la personne physique ou morale, l’autorité publique, le service ou tout autre organisme qui est compétent selon la loi nationale, pour décider quelle sera la finalité du fichier automatisé, quelles catégories de données à caractère personnel doivent être enregistrées et quelles opérations leur seront appliquées. »

Cette définition n’a pas été retenue par le RGPD qui prévoit, en son article 4, 7), que le responsable du traitement est « la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du traitement; lorsque les finalités et les moyens de ce traitement sont déterminés par le droit de l’Union ou le droit d’un État membre, le responsable du traitement peut être désigné ou les critères spécifiques applicables à sa désignation peuvent être prévus par le droit de l’Union ou par le droit d’un État membre ».

À l’examen, la définition du responsable du traitement énoncée dans la directive s’articule, selon le G29, autour de trois composantes principales :

  • L’aspect individuel: « la personne physique ou morale, l’autorité publique, le service ou tout autre organisme »
  • La possibilité d’une responsabilité pluraliste: « qui seul ou conjointement avec d’autres »
  • Les éléments essentiels qui permettent de distinguer le responsable du traitement des autres acteurs: « détermine les finalités et les moyens du traitement de données à caractère personnel »

Afin de déterminer la ou les personnes responsables d’un traitement de données à caractère personne, il convient de se reporter à la méthodologie élaborée par le G29 dans son avis 1/2010 sur les notions de «responsable du traitement» et de «sous-traitant».

I) L’aspect personnel

Le premier élément de la définition a trait à l’aspect personnel: qui peut être responsable du traitement, et donc considéré comme responsable en dernier ressort des obligations découlant de la directive.

La définition reproduit exactement le libellé de l’article 2 de la convention 108 et n’a fait l’objet d’aucun débat particulier lors du processus d’adoption de la directive. Elle renvoie à un vaste éventail de sujets susceptibles de jouer le rôle de responsable du traitement, de la personne physique à la personne morale, en passant par «tout autre organisme».

Il importe que l’interprétation de ce point garantisse la bonne application de la directive, en favorisant autant que possible une identification claire et univoque du responsable du traitement en toutes circonstances, même si aucune désignation officielle n’a été faite et rendue publique.

Il convient avant tout de s’écarter le moins possible de la pratique établie dans les secteurs public et privé par d’autres domaines du droit, tels que le droit civil, le droit administratif et le droit pénal.

Dans la plupart des cas, ces dispositions indiqueront à quelles personnes ou à quels organismes les responsabilités doivent être attribuées et permettront, en principe, d’identifier le responsable du traitement.

==> Principe : le responsable du traitement est une personne morale

Dans la perspective stratégique d’attribution des responsabilités, et afin que les personnes concernées puissent s’adresser à une entité plus stable et plus fiable lorsqu’elles exercent les droits qui leur sont conférés par la directive, il est préférable de considérer comme responsable du traitement la société ou l’organisme en tant que tel, plutôt qu’une personne en son sein.

C’est en effet la société ou l’organisme qu’il convient de considérer, en premier ressort, comme responsable du traitement des données et des obligations énoncées par la législation relative à la protection des données, à moins que certains éléments précis n’indiquent qu’une personne physique doive être responsable.

D’une manière générale, on partira du principe qu’une société ou un organisme public est responsable en tant que tel des opérations de traitement qui se déroulent dans son domaine d’activité et de risques.

Parfois, les sociétés et les organismes publics désignent une personne précise pour être responsable de l’exécution des opérations de traitement.

Cependant, même lorsqu’une personne physique est désignée pour veiller au respect des principes de protection des données ou pour traiter des données à caractère personnel, elle n’est pas responsable du traitement mais agit pour le compte de la personne morale (société ou organisme public), qui demeure responsable en cas de violation des principes, en sa qualité de responsable du traitement.

==> Exception : le responsable du traitement peut être une personne physique

Une analyse distincte s’impose dans le cas où une personne physique agissant au sein d’une personne morale utilise des données à des fins personnelles, en dehors du cadre et de l’éventuel contrôle des activités de la personne morale.

Dans ce cas, la personne physique en cause serait responsable du traitement décidé, et assumerait la responsabilité de cette utilisation de données à caractère personnel. Le responsable du traitement initial pourrait néanmoins conserver une certaine part de responsabilité si le nouveau traitement a eu lieu du fait d’une insuffisance des mesures de sécurité.

Ainsi, le rôle du responsable du traitement est décisif et revêt une importance particulière lorsqu’il s’agit de déterminer les responsabilités et d’infliger des sanctions.

Même si celles-ci varient d’un État membre à l’autre parce qu’elles sont imposées selon les droits nationaux, la nécessité d’identifier clairement la personne physique ou morale responsable des infractions à la législation sur la protection des données est sans nul doute un préalable indispensable à la bonne application de la loi informatique et libertés.

II) La possibilité d’une personne pluraliste

La possibilité que le responsable du traitement agisse «seul ou conjointement avec d’autres» n’avait pas été prévue initialement par les textes.

Ainsi, n’était-il pas envisagé le cas où tous les responsables du traitement décident de façon égale et sont responsables de façon égale d’un même traitement.

Pourtant, la réalité montre qu’il ne s’agit là que d’une des facettes de la «responsabilité pluraliste». Dans cette optique, «conjointement» doit être interprété comme signifiant «ensemble avec» ou «pas seul», sous différentes formes et associations.

Il convient tout d’abord de noter que la probabilité de voir de multiples acteurs participer au traitement de données à caractère personnel est naturellement liée à la multiplicité des activités qui, selon la loi, peuvent constituer un «traitement» devenant, au final, l’objet de la «coresponsabilité».

La définition du traitement énoncée à l’article 2 de la loi informatique et libertés n’exclut pas la possibilité que différents acteurs participent à plusieurs opérations ou ensembles d’opérations appliquées à des données à caractère personnel.

Ces opérations peuvent se dérouler simultanément ou en différentes étapes.

Dans un environnement aussi complexe, il importe d’autant plus que les rôles et les responsabilités puissent facilement être attribués, pour éviter que les complexités de la coresponsabilité n’aboutissent à un partage des responsabilités impossible à mettre en œuvre, qui compromettrait l’efficacité de la législation sur la protection des données.

Ainsi, une coresponsabilité naît lorsque plusieurs parties déterminent, pour certaines opérations de traitement :

  • soit la finalité
  • soit les éléments essentiels des moyens qui caractérisent un responsable du traitement

Cependant, dans le cadre d’une coresponsabilité, la participation des parties à la détermination conjointe peut revêtir différentes formes et n’est pas nécessairement partagée de façon égale.

En effet, lorsqu’il y a pluralité d’acteurs, ils peuvent entretenir une relation très proche (en partageant, par exemple, l’ensemble des finalités et des moyens d’une opération de traitement) ou, au contraire, plus distante (en ne partageant que les finalités ou les moyens, ou une partie de ceux-ci).

Dès lors, un large éventail de typologies de la coresponsabilité doit être examiné, et leurs conséquences juridiques évaluées, avec une certaine souplesse pour tenir compte de la complexité croissante de la réalité actuelle du traitement de données.

Par exemple, le simple fait que différentes parties coopèrent dans le traitement de données à caractère personnel, par exemple dans une chaîne, ne signifie pas qu’elles sont coresponsables dans tous les cas. En effet, un échange de données entre deux parties, sans partage des finalités ou des moyens dans un ensemble commun d’opérations, doit être considéré uniquement comme un transfert de données entre des responsables distincts.

L’appréciation peut toutefois être différente si plusieurs acteurs décident de créer une infrastructure commune afin de poursuivre leurs propres finalités individuelles. En créant cette infrastructure, ces acteurs déterminent les éléments essentiels des moyens à utiliser et deviennent coresponsables du traitement des données, du moins dans cette mesure, même s’ils ne partagent pas nécessairement les mêmes finalités.

À cet égard, l’article 26 du RGPD prévoit que :

  • D’une part, lorsque deux responsables du traitement ou plus déterminent conjointement les finalités et les moyens du traitement, ils sont les responsables conjoints du traitement. Les responsables conjoints du traitement définissent de manière transparente leurs obligations respectives aux fins d’assurer le respect des exigences du présent règlement, notamment en ce qui concerne l’exercice des droits de la personne concernée, et leurs obligations respectives quant à la communication des informations visées aux articles 13 et 14, par voie d’accord entre eux, sauf si, et dans la mesure, où leurs obligations respectives sont définies par le droit de l’Union ou par le droit de l’État membre auquel les responsables du traitement sont soumis. Un point de contact pour les personnes concernées peut être désigné dans l’accord.
  • D’autre part, l’accord visé au paragraphe 1 reflète dûment les rôles respectifs des responsables conjoints du traitement et leurs relations vis-à-vis des personnes concernées. Les grandes lignes de l’accord sont mises à la disposition de la personne concernée.
  • Enfin, indépendamment des termes de l’accord visé au paragraphe 1, la personne concernée peut exercer les droits que lui confère le présent règlement à l’égard de et contre chacun des responsables du traitement.

III) Les éléments essentiels qui permettent de distinguer le responsable du traitement des autres acteurs

Le responsable du traitement est celui qui « détermine les finalités et les moyens du traitement de données à caractère personnel ».

Cette composante comporte deux éléments qu’il convient d’analyser séparément :

  • Détermine
  • Les finalités et les moyens du traitement

A) Détermine

La notion de responsable du traitement est une notion fonctionnelle, visant à attribuer les responsabilités aux personnes qui exercent une influence de fait, et elle s’appuie donc sur une analyse factuelle plutôt que formelle.

Par conséquent, un examen long et approfondi sera parfois nécessaire pour déterminer cette responsabilité. L’impératif d’efficacité impose cependant d’adopter une approche pragmatique pour assurer une prévisibilité de la responsabilité.

À cet égard, des règles empiriques et des présomptions concrètes sont nécessaires pour guider et simplifier l’application de la législation en matière de protection des données.

Ceci implique une interprétation de la directive garantissant que «l’organisme qui détermine» puisse être facilement et clairement identifié dans la plupart des cas, en s’appuyant sur les éléments de droit et/ou de fait à partir desquels l’on peut normalement déduire une influence de fait, en l’absence d’indices contraires.

Ces contextes peuvent être analysés et classés selon les trois catégories de situations suivantes, qui permettent d’aborder ces questions de façon systématique:

==> Responsabilité découlant d’une compétence explicitement donnée par la loi

Il s’agit notamment du cas visé dans la seconde partie de la définition, à savoir lorsque le responsable du traitement ou les critères spécifiques pour le désigner sont fixés par le droit national ou communautaire.

La désignation explicite du responsable du traitement par le droit n’est pas courante et ne présente généralement pas de grandes difficultés. Dans certains pays, le droit national prévoit que les pouvoirs publics assument la responsabilité du traitement des données à caractère personnel effectué dans le cadre de leurs fonctions

Il est cependant plus fréquent que la législation, plutôt que de désigner directement le responsable du traitement ou de fixer les critères de sa désignation, charge une personne, ou lui impose, de collecter et traiter certaines données.

Cela pourrait être le cas d’une entité qui se voit confier certaines missions publiques (par exemple, la sécurité sociale) ne pouvant être réalisées sans collecter au moins quelques données à caractère personnel, et qui crée un registre afin de s’en acquitter.

Dans ce cas, c’est donc le droit qui détermine le responsable du traitement. De façon plus générale, la loi peut obliger des entités publiques ou privées à conserver ou fournir certaines données. Ces entités seraient alors normalement considérées comme responsables de tout traitement de données à caractère personnel intervenant dans ce cadre.

==> Responsabilité découlant d’une compétence implicite

Il s’agit du cas où le pouvoir de déterminer n’est pas explicitement prévu par le droit, ni la conséquence directe de dispositions juridiques explicites, mais découle malgré tout de règles juridiques générales ou d’une pratique juridique établie relevant de différentes matières (droit civil, droit commercial, droit du travail, etc.).

Dans ce cas, les rôles traditionnels qui impliquent normalement une certaine responsabilité permettront d’identifier le responsable du traitement: par exemple, l’employeur pour les informations sur ses salariés, l’éditeur pour les informations sur ses abonnés, l’association pour les informations sur ses membres ou adhérents.

Dans tous ces exemples, le pouvoir de déterminer les activités de traitement peut être considéré comme naturellement lié au rôle fonctionnel d’une organisation (privée), entraînant au final également des responsabilités en matière de protection des données.

Du point de vue juridique, peu importe que le pouvoir de déterminer soit confié aux entités juridiques mentionnées, qu’il soit exercé par les organes appropriés agissant pour leur compte, ou par une personne physique dans le cadre de fonctions similaires.

==> Responsabilité découlant d’une influence de fait

Il s’agit du cas où la responsabilité du traitement est attribuée après une évaluation des circonstances factuelles. Un examen des relations contractuelles entre les différentes parties concernées sera bien souvent nécessaire.

Cette évaluation permet de tirer des conclusions externes, attribuant le rôle et les obligations de responsable du traitement à une ou plusieurs parties.

Il peut arriver qu’un contrat ne désigne aucun responsable du traitement mais qu’il contienne suffisamment d’éléments pour attribuer cette responsabilité à une personne qui exerce apparemment un rôle prédominant à cet égard. Il se peut également que le contrat soit plus explicite en ce qui concerne le responsable du traitement.

S’il n’y a aucune raison de penser que les clauses contractuelles ne reflètent pas exactement la réalité, rien ne s’oppose à leur application. Les clauses d’un contrat ne sont toutefois pas toujours déterminantes, car les parties auraient alors la possibilité d’attribuer la responsabilité à qui elles l’entendent.

Le fait même qu’une personne détermine comment les données à caractère personnel sont traitées peut entraîner la qualification de responsable du traitement, même si cette qualification sort du cadre d’une relation contractuelle ou si elle est expressément exclue par un contrat.

B) Les finalités et les moyens du traitement

La détermination des finalités et des moyens revient à établir respectivement le «pourquoi» et le «comment» de certaines activités de traitement.

Dans cette optique, et puisque ces deux éléments sont indissociables, il est nécessaire de donner des indications sur le degré d’influence qu’une entité doit avoir sur le «pourquoi» et le «comment» pour être qualifiée de responsable du traitement.

Lorsqu’il s’agit d’évaluer la détermination des finalités et des moyens en vue d’attribuer le rôle de responsable du traitement, la question centrale qui se pose est donc le degré de précision auquel une personne doit déterminer les finalités et les moyens afin d’être considérée comme un responsable du traitement et, en corollaire, la marge de manœuvre que la directive laisse à un sous-traitant.

Ces définitions prennent tout leur sens lorsque divers acteurs interviennent dans le traitement de données à caractère personnel et qu’il est nécessaire de déterminer lesquels d’entre eux sont responsables du traitement (seuls ou conjointement avec d’autres) et lesquels sont à considérer comme des sous-traitants, le cas échéant.

L’importance à accorder aux finalités ou aux moyens peut varier en fonction du contexte particulier dans lequel intervient le traitement.

Il convient d’adopter une approche pragmatique mettant davantage l’accent sur le pouvoir discrétionnaire de déterminer les finalités et sur la latitude laissée pour prendre des décisions.

Les questions qui se posent alors sont celle du motif du traitement et celle du rôle d’éventuels acteurs liés, tels que les sociétés d’externalisation de services: la société qui a confié ses services à un prestataire extérieur aurait-elle traité les données si le responsable du traitement ne le lui avait pas demandé, et à quelles conditions?

Un sous-traitant pourrait suivre les indications générales données principalement sur les finalités et ne pas entrer dans les détails en ce qui concerne les moyens.

S’agissant de la détermination des «moyens», ce terme comprend de toute évidence des éléments très divers, ce qu’illustre d’ailleurs l’évolution de la définition.

En effet, «moyens» ne désigne pas seulement les moyens techniques de traiter des données à caractère personnel, mais également le «comment» du traitement, qui comprend des questions comme «quelles données seront traitées», «quels sont les tiers qui auront accès à ces données», «à quel moment les données seront-elles effacées», etc.

La détermination des «moyens» englobe donc à la fois des questions techniques et d’organisation, auxquelles les sous-traitants peuvent tout aussi bien répondre (par exemple, «quel matériel informatique ou logiciel utiliser?»), et des aspects essentiels qui sont traditionnellement et intrinsèquement réservés à l’appréciation du responsable du traitement, tels que «quelles sont les données à traiter?», «pendant combien de temps doivent-elles être traitées?», «qui doit y avoir accès», etc.

Dans ce contexte, alors que la détermination de la finalité du traitement emporterait systématiquement la qualification de responsable du traitement, la détermination des moyens impliquerait une responsabilité uniquement lorsqu’elle concerne les éléments essentiels des moyens.

Dans cette optique, il est tout à fait possible que les moyens techniques et d’organisation soient déterminés exclusivement par le sous-traitant des données.

Dans ce cas, lorsque les finalités sont bien définies mais qu’il existe peu, voire aucune indication sur les moyens techniques et d’organisation, les moyens devraient représenter une façon raisonnable d’atteindre la ou les finalités, et le responsable du traitement devrait être parfaitement informé des moyens utilisés.

Si un contractant avait une influence sur la finalité et qu’il procédait au traitement (également) à des fins personnelles, par exemple en utilisant les données à caractère personnel reçues en vue de créer des services à valeur ajoutée, il deviendrait alors responsable du traitement (ou éventuellement coresponsable du traitement) pour une autre activité de traitement et serait donc soumis à toutes les obligations prévues par la législation applicable en matière de protection des données.

La notion de personne concernée par un traitement de données à caractère personnel

L’article 2 de la loi informatique et libertés prévoit que « la personne concernée par un traitement de données à caractère personnel est celle à laquelle se rapportent les données qui font l’objet du traitement ».

De son côté, le RGPD, pris en son article 4, prévoit qu’une personne concernée est « une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale ».

D’une manière générale, on peut considérer que les informations «concernent» une personne physique, lorsqu’elles ont trait à cette personne physique. Dans nombre de situations, ce lien est facile à établir.

Par exemple, dans le cas de données enregistrées dans le dossier personnel d’un employé dans un service du personnel, il s’agit clairement de données «concernant» la situation de la personne en sa qualité d’employé.

Il en va de même des données relatives aux résultats de l’examen médical d’un patient dans son dossier médical, ou de l’image d’une personne filmée sur une vidéo lors d’une interview.

On peut citer un certain nombre d’autres situations où il n’est pas toujours aussi évident que dans les cas précédents de déterminer que les informations «concernent» une personne physique.

Dans certaines situations, les informations découlant des données concernent en premier lieu des objets, et non des personnes. Ces objets appartiennent en général à quelqu’un, ou peuvent subir l’influence particulière de personnes ou exercer une influence particulière sur des personnes ou se trouver d’une manière ou d’une autre à proximité physique ou géographique de personnes ou d’autres objets.

Ce n’est donc que de manière indirecte que l’on pourra considérer que ces informations concernent ces personnes ou ces objets.

Ce principe vaut également pour les données concernant en premier lieu des processus ou des événements, par exemple des informations sur le fonctionnement d’une machine nécessitant une intervention humaine. Il est, dès lors, possible de considérer ce type d’informations comme «concernant» une personne physique

Le G29 a pu relever que « les données concernent une personne si elles ont trait à l’identité, aux caractéristiques ou au comportement d’une personne ou si cette information est utilisée pour déterminer ou influencer la façon dont cette personne est traitée ou évaluée ».

Celui-ci ajoute que « pour considérer que les données «concernent» une personne physique, la présence d’un élément de «contenu» OU de «finalité» OU de «résultat» est indispensable ».

  • L’élément de «contenu»
    • Celui-ci est présent lorsque ? conformément à la perception la plus évidente et la plus commune dans une société du mot «concerner» ? des informations ayant trait à une personne particulière sont communiquées, indépendamment de toute finalité de la part du responsable du traitement des données ou du tiers, ou de l’impact de ces informations sur la personne concernée.
    • Les informations «concernent» une personne lorsqu’elles ont «trait» à cette personne, et une évaluation s’impose à la lumière de l’ensemble des circonstances du cas d’espèce.
    • Par exemple, les résultats d’une analyse médicale concernent manifestement le patient, tout comme les informations contenues dans le dossier au nom d’un certain client concernent celui-ci.
  • L’élément de «finalité»
    • Il peut lui aussi jouer un rôle pour déterminer si des informations «concernent» une certaine personne.
    • Cet élément de «finalité» sera considéré comme présent lorsque les données sont utilisées ou susceptibles d’être utilisées, compte tenu de l’ensemble des circonstances du cas d’espèce, afin d’évaluer, de traiter d’une certaine manière ou d’influer sur le statut ou le comportement d’une personne physique.
  • L’élément « résultat »
    • Même en l’absence de tout élément de «contenu» ou de «finalité», on peut considérer que des données «concernent» une personne physique lorsque leur utilisation est susceptible d’avoir un impact sur certains des droits et intérêts d’une personne, compte tenu de l’ensemble des circonstances du cas d’espèce. Il convient de relever qu’il n’est pas nécessaire que le résultat potentiel ait un impact majeur. Il suffit qu’une personne physique puisse être traitée différemment par rapport à d’autres personnes à la suite du traitement de ces données.

Pour le G29, ces trois éléments (contenu, finalité, résultat) sont à considérer comme des conditions alternatives, et non cumulatives.

Lorsque l’élément de contenu est présent, il n’est pas nécessaire que les autres éléments le soient pour considérer que ces informations concernent la personne. Le corollaire de ce constat est que la même information peut concerner simultanément différentes personnes, selon l’élément en présence pour chacune d’entre elles.

La notion de traitement de données à caractère personnel

L’article 2 de la loi informatique et libertés définit le traitement de données à caractère personnel comme « toute opération ou tout ensemble d’opérations portant sur de telles données, quel que soit le procédé utilisé, et notamment la collecte, l’enregistrement, l’organisation, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, ainsi que le verrouillage, l’effacement ou la destruction. »

Il ressort de cette définition, qui est formulée dans les mêmes termes que celle retenue dans le RGPD, qu’un traitement de données à caractère personnel englobe toute opération effectuée sur une donnée à caractère personnel.

Peu importe la complexité du traitement ou ses modalités, dès lors qu’il porte sur une donnée à caractère personnel il entre dans le champ d’application de la loi informatique et libertés.

À cet égard, le texte prévoit qu’il est indifférent que le traitement soit automatisé ou manuel. Cette précision vise à éviter de créer un risque grave de contournement.

Selon le RGPD, la mesure où la protection des personnes physiques doit, en effet, être neutre sur le plan technologique et ne doit pas dépendre des techniques utilisées.

La définition, qui reprend celle figurant à l’article 2 actuel de la loi du 6 janvier 1978, la confirme par référence à l’apparition de procédés techniques liés au développement des technologies de l’information, comme ceux de « communication par transmission », de « consultation » ou de « diffusion » des données à caractère personnel.

Ainsi, le RGPD s’applique à toutes les formes de traitements automatisés, qu’ils se rapportent ou non à l’exploitation de fichiers ou de bases de données, la Commission européenne ayant jugé dépassée la notion de « fichier ».

La seule référence à la notion de traitement doit permettre d’appliquer les règles de la protection à toute technologie et à toute organisation particulière de données. Les opérations de collecte constituent en elles-mêmes un traitement, et la mise en œuvre d’une seule des opérations énoncées par l’article 4, 2) du RGPD suffit à caractériser le traitement de données.

Exemples :

==> Enregistrement d’adresses électroniques

Dans un arrêt du 14 mars 2006, la Cour de cassation a considéré que « constitue une collecte de données nominatives le fait d’identifier des adresses électroniques et de les utiliser, même sans les enregistrer dans un fichier, pour adresser à leurs titulaires des messages électroniques » (Cass. crim., 14 mars 2006, n° 05-83.423).

==> L’activité de référencement d’un moteur de recherche

Dans un arrêt du 19 juillet 2017, le Conseil d’État a rappelé que « le traitement de données à caractère personnel que constitue le moteur de recherche exploité par la société Google Inc., compte tenu des activités de promotion et de vente des espaces publicitaires exercées, en France, par sa filiale Google France » (CE, 19 juill 2017, GOOGLE INC, n°399922).

Il en déduit que « l’exploitant d’un moteur de recherche mettant en œuvre son traitement en France doit faire droit aux demandes qui lui sont présentées tendant au déréférencement de liens, c’est-à-dire à la suppression de la liste de résultats, affichée à la suite d’une recherche effectuée à partir du nom du demandeur, des liens vers des pages web, publiées par des tiers et contenant des informations le concernant. »

Dans le même sens, la CJUE avait considéré, dans un arrêt du 13 mai 2014 que « en explorant de manière automatisée, constante et systématique Internet à la recherche des informations qui y sont publiées, l’exploitant d’un moteur de recherche «collecte» de telles données qu’il «extrait», «enregistre» et «organise» par la suite dans le cadre de ses programmes d’indexation, «conserve» sur ses serveurs et, le cas échéant, «communique à» et «met à disposition de» ses utilisateurs sous forme de listes des résultats de leurs recherches. Ces opérations étant visées de manière explicite et inconditionnelle à l’article 2, sous b), de la directive 95/46, elles doivent être qualifiées de «traitement» au sens de cette disposition, sans qu’il importe que l’exploitant du moteur de recherche applique les mêmes opérations également à d’autres types d’information et ne distingue pas entre celles-ci et les données à caractère personnel » (CJUE, 13 mai 2014, aff. C-131/12, Google Spain SL, Google Inc. c/ Agencia Española de Protección de Datos (AEPD) et Mario Costeja González, pt 88).

==> Identification de personnes sur des pages web

Dans un arrêt du 6 novembre 2003, la CJUE a considéré que constituait un traitement de données à caractère personnel « l’opération consistant à faire référence sur une page internet, à diverses personnes et à les identifier soit par leur nom, soit par d’autres moyens, par exemple à leur numéro de téléphone ou des informations relatives à leurs conditions de travail et à leurs passe-temps » (CJCE, 6 nov. 2003, aff. C-101/01, Linqvist, pt 27).

==> Publicité ciblée

Dans une communication présentée en séance plénière le 5 février 2009, la CNIL a considéré que « dès lors que la publicité ciblée en ligne repose par exemple sur des goûts et comportements qui peuvent être rattachés à un individu identifié ou identifiable, elle doit être opérée dans le respect des principes de la protection des données ».

Il en résulte, selon elle, que « l’analyse des comportements d’achats dans le but de personnaliser la publicité adressée aux internautes, n’est possible que si l’internaute en a été préalablement informé, et mis en mesure de s’y opposer voire même d’y consentir si la publicité est adressée par voie électronique ».

==> Enregistrement dans un répertoire informatique de notes relatives à l’appréciation d’un salarié

Dans un arrêt du 8 septembre 2015, la Cour de cassation a estimé que le fait pour une responsable de service d’enregistrer dans un répertoire informatique identifié deux notes qu’il a rédigées faisant état d’appréciations portées sur le travail de l’un de ses subordonnés dans l’objectif de procéder à son évaluation constituait un traitement de données à caractère personnel (Cass. crim. 8 sept. 2015, n° 13-85587).

Au soutien de sa décision, la chambre criminelle relève que « des notes faisant état d’appréciations personnelles sur la manière de servir de M. X…, responsable du pôle “études” au centre d’études européennes, devenu, en 2006, une direction de l’Ecole nationale d’administration, et rédigées par M. Y…, responsable de cette direction, ont été enregistrées au nom de la secrétaire de ce dernier sur un répertoire informatique qui était accessible à tous les personnels du service ».

La notion de donnée à caractère personnel

L’article 2, al. 2 de la loi informatique et libertés prévoit que « constitue une donnée à caractère personnel toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, par référence à un numéro d’identification ou à un ou plusieurs éléments qui lui sont propres ».

 Il ressort de cette disposition que la notion de données à caractère personnel est définie de manière relativement large.

À titre de remarquer liminaire, il convient d’observer que la notion de « données à caractère personnel » a été substituée à celle « d’informations nominatives » par la loi du 6 août 2004.

Initialement, la loi du 6 janvier 1978 prévoyait, en son article 4 (ancien), que « sont réputées nominatives au sens de la présente loi les informations qui permettent, sous quelque forme que ce soit, directement ou non, l’identification des personnes physiques auxquelles elles s’appliquent, que le traitement soit effectué par une personne physique ou par une personne morale. »

Désormais, on ne parle plus d’informations nominatives, mais de données à caractère personnel.

Ce glissement sémantique résulte de la prise en compte des progrès des techniques d’identification (moteurs de recherche, logiciels de reconnaissance vocale ou morphologique).

La notion « d’information nominative » suggérait qu’elle ne recouvrait que les éléments d’identification entretenant une proximité avec le nom de la personne visée.

Or son périmètre était, en réalité, bien plus large, notamment en raison du développement des mesures d’identification indirect.

La notion de « donnée à caractère personnel » est donc apparue plus pertinente, en ce qu’elle permet de couvrir des informations permettant tant l’identification, tant directe, qu’indirecte de la personne.

En pratique d’ailleurs, la CNIL avait adopté une conception large des informations nominatives, en incluant, par exemple, les numéros de téléphone, les plaques d’immatriculation ou les numéros de certains badges, ainsi que les clichés permettant d’identifier une personne.

Ce terme de données à caractère personnel, suffisamment neutre et général, permet ainsi d’éviter l’obsolescence rapide de la loi.

Il permet en outre de mettre fin en droit français à une confusion dénoncée par le Conseil d’État entre les « informations nominatives » au sens de la loi du 6 janvier 1978 et les « informations nominatives » au sens de la loi n° 78-753 du 17 juillet 1978 portant diverses mesures d’amélioration des relations entre l’administration et le public, qui a pour effet de restreindre la liberté d’accès aux documents administratifs.

En toute hypothèse, il apparaît que la définition retenue par le législateur comporte plusieurs éléments :

I) Toute information

L’expression « toute information » que l’on retrouve dans la définition, tant de la loi informatique et libertés, que dans le RGPD manifeste clairement la volonté du législateur d’élaborer un concept large des données à caractère personnel.

==> Sur la nature des informations

Le concept de données à caractère personnel englobe toutes sortes de renseignements à propos d’une personne. Il peut s’agir d’informations «objectives» telles qu’une particularité sanguine de la personne concernée, comme il peut aussi s’agir d’informations «subjectives» sous forme d’avis ou d’appréciations.

Ce dernier type de renseignements représente une grande partie du traitement des données à caractère personnel dans des secteurs tels que celui des banques, pour l’évaluation de la fiabilité des emprunteurs («X est un emprunteur fiable»), des assurances («X ne devrait pas mourir dans un proche avenir») ou de l’emploi («X est un bon travailleur et mérite d’être promu»).

Pour être considérées comme des « données à caractère personnel », il n’est pas nécessaire que ces informations soient vraies ou prouvées.

En réalité, les règles de protection des données envisagent déjà que des informations puissent être incorrectes et prévoient pour la personne concernée le droit d’accéder à ces informations et de les contester par des voies de recours adéquates.

==> Sur le contenu des informations

On entend par «données à caractère personnel» toutes sortes d’informations.

Cela couvre évidemment les informations à caractère personnel considérées comme «données sensibles», au sens de la loi informatique et libertés, en raison du fort potentiel de risque qu’elles présentent, mais également des informations plus générales.

L’expression «données à caractère personnel» englobe les informations touchant à la vie privée et familiale d’une personne physique, stricto sensu, mais également les informations relatives à ses activités, quelles qu’elles soient, tout comme celles concernant ses relations de travail ainsi que son comportement économique ou social.

Il s’agit donc d’informations concernant des personnes physiques, indépendamment de leur situation ou de leur qualité (en tant que consommateurs, patients, employés, clients, etc.).

==> Sur le format des informations ou du support utilisé

Le concept de données à caractère personnel englobe les informations disponibles sous n’importe quelle forme, qu’elles soient alphabétiques, numériques, graphiques, photographiques ou acoustiques.

Sont par exemple concernées les informations conservées sur papier, tout comme les informations stockées dans une mémoire d’ordinateur (code binaire) ou sur une cassette vidéo.

C’est une conséquence logique de l’intégration du traitement automatisé des données à caractère personnel dans son champ d’application. Il apparaît en particulier que les données constituées par des sons et des images méritent, à ce titre, d’être reconnues comme des données à caractère personnel, dans la mesure où elles peuvent représenter des informations sur une personne physique.

Par ailleurs, il n’est pas nécessaire, pour que ces informations soient considérées comme données à caractère personnel, qu’elles soient contenues dans une base de données ou un fichier structuré. Les informations contenues sous forme de texte libre dans un document électronique peuvent également être reconnues comme des données à caractère personnel, pour autant que les autres critères énoncés dans la définition des données à caractère personnel soient remplis.

Les courriers électroniques contiennent par exemple des « données à caractère personnel ».

II) Des données portant sur une personne physique

Une donnée ne peut être regardée comme revêtant un caractère personnel, qu’à la condition qu’elle porte sur une personne physique.

Le concept de «personne physique» est évoqué à l’article 6 de la Déclaration universelle des droits de l’homme qui se lit comme suit: « chacun a le droit à la reconnaissance en tous lieux de sa personnalité juridique. »

La personnalité juridique n’est autre que la capacité à être sujet de droit, de la naissance de l’individu jusqu’à son décès.

Les données personnelles sont dès lors, par principe, des données qui concernent des personnes vivantes identifiées ou identifiables.

Il s’ensuit plusieurs conséquences :

==> Exclusion des données portant sur une personne décédée

Les informations relatives à des personnes décédées ne sauraient, en principe, être considérées comme des données à caractère personnel soumises aux règles du RGPD, dans la mesure où, conformément au droit des personnes, elles ne sont plus des personnes physiques.

Telle est la solution retenue par le RGPD. Dans son considérant 27, il prévoit en ce sens qu’il n’a pas vocation à s’appliquer aux données à caractère personnel des personnes décédées.

Toutefois, les États membres peuvent prévoir des règles relatives au traitement des données à caractère personnel des personnes décédées.

À cet égard, l’article 57 de loi informatique et libertés dispose que « les informations concernant les personnes décédées, y compris celles qui figurent sur les certificats des causes de décès, peuvent faire l’objet d’un traitement de données, sauf si l’intéressé a, de son vivant, exprimé son refus par écrit ».

==> Exclusion des données portant une personne morale

Des informations qui seraient collectées sur une personne morale ne relèveraient pas du champ d’application de la loi informatique et libertés.

 Dans son considérant n°14, le RGPD prévoit, à cet égard, que la protection conférée par le présent règlement devrait s’appliquer aux personnes physiques, indépendamment de leur nationalité ou de leur lieu de résidence, en ce qui concerne le traitement de leurs données à caractère personnel.

Aussi, ce texte n’a pas vocation à couvrir le traitement des données à caractère personnel qui concernent les personnes morales, et en particulier des entreprises dotées de la personnalité juridique, y compris le nom, la forme juridique et les coordonnées de la personne morale.

Toutefois, comme l’a précisé la Cour de justice des Communautés européennes, rien ne s’oppose à ce qu’un État membre étende la portée de la législation nationale transposant les dispositions de la directive 95/46 à des domaines non inclus dans le champ d’application de cette dernière, pour autant qu’aucune autre disposition du droit communautaire n’y fasse obstacle[1].

Ainsi, certains États membres, tels que l’Italie, l’Autriche et le Luxembourg, ont étendu l’application de certaines dispositions de leur législation nationale transposant la directive (comme celles sur les mesures de sécurité) au traitement de données concernant des personnes morales.

Comme dans le cas des informations relatives aux personnes décédées, il peut arriver, en outre, qu’en vertu des modalités pratiques mises en place par le responsable du traitement des données, des données relatives à des personnes morales soient soumises de facto aux règles sur la protection des données.

Tel sera le cas lorsque des données concernant les dirigeants d’une personne morale seront collectées.

Aussi, dans une délibération n° 85-45, du 15 octobre  1985 la CNIL est venue préciser que « sont indirectement nominatives, quelle que soit la forme de l’entreprise, les informations relatives à la situation et à l’activité de l’entreprise, notamment les informations économiques et financières, dès lors qu’elles permettent l’identification des dirigeants ».

Il en résulte que les informations qui concernent les dirigeants de personnes morales doivent, quant à elles, être considérées comme des données à caractère personnel.

III) Des données permettant d’identifier directement ou indirectement une personne physique

L’article 2 de la loi informatique et libertés prévoit, en substance, qu’une personne est identifiable lorsqu’elle peut être identifiée directement ou indirectement par référence à un identifiant qui consiste :

  • soit à un numéro d’identification
  • soit à un ou plusieurs éléments qui lui sont propres.

Le RGPD précise que l’identifiant peut prendre la forme d’« un nom, un numéro d’identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale ».

Autrement dit, l’identifiant pourra être qualifié de donnée à caractère personnel, dès lors qu’il permet d’établir un lien direct ou indirect avec la personne à laquelle il est attaché.

Autant dire que toute information qui porte sur les caractéristiques d’une personne est susceptible d’être qualifiée de donnée à caractère personnel.

À cet égard, l’examen des textes révèle que pour déterminer si une personne est identifiable, deux éléments doivent être pris en compte :

  • L’identifiant attaché à la personne
  • Les moyens d’identification de la personne

Il s’en déduit que les informations anonymes ne peuvent, par nature, pas être qualifiées de données à caractère personnel.

A) Sur l’identifiant attaché à la personne

Pour être qualifiée de donnée à caractère personnel, l’information collectée doit permettre l’identification, directe ou indirecte de la personne visée.

D’une manière générale, on peut considérer une personne physique comme « identifiée » lorsque, au sein d’un groupe de personnes, elle se « distingue » de tous les autres membres de ce groupe.

La personne physique est donc « identifiable » lorsque, même sans avoir encore été identifiée, il est possible de le faire (comme l’exprime le suffixe «-able»). Cette seconde option constitue donc en pratique la condition de base qui détermine si les informations entrent dans le champ d’application du troisième élément.

L’identification se fait normalement au moyen d’informations spécifiques que l’on peut appeler «identifiants» et qui présentent une relation particulièrement privilégiée et étroite avec la personne physique concernée.

Il peut s’agir, par exemple, de signes extérieurs concernant l’apparence de cette personne comme sa taille, la couleur de ses cheveux, ses vêtements, etc. ou d’une caractéristique de cette personne qui n’est pas immédiatement perceptible, comme une profession, une fonction, un nom, etc.

Ainsi peut-on considérer que des informations rendent identifiable une personne physique, lorsqu’elles ont trait à cette personne physique. Dans nombre de situations, ce lien est facile à établir.

Par exemple, dans le cas de données enregistrées dans le dossier personnel d’un employé dans un service du personnel, il s’agit clairement de données « concernant » la situation de la personne en sa qualité d’employé.

Il en va de même des données relatives aux résultats de l’examen médical d’un patient dans son dossier médical, ou de l’image d’une personne filmée sur une vidéo lors d’une interview.

On peut citer un certain nombre d’autres situations où il n’est pas toujours aussi évident que dans les cas précédents de déterminer que les informations « concernent » une personne physique.

Dans certaines situations, les informations découlant des données concernent en premier lieu des objets, et non des personnes.

Ces objets appartiennent en général à quelqu’un, ou peuvent subir l’influence particulière de personnes ou exercer une influence particulière sur des personnes ou se trouver d’une manière ou d’une autre à proximité physique ou géographique de personnes ou d’autres objets.

Ce n’est donc que de manière indirecte que l’on pourra considérer que ces informations concernent ces personnes ou ces objets

Ainsi, l’identification d’une personne directe peut être directe ou indirecte

1) L’identification directe

S’agissant des personnes «directement» identifiées ou identifiables, le nom de la personne est évidemment l’identifiant le plus courant et, dans la pratique, la notion de «personne identifiée» implique le plus souvent une référence au nom de cette personne.

Afin de s’assurer de son identité, le nom de la personne doit parfois être associé à d’autres éléments d’information (date de naissance, nom des parents, adresse ou photo d’identité) afin d’éviter toute confusion entre cette personne et d’éventuels homonymes.

À titre d’exemple, l’information selon laquelle X est redevable d’une certaine somme d’argent peut être considérée comme concernant une personne identifiée, car elle est liée au nom de cette personne.

Le nom est un élément d’information qui révèle que la personne utilise cette combinaison de lettres et de sons pour se distinguer d’autres personnes et être distinguée par d’autres personnes avec lesquelles elle établit des relations.

Le nom peut également être le point de départ conduisant à des informations sur le domicile de la personne ou l’endroit où elle se trouve et à des informations sur les membres de sa famille (par le biais du nom de famille) et sur différentes relations juridiques et sociales associées à ce nom (scolarité/études, dossier médical, comptes bancaires).

Il est même possible de connaître l’apparence d’une personne si sa photographie est associée à ce nom. Tous ces nouveaux éléments d’information liés au nom peuvent permettre à quelqu’un de «zoomer» sur la personne en chair et en os, et grâce aux identifiants, l’élément d’information initial est alors associé à une personne physique que l’on peut distinguer d’autres personnes.

2) L’identification indirecte

S’agissant des personnes « indirectement » identifiées ou identifiables, cette catégorie relève en général du phénomène des « combinaisons uniques », à quelque degré que ce soit.

Pour les cas où, de prime abord, les identifiants sont insuffisants pour permettre à quiconque de distinguer une personne particulière, cette personne peut néanmoins être « identifiable », car ces informations combinées à d’autres éléments d’information (que ces derniers soient conservés par le responsable du traitement ou non) permettent de la distinguer parmi d’autres personnes.

C’est pourquoi la directive précise « un ou plusieurs éléments spécifiques, propres à son identité physique, physiologique, psychique, économique, culturelle ou sociale ».

Certaines caractéristiques, de par leur spécificité, permettent d’identifier quelqu’un sans difficulté («actuel premier ministre espagnol»), mais une combinaison de détails à un niveau catégoriel (tranche d’âge, origine régionale, etc.) peut également s’avérer assez concluante dans certaines circonstances, notamment si l’on a accès à des informations supplémentaires.

Ce phénomène a été étudié de manière approfondie par les statisticiens toujours soucieux de ne pas commettre de violation de la confidentialité.

À cet égard, il convient de relever que si l’identification par le nom constitue, dans la pratique, le moyen le plus répandu, un nom n’est pas toujours nécessaire pour identifier une personne, notamment lorsque d’autres «identifiants» sont utilisés pour distinguer quelqu’un.

En effet, les fichiers informatiques enregistrant les données à caractère personnel attribuent habituellement un identifiant spécifique aux personnes enregistrées pour éviter toute confusion entre deux personnes se trouvant dans un même fichier. Sur l’internet aussi, les outils de surveillance du trafic permettent de cerner facilement le comportement d’une machine et, derrière celle-ci, de son utilisateur.

On reconstitue ainsi la personnalité de l’individu pour lui attribuer certaines décisions. Sans même s’enquérir du nom et de l’adresse de la personne, on peut la caractériser en fonction de critères socio-économiques, psychologiques, philosophiques ou autres et lui attribuer certaines décisions dans la mesure où le point de contact de la personne (l’ordinateur) ne nécessite plus nécessairement la révélation de son identité au sens étroit du terme.

En d’autres termes, la possibilité d’identifier une personne n’implique plus nécessairement la faculté de connaître son identité. La définition des données à caractère personnel reflète ce constat.

La Cour de justice des Communautés européennes a statué dans ce sens, considérant que la « l’opération consistant à faire référence, sur une page Internet, à diverses personnes et à les identifier soit par leur nom, soit par d’autres moyens, par exemple leur numéro de téléphone ou des informations relatives à leurs conditions de travail et à leurs passe-temps, constitue un «traitement de données à caractère personnel »[2].

==> Cas de l’adresse IP

La question s’est posée de savoir si l’adresse IP d’un utilisateur pouvait être qualifiée de donnée à caractère personnel.

Techniquement, une adresse IP est attachée, non pas à une personne mais à une machine. Reste, que cette machine est la propriété d’une personne, de sorte que, à partir d’une adresse IP, il est possible d’identifier son titulaire.

La jurisprudence

Sur cette question la jurisprudence a été fluctuante.

Dans un arrêt du 14 décembre 2006, le Tribunal correctionnel de Bobigny a jugé que l’adresse IP constituait bien une donnée à caractère personnel (T. corr. Bobigny, 14 déc. 2006).

À l’inverse, d’un arrêt du 24 août 2006, la Cour d’appel de Pau a retenu une solution radicalement opposée (CA Pau, 24 août 2006, n° 06/593).

La Cour d’appel de Paris a statué dans le même sens dans un arrêt du 15 mai 2007 (CA Paris, 13e ch., sect. A, 15 mai 2007, n° 06/01954, Henri S. c/ SCPP).

  • Les faits
    • Un prévenu était poursuivi du chef de contrefaçon pour des faits de téléchargement illégal et de mise à disposition des internautes de fichiers musicaux.
    • L’infraction avait été constatée par un agent assermenté d’une société de gestion collective de droits qui a procédé au recueil de l’adresse IP de l’ordinateur du prévenu.
    • Ce dernier prétendait alors que cette opération nécessitait l’obtention d’une autorisation de la CNIL et que le mode de preuve est donc illicite.
    • Cet argument a été écarté par les juges du fond
  • Solution
    • La Cour d’appel de Paris considère arguments le simple constat probatoire de l’élément matériel d’une infraction commise sur Internet par un individu utilisant un pseudonyme, dressé par l’agent, conformément à la législation sur la propriété intellectuelle, ne constitue pas un traitement de données personnelles.
    • Pour elle, seule la plainte auprès des autorités judiciaires a conduit à l’identification de la personne, dans le cadre des règles de procédure pénale.
    • Le relevé de l’adresse IP de l’ordinateur servant à commettre les faits entre dans le constat de la matérialité du délit et non dans l’identification de son auteur.
    • En effet, cette série de chiffres ne constitue pas une donnée indirectement nominative relative à la personne, l’adresse se rapportant à une machine et non à la personne l’utilisant. Les opérations de traitement de données visant à “la mise en place d’une surveillance automatisée des réseaux peer to peer”, auxquelles la CNIL a refusé l’autorisation à la société de gestion des droits par une décision de 2005, sont très différentes du simple procès-verbal d’un agent assermenté transmis aux autorités judiciaires aux fins d’identification et de poursuite.
    • Par conséquent, le procédé utilisé ne nécessitait nullement l’agrément de la CNIL.

Finalement, la Cour de cassation est intervenue dans un arrêt du 13 janvier 2009. Elle ne s’est toutefois pas prononcée en faveur de la qualification de l’adresse IP en donnée à caractère personnel (Cass. crim., 13 janv. 2009, n° 08-84.088).

À cet égard, elle a considéré que « les constatations visuelles effectuées sur internet et les renseignements recueillis en exécution de l’article L. 331-2 du code de la propriété intellectuelle par un agent assermenté qui, sans recourir à un traitement préalable de surveillance automatisé, utilise un appareillage informatique et un logiciel de pair à pair, pour accéder manuellement, aux fins de téléchargement, à la liste des œuvres protégées irrégulièrement proposées sur la toile par un internaute, dont il se contente de relever l’adresse IP pour pouvoir localiser son fournisseur d’accès en vue de la découverte ultérieure de l’auteur des contrefaçons, rentrent dans les pouvoirs conférés à cet agent par la disposition précitée, et ne constituent pas un traitement de données à caractère personnel relatives à ces infractions, au sens des articles 2, 9 et 25 de la loi susvisée »

La chambre criminelle a réitéré cette solution dans un arrêt du 23 mars 2010 (Cass. crim., 23 mars 2010, n° 09-80.787).

Alors que la position de la Cour de cassation était pour le moins critiquée, elle a, dans un arrêt du 3 novembre 2016, opéré un revirement de jurisprudence en considérant, sans ambiguïté que « les adresses IP, qui permettent d’identifier indirectement une personne physique, sont des données à caractère personnel, de sorte que leur collecte constitue un traitement de données à caractère personnel et doit faire l’objet d’une déclaration préalable auprès de la CNIL » (Cass, 1ère civ., 3 novembre 2016, n°15-22595).

La haute juridiction s’est ainsi ralliée à la position de la CNIL et de la CJUE.

Cass. 1ère civ. 3 nov. 2016
Attendu, selon l’arrêt attaqué, que les sociétés Groupe logisneuf, C.Invest et European Soft, appartenant toutes trois au groupe Logisneuf, ont constaté la connexion, sur leur réseau informatique interne, d’ordinateurs extérieurs au groupe, mais faisant usage de codes d’accès réservés aux administrateurs du site internet logisneuf.com ; qu’elles ont obtenu du juge des requêtes une ordonnance faisant injonction à divers fournisseurs d’accès à Internet de leur communiquer les identités des titulaires des adresses IP utilisées pour les connexions litigieuses ; que, soutenant que la conservation, sous forme de fichier, de ces adresses IP aurait dû faire l’objet d’une déclaration auprès de la Commission nationale de l’informatique et des libertés (CNIL) et invoquant, par suite, l’illicéité de la mesure d’instruction sollicitée, la société Cabinet Peterson, qui exerce une activité de conseil en investissement et en gestion de patrimoine concurrente de celle du groupe Logisneuf, a saisi le président du tribunal de commerce en rétractation de son ordonnance ;

Sur les premier et deuxième moyens, ci-après annexés :

Attendu que ces moyens ne sont manifestement pas de nature à entraîner la cassation ;

Mais sur le troisième moyen, pris en sa première branche :

Vu les articles 2 et 22 de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés ;

Attendu qu’aux termes du premier de ces textes, constitue une donnée à caractère personnel toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, par référence à un numéro d’identification ou à un ou plusieurs éléments qui lui sont propres ; que constitue un traitement de données à caractère personnel toute opération ou tout ensemble d’opérations portant sur de telles données, quel que soit le procédé utilisé, et notamment la collecte, l’enregistrement, l’organisation, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, ainsi que le verrouillage, l’effacement ou la destruction ;

Que, selon le second, les traitements automatisés de données à caractère personnel font l’objet d’une déclaration auprès de la CNIL ;

Attendu que, pour rejeter la demande de rétractation formée par la société Cabinet Peterson, l’arrêt retient que l’adresse IP, constituée d’une série de chiffres, se rapporte à un ordinateur et non à l’utilisateur, et ne constitue pas, dès lors, une donnée même indirectement nominative ; qu’il en déduit que le fait de conserver les adresses IP des ordinateurs ayant été utilisés pour se connecter, sans autorisation, sur le réseau informatique de l’entreprise, ne constitue pas un traitement de données à caractère personnel ;

Qu’en statuant ainsi, alors que les adresses IP, qui permettent d’identifier indirectement une personne physique, sont des données à caractère personnel, de sorte que leur collecte constitue un traitement de données à caractère personnel et doit faire l’objet d’une déclaration préalable auprès de la CNIL, la cour d’appel a violé les textes susvisés ;

Par ces motifs et sans qu’il y ait lieu de statuer sur les autres branches du troisième moyen :

CASSE ET ANNULE, en toutes ses dispositions, l’arrêt rendu le 28 avril 2015, entre les parties, par la cour d’appel de Rennes ;

La position de la CNIL

Dans un avis du 2 août 2007, la CNIL avait fait part de son inquiétude s’agissant de l’absence de reconnaissance, par la jurisprudence, de la qualification de données à caractère personnel de l’adresse IP.

Pour la gardienne de la loi informatique et libertés, cette position remet profondément en cause la notion de donnée à caractère personnel qui est très large.

En effet, l’article 2 de la loi du 6 janvier 1978 modifiée en 2004 qui la définit, vise toute information relative à une personne physique qui peut être identifiée, directement ou indirectement, par référence à un numéro d’identification ou à des éléments qui lui sont propres. Ce qui est le cas d’un numéro de plaque d’immatriculation de véhicule, d’un numéro de téléphone ou d’une adresse IP.

L’ensemble des autorités de protection des données des États membres de l’Union européenne a d’ailleurs récemment rappelé, dans un avis du 20 juin 2007 relatif au concept de données à caractère personnel, que l’adresse IP attribuée à un internaute lors de ses communications constituait une donnée à caractère personnel.

Surtout, la CNIL s’inquiète des répercussions qu’une telle jurisprudence pourrait avoir sur la protection de la vie privée et des libertés individuelles sur internet, de plus en plus largement utilisé par tous, dans notre société

La position du G29

Le groupe de travail de l’article 29 a considéré les adresses IP comme des données concernant une personne identifiable.

Le G29 justifie sa position en relevant que les fournisseurs d’accès Internet et les gestionnaires des réseaux locaux peuvent, en utilisant des moyens raisonnables, identifier les utilisateurs Internet auxquels ils ont attribué des adresses IP, du fait qu’ils enregistrent systématiquement dans un fichier les date, heure, durée et adresse dynamique IP donnée à l’utilisateur Internet.

Il en va de même pour les fournisseurs de services internet qui conservent un fichier-registre sur le serveur HTTP. Dans ces cas, on peut parler, sans l’ombre d’un doute, de données à caractère personnel au sens de l’article 2, point a), de la directive».

Il apparaît notamment que lorsque le traitement d’adresses IP a été effectué pour identifier les utilisateurs de l’ordinateur (par exemple, par des titulaires de droits d’auteur afin de poursuivre ces utilisateurs d’ordinateurs pour violation de droits de la propriété intellectuelle), le responsable du traitement part du principe que les « moyens susceptibles d’être raisonnablement mis en œuvre » pour identifier les personnes seront disponibles, par exemple par l’intermédiaire des tribunaux saisis (sinon la collecte d’informations serait inutile), de sorte qu’il convient de considérer ces informations comme des données à caractère personnel.

La position de la CJUE

Dans un arrêt du 24 novembre 2011, la CJUE s’est prononcée pour la première fois sur la question de savoir si l’adresse IP pouvait être qualifiée de donnée à caractère personnel (CJUE, 24 nov. 2011, aff. C-70/10, Scarlet Extended).

Elle a considéré que les adresses IP étaient bien des données protégées à caractère personnel, car elles permettent l’identification précise desdits utilisateurs.

Dans un autre arrêt du 19 octobre 2016 elle a confirmé sa jurisprudence en considérant que « une adresse IP (protocole Internet) dynamique par laquelle un utilisateur a accédé au site Internet d’un fournisseur de médias électroniques constitue pour celui-ci une donnée à caractère personnel, dans la mesure où un fournisseur d’accès au réseau possède des informations supplémentaires qui, combinées à l’adresse IP dynamique, permettraient d’identifier l’utilisateur » (CJUE, 19 oct. 2016, aff. C-582/14).

Ce qui importe, c’est donc que l’information collectée rende la personne identifiable. Or pour qu’une personne soit considérée comme identifiable, il n’est pas nécessaire que tous les moyens d’identification de cette personne se trouvent entre les mains d’une seule entité.

Ainsi, une adresse IP peut constituer une donnée à caractère personnel si un tiers (par exemple, le fournisseur d’accès à Internet) dispose des moyens nécessaires à l’identification du titulaire de cette adresse sans déployer d’efforts démesurés.

Le RGPD

Le considérant 30 du RGPD prévoit que « les personnes physiques peuvent se voir associer, par les appareils, applications, outils et protocoles qu’elles utilisent, des identifiants en ligne tels que des adresses IP et des témoins de connexion («cookies») ou d’autres identifiants, par exemple des étiquettes d’identification par radiofréquence. Ces identifiants peuvent laisser des traces qui, notamment lorsqu’elles sont combinées aux identifiants uniques et à d’autres informations reçues par les serveurs, peuvent servir à créer des profils de personnes physiques et à identifier ces personnes. »

Il se déduit ainsi de ce texte que l’adresse IP constitue bien une donnée à caractère personnel. Le débat semble désormais clos.

Au total, il importe peu qu’une personne puisse être directement ou indirectement identifiée, toute la difficulté étant, au fond, de déterminer, si l’information collectée se rapporte à une personne physique identifiable.

Pour ce faire, il convient de se tourner, soit vers les textes, soit vers la jurisprudence lesquels fournissent plusieurs critères d’appréciations.

B) Sur les moyens d’identification de la personne

L’article 2 de la loi informatique et libertés dispose que « pour déterminer si une personne est identifiable, il convient de considérer l’ensemble des moyens en vue de permettre son identification dont dispose ou auxquels peut avoir accès le responsable du traitement ou toute autre personne. »

Cela signifie que la simple possibilité hypothétique de distinguer une personne n’est pas suffisante pour considérer cette personne comme «identifiable».

Si, compte tenu de l’ensemble des moyens susceptibles d’être raisonnablement mis en œuvre, soit par le responsable du traitement, soit par une autre personne, cette possibilité n’existe pas ou qu’elle est négligeable, la personne ne saurait être considérée comme «identifiable» et les informations ne seraient pas des «données à caractère personnel».

Le critère de l’ensemble des moyens susceptibles d’être raisonnablement mis en œuvre doit notamment prendre en compte tous les facteurs en jeu.

Le considérant 26 du RGPD précise en ce sens que « pour établir si des moyens sont raisonnablement susceptibles d’être utilisés pour identifier une personne physique, il convient de prendre en considération l’ensemble des facteurs objectifs, tels que le coût de l’identification et le temps nécessaire à celle-ci, en tenant compte des technologies disponibles au moment du traitement et de l’évolution de celles-ci ».

Ainsi, la finalité visée, la manière dont le traitement est structuré, l’intérêt escompté par le responsable du traitement, les intérêts en jeu pour les personnes, les risques de dysfonctionnements organisationnels (par exemple violations du devoir de confidentialité) et les défaillances techniques sont autant d’aspects qu’il convient de prendre en considération.

Par ailleurs, ce critère présente un caractère dynamique d’où la nécessité de tenir compte de l’état d’avancement technologique au moment du traitement et de changements éventuels pendant la période pour laquelle les données seront traitées. Il se peut que l’identification ne soit pas possible aujourd’hui avec l’ensemble des moyens existants auxquels l’on peut raisonnablement recourir.

Si les données doivent être conservées pendant une durée d’un mois, il est probable que l’identification ne pourra intervenir pendant la «durée de vie» des informations, et elles ne sauraient dès lors être considérées comme des données à caractère personnel.

Cependant, si elles doivent être conservées pendant dix ans, le responsable du traitement doit envisager la possibilité d’une identification pouvant intervenir même au cours de la neuvième année, ce qui en ferait à ce moment-là des données à caractère personnel. Il est souhaitable que le système puisse s’adapter à ces développements lorsqu’ils interviennent, et intégrer alors les mesures techniques et organisationnelles appropriées en temps utile.

En toute hypothèse, un facteur essentiel pour évaluer l’ensemble des moyens susceptibles d’être raisonnablement mis en œuvre pour identifier les personnes sera, en réalité, la finalité visée par le responsable du traitement dans le cadre du traitement des données.

Lorsque la finalité du traitement implique l’identification de personnes physiques, il est permis de penser que le responsable du traitement ou toute autre personne concernée dispose ou disposera de moyen «susceptibles d’être raisonnablement mis en œuvre» pour identifier la personne concernée.

En réalité, prétendre que les personnes physiques ne sont pas identifiables alors que la finalité du traitement est précisément de les identifier serait une contradiction absolue in terminis. Il est dès lors essentiel de considérer ces informations comme concernant des personnes physiques identifiables et d’appliquer les règles de protection des données à leur traitement.

[1] CJUE Arrêt du 6 novembre 2003 dans l’affaire C-101/2001 (Lindqvist), point 98

[2] CJUE Arrêt du 6 novembre 2003 dans l’affaire C-101/2001 (Lindqvist), point 27.

Le champ d’application matériel de la loi informatique et libertés

L’article 2, al. 1er de la loi informatique et libertés dispose que « la présente loi s’applique aux traitements automatisés de données à caractère personnel, ainsi qu’aux traitements non automatisés de données à caractère personnel contenues ou appelées à figurer dans des fichiers, à l’exception des traitements mis en œuvre pour l’exercice d’activités exclusivement personnelles, lorsque leur responsable remplit les conditions prévues à l’article 5 »

Il ressort de cette disposition que le champ d’application de la loi informatique et libertés est gouverné par un principe que l’on a assorti d’une exception.

§1 : Le principe

En application de l’article 2 de la loi informatique et libertés, ce texte, tel que modifié par les lois du 6 août 2004 et du 20 juin 2018, a vocation à s’appliquer « aux traitements automatisés en tout ou partie de données à caractère personnel, ainsi qu’aux traitements non automatisés de données à caractère personnel contenues ou appelées à figurer dans des fichiers ».

Cette disposition reprend, dans les mêmes termes, l’article 2 du RGPD.

Il ressort de ce texte que plusieurs conditions doivent être réunies pour que la loi informatique et liberté soit applicable :

  • L’objet du traitement
    • Pour que la loi informatique et libertés s’applique, le traitement doit porter sur des données à caractère personnel, définies à l’alinéa 2 de l’article 2 de ladite loi.
    • Aux termes de cette disposition, « constitue une donnée à caractère personnel toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, par référence à un numéro d’identification ou à un ou plusieurs éléments qui lui sont propres. »
    • Cette disposition précise que « pour déterminer si une personne est identifiable, il convient de considérer l’ensemble des moyens en vue de permettre son identification dont dispose ou auxquels peut avoir accès le responsable du traitement ou toute autre personne. »
    • Dans l’hypothèse où la donnée traitée ne répond pas aux critères ci-dessus énoncés, le traitement dont elle fait l’objet n’entre pas dans le champ d’application de la loi informatique et libertés.
    • Il en résulte qu’aucune obligation de déclaration ne pèse sur l’auteur du traitement.
  • L’auteur du traitement
    • Il est indifférent que l’auteur du traitement soit une personne morale ou physique, publique ou privée.
    • La loi ne distingue pas ; elle vise tous les traitements de données.
    • C’est donc un critère matériel qui a été retenu et non organique.
    • Dès lors que le traitement porte sur des données à caractère personnel, la loi informatique et libertés à vocation à s’appliquer.
  • Les modalités du traitement
    • Le texte prévoit que, tant les traitements automatisés, que les traitements manuels relèvent du champ d’application de la loi informatique et libertés.
    • Ainsi, il importe peu que le traitement soit automatisé.
    • Reste que les données doivent avoir vocation à être contenue dans un fichier
      • Indifférence de l’automatisation du traitement
        • Cette précision vise à éviter de créer un risque grave de contournement.
        • Selon le RGPD, la mesure où la protection des personnes physiques devrait, en effet, être neutre sur le plan technologique et ne devrait pas dépendre des techniques utilisées.
        • C’est la raison pour laquelle, la loi informatique et libertés doit s’appliquer, tout autant aux traitements de données à caractère personnel à l’aide de procédés automatisés, qu’aux traitements manuels.
        • La question qui alors se pose est de savoir ce que l’on doit entendre par traitement automatisé
        • Aux termes de l’article 2 de la loi informatique et libertés « constitue un traitement de données à caractère personnel toute opération ou tout ensemble d’opérations portant sur de telles données, quel que soit le procédé utilisé, et notamment la collecte, l’enregistrement, l’organisation, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, ainsi que le verrouillage, l’effacement ou la destruction»
      • Exigence de constitution d’un fichier
        • Pour que le traitement de données à caractère personnel soit soumis aux dispositions de la loi informatique et libertés il doit donner lieu à la constitution d’un fichier.
        • Au sens de l’article 2 de la loi informatique et libertés « constitue un fichier de données à caractère personnel tout ensemble structuré et stable de données à caractère personnel accessibles selon des critères déterminés, que cet ensemble soit centralisé, décentralisé ou réparti de manière fonctionnelle ou géographique.»
        • Dès lors, que les données collectées ont vocation à être triées, classées et structurées, on considère que la condition tenant à la constitution d’un fichier est remplie.

§2 : Les exceptions

Plusieurs exceptions ont été prévues par le législateur à l’application de la loi informatique et libertés :

  • Les traitements de données à des fins exclusivement personnelles
  • Les traitements de données consistant en des copies temporaires
  • Les traitements de données portant sur des activités ne relevant pas de la compétence de l’Union européenne

A) L’exclusion des traitements de données à des fins exclusivement personnelles

L’article 2 de la loi informatique et liberté exclut de son champ d’application les « traitements mis en œuvre pour l’exercice d’activités exclusivement personnelles, lorsque leur responsable remplit les conditions prévues à l’article ».

Le RGPD est venu conforter cette règle en prévoyant expressément qu’il n’avait pas vocation à s’appliquer aux traitements de données à caractère personnel effectués par une personne physique au cours d’activités strictement personnelles ou domestiques, et donc sans lien avec une activité professionnelle ou commerciale.

Au nombre de ces activités pourraient figurer des activités personnelles ou domestiques consistant en l’échange de correspondance, la tenue d’un carnet d’adresses, ou encore l’utilisation de réseaux sociaux et les activités en ligne qui ont lieu dans le cadre de ces activités.

Dans une délibération n° 2005-284 du 22 novembre 2005, la CNIL avait décidé en ce sens que n’étaient pas tenus à l’obligation de déclaration « les sites web diffusant ou collectant des données à caractère personnel mis en œuvre par des particuliers dans le cadre d’une activité exclusivement personnelle ».

À l’inverse, elle considère que « la diffusion et la collecte de données à caractère personnel opérée à partir d’un site web dans le cadre d’activités professionnelles, politiques, ou associatives restent soumises à l’accomplissement des formalités préalables prévues par la loi ».

À cet égard, le RGPD prévoit le règlement s’applique aux responsables du traitement ou aux sous-traitants qui fournissent les moyens de traiter des données à caractère personnel pour de telles activités personnelles ou domestiques.

En outre, les données collectées ne doivent concerner que la sphère privée de l’auteur du traitement.

C’est ainsi que dans un arrêt du 11 décembre 2014 la CJUE a jugé que « l’exploitation d’un système de caméra, donnant lieu à un enregistrement vidéo des personnes stocké dans un dispositif d’enregistrement continu tel qu’un disque dur, installé par une personne physique sur sa maison familiale afin de protéger les biens, la santé et la vie des propriétaires de la maison, ce système surveillant également l’espace public, ne constitue pas un traitement des données effectué pour l’exercice d’activités exclusivement personnelles ou domestiques, au sens de cette disposition. » (CJUE, 11 déc. 2014, aff. C-212/13).

B) L’exclusion des traitements de données consistant en des copies temporaires

Pour prendre en compte les spécificités d’Internet et des réseaux numériques, le législateur a souhaité exclure du champ d’application de la loi, en application de l’article 4 de la loi du 6 janvier 1978, les « copies temporaires qui sont faites dans le cadre des activités techniques de transmission et de fourniture d’accès à un réseau numérique, en vue du stockage automatique, intermédiaire et transitoire des données et à seule fin de permettre à d’autres destinataires du service le meilleur accès possible aux informations transmises ».

Cette dérogation, non prévue par le RGPD, vise en fait notamment le recours, par les fournisseurs d’accès, aux serveurs « proxys » -ou « mandataires »-, qui visent à économiser des capacités de communication sur le réseau, en mémorisant temporairement les adresses des internautes et les sites web consultés afin qu’il ne soit pas nécessaire d’accéder au serveur initial, parfois éloigné et distant, en cas de nouvelle requête.

Ces opérations d’optimisation et de régulation du trafic comportent nécessairement le stockage temporaire de données à caractère personnel, dont l’exclusion du champ d’application de la loi se justifie pleinement, puisqu’il ne comporte aucun danger pour les libertés personnelles des internautes, compte tenu de leur effacement rapide par les serveurs « proxys ».

C) Les traitements de données portant sur des activités ne relevant pas de la compétence de l’Union européenne

Le RGPD prévoit, dans son considérant 16, qu’il n’a pas vocation à s’appliquer à des questions de protection des libertés et droits fondamentaux ou de libre flux des données à caractère personnel concernant des activités qui ne relèvent pas du champ d’application du droit de l’Union, telles que les activités relatives à la sécurité nationale.

Il en va de même pour les activités ayant trait à la politique étrangère et de sécurité commune de l’Union.

De l’esprit de la loi informatique et libertés: l’article 1er

L’article 1er de la loi informatique et libertés prévoit que « l’informatique doit être au service de chaque citoyen. Son développement doit s’opérer dans le cadre de la coopération internationale. Elle ne doit porter atteinte ni à l’identité humaine, ni aux droits de l’homme, ni à la vie privée, ni aux libertés individuelles ou publiques.

Toute personne dispose du droit de décider et de contrôler les usages qui sont faits des données à caractère personnel la concernant, dans les conditions fixées par la présente loi».

En raison de la portée générale, sinon symbolique de cette disposition, elle occupe une place à part dans le corpus de la loi informatique et libertés. Et pour cause, elle en exprime l’esprit ; elle est son réceptacle.

À cet égard, l’article 1er révèle, chez le législateur, à la fois l’espoir et l’inquiétude que le développement de l’informatique peut faire naître.

Il prescrit, en face d’un phénomène de société sans précédent, une attitude que les autorités publiques, en particulier la Commission Nationale de l’Informatique et des Libertés (CNIL), ont pour mission de faire respecter.

Aussi, cela leur impose-t-il d’être attentives aux évolutions, aux glissements de pouvoirs, aux centralisations excessives, dans tous les domaines sans exception, où l’informatique est utilisée.

Si l’on se focalise sur les termes de l’article qui introduit la loi informatique et libertés, trois enseignements majeurs peuvent en être tirés :

  • Le traitement des données à caractères personnels ne doit porter atteinte, ni à l’état des personnes, ni à leurs droits et libertés
  • Les individus jouissent d’un droit à l’autodétermination informationnelle
  • L’encadrement des traitements de données à caractère personnel doit s’opérer dans le cadre d’une coopération internationale

§1 : La protection de la personne humaine

L’article 1er de la loi informatique et libertés dispose que l’informatique « ne doit porter atteinte ni à l’identité humaine, ni aux droits de l’homme, ni à la vie privée, ni aux libertés individuelles ou publiques. »

La lecture de cette disposition révèle que la volonté du législateur a été de conférer une protection des plus larges aux personnes, en ce sens qu’elle ne vise pas seulement à prévenir les atteintes susceptibles d’être portées à la vie privée.

Pour rappel, le droit à la vie privée a été consacré par la loi n° 70-643 du 17 juillet 1970 tendant à renforcer la garantie des droits individuels des citoyens.

Ce droit est énoncé à l’article 9 du Code civil qui dispose :

« Les juges peuvent, sans préjudice de la réparation du dommage subi, prescrire toutes mesures, telles que séquestre, saisie et autres, propres à empêcher ou faire cesser une atteinte à l’intimité de la vie privée : ces mesures peuvent, s’il y a urgence, être ordonnées en référé. »

Au vrai, si le législateur a entendu inclure dans le champ de la protection conférée par la loi informatique et libertés, l’identité humaine, les droits de l’Homme ainsi que les libertés publiques ou individuelles, c’est qu’il a estimé que le droit à la vie privé, fusse-t-il inséré dans le Code civil, était trop étroit.

Dès 1978, les parlementaires avaient bien conscience que les atteintes aux personnes engendrées par le traitement automatisé des données dépassaient le simple cadre de la vie privée.

De surcroît, le droit à la vie privée n’est reconnu par aucun texte à valeur constitutionnelle.

A) L’étroitesse du droit à la vie privée

Il est particulièrement frappant de constater que les normes constitutionnelles qui protègent les droits et libertés fondamentaux des individus ne mentionnent nulle part le droit de chacun au respect de sa vie privée et à la protection de ses données personnelles.

Ces droits ne sont inscrits, ni dans la Constitution du 4 octobre 1958, ni dans son préambule.

Ces droits sont seulement protégés par des dispositions de nature législative.

  • L’article 9 du Code civil énonce le droit au respect de la vie privée
  • Certaines dispositions pénales répriment les violations de l’intimité de la vie privée, notamment les articles 226-1, 226-2, 226-3, 226-4-1 ou 226-22 du code pénal.

C’est seulement par effet de la jurisprudence développée par le Conseil constitutionnel que ces droits ont été progressivement et partiellement reconnus.

Le Conseil constitutionnel a jugé, dans une décision du 23 juillet 1999 que la liberté proclamée par l’article 2 de la Déclaration des droits de l’homme et du citoyen de 1789 « implique le respect de la vie privée », principe qui figure au nombre des droits et libertés constitutionnellement garantis dont la mise en œuvre incombe à la fois au juge judiciaire et au juge administratif.

Le Conseil constitutionnel n’a, toutefois, tiré que très récemment les conséquences de ce droit en matière de protection des données personnelles, en jugeant à partir de 2012 que « la collecte, l’enregistrement, la conservation, la consultation et la communication de données à caractère personnel doivent être justifiés par un motif d’intérêt général et mis en œuvre de manière adéquate et proportionnée à cet objectif » (Décisions nos 2012-652 DC du 22 mars 2012).

Cette situation, qui démontre la relative obsolescence et l’inadaptation de notre corpus constitutionnel aux réalités de la société numérique, tranche également avec la reconnaissance dont ces droits ont fait l’objet en droit international.

Le principe du respect de la vie privée est explicitement affirmé et protégé par plusieurs instruments internationaux, parmi lesquels :

  • La Déclaration universelle des droits de l’homme du 10 décembre 1948
  • Le Pacte international relatif aux droits civils et politiques du 16 novembre 1966 (3), entré en vigueur le 23 mars 1976 et ratifié par la France le 4 novembre 1966
  • La Convention européenne de sauvegarde des droits de l’homme et des libertés fondamentales (CESDH) du 4 novembre 1950 (4), ratifiée par la France le 3 mai 1974.

Quant au droit à la protection des données à caractère personnel, il a notamment été consacré par la Convention du Conseil de l’Europe du 28 janvier 1981 pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel (6), dite « 108 ».

Fait notable, il est, depuis 2007, un droit fondamental dans l’ordre juridique de l’Union européenne, distinct du droit au respect de la vie privée.

L’article 8 de la Charte européenne des droits fondamentaux de l’Union européenne du 7 décembre 2000, à laquelle le traité de Lisbonne du 13 décembre 2007 a conféré valeur juridique contraignante, prévoit ainsi, distinctement de son article 7 relatif au respect de la vie privée, que :

  • Les données à caractère personnel doivent être traitées loyalement, à des fins déterminées et sur la base du consentement de la personne concernée ou en vertu d’un autre fondement légitime prévu par la loi
  • Toute personne a le droit d’accéder aux données collectées la concernant et d’en obtenir la rectification »
  • Le respect de ces règles est soumis au contrôle d’une autorité indépendante

Enfin, si la CESDH ne comporte pas d’article spécifiquement consacré à la protection des données personnelles, la CEDH protège expressément ce droit sur le fondement du droit au respect de la vie privée mentionné par l’article 8 de la Convention en jugeant que « la protection des données à caractère personnel joue un rôle fondamental pour l’exercice du droit au respect de la vie privée et familiale »[1].

Pour l’heure, la constitutionnalisation des droits au respect de la vie privée et à la protection des données à caractère personnel n’est toujours pas intervenue.

Pourtant, il a été proposé par Commission de réflexion et de propositions sur le droit et les libertés à l’âge numérique de consacrer explicitement et séparément dans la Constitution du 4 octobre 1958 les droits, d’une part, au respect de la vie privée, et, d’autre part, à la protection des données à caractère personnel.

Selon cette commission, la définition du droit au respect de la vie privée pourrait s’inspirer de la conception qu’en a développée jusqu’à ce jour le Conseil constitutionnel et la définition qu’en ont donné les normes et les juridictions communautaires et européennes.

Une telle consécration permettrait, pour ce qui concerne son volet numérique, de mieux protéger notamment le droit au secret des correspondances numériques et le droit à l’inviolabilité du domicile numérique face à certaines technologies intrusives.

La définition du droit à la protection des données personnelles pourrait pour sa part reprendre celle qu’en a donnée l’article 8 de la Charte européenne des droits fondamentaux de l’Union européenne, en parfaite cohérence avec les exigences posées par le droit communautaire dans ce domaine.

Sa consécration permettrait d’élever les conditions d’exploitation des données personnelles à l’ère numérique en soumettant leur traitement à l’exigence de loyauté et à l’existence de fins déterminées ainsi que d’un fondement légitime ou du consentement de l’intéressé.

Une telle consécration présenterait plusieurs avantages :

  • Tout d’abord, ainsi consacrés, ces droits se verraient érigés en exigences constitutionnelles de valeur équivalente à d’autres, comme la liberté d’entreprendre ou la liberté d’expression respectivement protégées par les articles 4 et 11 de la Déclaration des droits de l’homme et du citoyen de 1789, rendant plus aisée leur conciliation.
  • Par ailleurs, une telle consécration permettrait, comme suggéré par Isabelle Falque-Pierrotin, « d’afficher une protection du plus haut niveau dans ce domaine, ce qui serait très utile lors des négociations internationales» engagées au niveau de l’Union européenne et avec d’autres pays comme les États-Unis.
  • Enfin, elle rapprocherait la France des treize autres pays européens qui ont également procédé à la constitutionnalisation spécifique du droit à la protection des données à caractère personnel, en particulier l’Allemagne, l’Autriche, l’Espagne, la Grèce, la Hongrie, les Pays-Bas, le Portugal ou la Suède.

B) Une protection qui déborde le droit à la vie privée

En désignant comme objet de la protection assurée par la loi informatique et libertés, l’identité humaine, les droits de l’homme ainsi que les libertés individuelles ou publiques, le législateur a, sans nul doute, souhaité garantir le respect de la personne humaine dans toutes ses composantes.

L’étendue de cette protection se retrouve notamment à l’article 1er de la Convention 108 du Conseil de l’Europe aux termes duquel :

« le but de la présente Convention est de garantir, sur le territoire de chaque Partie, à toute personne physique, quelles que soient sa nationalité ou sa résidence, le respect de ses droits et de ses libertés fondamentales, et notamment de son droit à la vie privée, à l’égard du traitement automatisé des données à caractère personnel la concernant ».

La Directive du 24 octobre 1995 abondait dans le même sens en prévoyant à son article 1er que :

« Les États membres assurent, conformément à la présente directive, la protection des libertés et droits fondamentaux des personnes physiques, notamment de leur vie privée, à l’égard du traitement des données à caractère personnel. »

Quant au Règlement général sur la protection des données, son article 2 dispose, sensiblement dans les mêmes termes, que :

« Le présent règlement protège les libertés et droits fondamentaux des personnes physiques, et en particulier leur droit à la protection des données à caractère personnel. »

Ainsi, la protection de la personne humaine contre le traitement des données à caractère personnel doit être envisagée à l’aune des droits et libertés qui lui sont conférées.

En écho à l’article 1er de la loi informatique et libertés, le considérant 2 du RGPD prévient que « le traitement des données à caractère personnel devrait être conçu pour servir l’humanité », raison pour laquelle « les principes et les règles régissant la protection des personnes physiques à l’égard du traitement des données à caractère personnel les concernant devraient, quelle que soit la nationalité ou la résidence de ces personnes physiques, respecter leurs libertés et droits fondamentaux »

Au nombre des textes qui énoncent, en droit interne, ces droits et libertés figurent la Déclaration des Droits de l’Homme et du Citoyen, complétée par le préambule de la Constitution de 1946, le tout étant visé par le préambule de la Constitution du 4 octobre 1958.

L’article 1er de la loi informatique et libertés doit, en sus, être interprétée à la lumière de la jurisprudence du Conseil constitutionnel et des juridictions de l’ordre judiciaire et administratif.

Au bilan, il apparaît que la protection de la personne humaine contre les atteintes susceptibles d’être engendrées par le traitement des données à caractère personnel est bien plus étendue que celle garantie par le droit à la vie privée.

§2 : Le droit à l’autodétermination informationnelle

L’alinéa 2 de l’article 1er de la loi informatique et liberté dispose que « toute personne dispose du droit de décider et de contrôler les usages qui sont faits des données à caractère personnel la concernant, dans les conditions fixées par la présente loi. »

Cet alinéa, qui ne figurait pas dans le texte initial, est issu de la loi n° 2016-1321 du 7 octobre 2016 pour une République numérique.

Pourquoi cette précision ? Son ajout procède d’une réflexion sur le rapport que les sujets de droit entretiennent avec leurs données à caractère personnel.

Comme relevé par la Commission de réflexion et de propositions sur le droit et les libertés à l’âge numérique la monétisation économique croissante dont font aujourd’hui l’objet les données personnelles a pu conduire certains à considérer que la protection de la vie privée à l’ère numérique serait mieux assurée par la reconnaissance d’un droit de propriété de l’individu sur ses données permettant de mieux concilier l’exigence de protection avec le souhait de nombreuses personnes de valoriser leurs informations personnelles, en échange d’une rémunération ou d’un service.

Cette position est, cependant, loin d’être partagée par tous. Comme l’a indiqué Isabelle Falque-Pierrotin une telle logique ferait perdre « des leviers d’action considérables sur lesdites données : étant propriétaire de ses données, l’individu pourrait les vendre, notamment à des acteurs étrangers. Or la grande supériorité intellectuelle du droit à la protection des données personnelles réside dans le fait qu’il reconnaît le droit d’un individu même si les données sont traitées par d’autres ».

Certes la reconnaissance d’un droit de propriété de l’individu sur ses données ne conduirait pas à une privatisation irréversible de ses informations personnelles et à la perte de tout contrôle sur leur devenir. Le droit de la propriété intellectuelle enseigne, dans d’autres domaines, qu’il est possible de ménager des outils d’inaliénabilité limitant la portée du droit de cession, ouvrant des possibilités de licence et, en définitive, modulant cette patrimonialisation.

Mais, ainsi que l’a souligné Maryvonne de Saint-Pulgent, présidente de la section du rapport et des études du Conseil d’État, il est incontestable qu’elle fragiliserait considérablement le cadre juridique qui régit aujourd’hui les conditions d’utilisation des données personnelles.

Elle se heurterait encore aux limites territoriales de la reconnaissance du droit de propriété, à l’heure où les grands responsables de traitements de données sont implantés à l’étranger.

Et « la reconnaissance de ce droit de propriété rendrait plus difficile l’action de l’État pour protéger les individus confrontés à de multiples pièges car toutes ses interventions pourraient alors être regardées comme portant atteinte à un droit de valeur constitutionnelle ».

Par ailleurs, il est défendu, à juste titre, que les principes actuels de la loi informatique et libertés permettent déjà une valorisation économique des données, en autorisant, sous certaines conditions, leur recueil, leur exploitation et leur conservation en échange de la délivrance de services ou de facilités.

Qui plus est, un droit de propriété individuel sur les données ne permettrait pas de rééquilibrer la relation asymétrique qui existe aujourd’hui entre les éditeurs de services numériques et les internautes, marquée par la très faible valeur accordée aux données d’un seul individu.

Il serait donc pour le moins paradoxal d’accorder un droit de propriété à des individus pris isolément alors que c’est la masse des données de plusieurs centaines d’individus qui constitue une valeur économique aux yeux des responsables de traitements.

Enfin, cette reconnaissance romprait avec l’approche généraliste et personnaliste de notre législation, qui considère la donnée personnelle comme le support indirect d’un droit fondamental et inaliénable reconnu à l’individu dont elle émane et non comme un objet économique.

En lieu et place d’une privatisation de ses données personnelles, le législateur a don décidé de procéder à une plus grande autonomisation de l’individu dans l’univers numérique, en lui permettant non plus seulement de bénéficier de droits à la protection mais aussi d’être maître de son épanouissement dans l’univers numérique.

Jusqu’alors, l’approche par l’autonomisation individuelle était relativement absente de la législation française, à la différence d’autres pays européens comme l’Allemagne dont la Cour constitutionnelle fédérale a dégagé, dès 1983, des principes de dignité de l’homme et de droit au libre développement de sa personnalité un droit à l’autodétermination informationnelle de l’individu.

Pour la Cour de Karlsruhe qui s’est exprimée dans un arrêt du 15 décembre 1983, « la Constitution [allemande] garantit en principe la capacité de l’individu à décider de la communication et de l’utilisation de ses données à caractère personnel » car s’il « ne sait pas prévoir avec suffisamment de certitude quelles informations le concernant sont connues du milieu social et à qui celles-ci pourraient être communiquées, sa liberté de faire des projets ou de décider sans être soumis à aucune pression est fortement limitée ». Pour elle, « l’autodétermination est une condition élémentaire fonctionnelle dans une société démocratique libre, basée sur la capacité des citoyens d’agir et de coopérer ».

Séduit par cette approche, le législateur français a manifestement estimé, en complétant l’article 1er de la loi informatique et libertés que l’individu devait pouvoir disposer de moyens plus importants pour assurer sa protection face aux risques soulevés par le numérique.

Pratiquement, cette consécration du droit à l’autodétermination informationnelle présente quatre avantages parfaitement résumés par le Conseil d’État :

  • elle donne sens à tous les autres droits relatifs à la protection des données à caractère personnel qui ne constitue pas un but en soi ;
  • alors que le droit à la protection des données peut être perçu comme un concept défensif, le droit à l’autodétermination lui donne un contenu positif à la fois plus efficace et plus conforme à la logique personnaliste et non patrimoniale qui a toujours prévalu en Europe en matière de protection des données ;
  • elle souligne que la législation relative à la protection des données protège non seulement l’individu mais aussi les intérêts collectivement défendus par la société tout entière ;
  • elle apparaît d’une grande ambition, au regard de la perte générale de maîtrise par les individus de leurs données dans un contexte où la donnée personnelle est de plus en plus traitée comme une marchandise.

§3 : L’exigence de coopération internationale

L’article 1er de la loi informatique et libertés prévoit que le développement de l’informatique « doit s’opérer dans le cadre de la coopération internationale ».

Cette précision fait écho au développement des flux transfrontaliers de données à caractère personnel.

La mondialisation, l’essor de l’Internet et l’effondrement des coûts des télécommunications augmentent, en effet, considérablement le volume des informations de caractère personnel qui franchissent les frontières.

Cet accroissement de la circulation transfrontière de l’information a des retombées positives tant pour les organisations que pour les personnes en abaissant les coûts, en induisant des gains d’efficience et en améliorant le service au client.

Dans le même temps, ces flux d’informations de caractère personnel accentuent les préoccupations pour la vie privée, en soulevant de nouveaux problèmes de protection des informations de caractère personnel des individus.

Lorsque des données de caractère personnel partent à l’étranger, le risque que les personnes perdent leur capacité d’exercer leurs droits à la vie privée, ou de se protéger contre l’utilisation ou la divulgation illicite de cette information, augmente. Dans le même temps, les autorités chargées de faire appliquer les lois sur la vie privée peuvent constater qu’elles sont dans l’incapacité de donner suite aux plaintes ou de procéder à des investigations en relation avec les activités d’organisations implantées à l’étranger.

Les efforts qu’elles déploient pour œuvrer ensemble dans un contexte transfrontière pourraient également être entravés par des pouvoirs insuffisants en matière de mesures préventives ou correctives, par des disparités dans les régimes juridiques et par des obstacles pratiques comme des contraintes de ressources.

Dans ce contexte, un consensus s’est dessiné sur la nécessité de promouvoir une coopération plus étroite entre les autorités chargées de faire appliquer la législation sur la vie privée, afin de les aider à échanger des informations et procéder à des enquêtes avec leurs homologues à l’étranger.

L’importance de la coopération dans l’application des lois relatives à la protection de la vie privée est reconnue non seulement au sein de l’OCDE, mais aussi dans d’autres enceintes, notamment la Conférence internationale des commissaires à la protection des données et à la vie privée, le Conseil de l’Europe, la Coopération économique AsiePacifique (APEC), ainsi que l’Union européenne et son groupe de protection des personnes à l’égard du traitement des données de caractère personnel (Groupe de travail « Article 29 »).

De fait, les instruments régionaux et autres mécanismes moins formels destinés à faciliter la coopération transfrontière se multiplient. Cependant, aucun de ces instruments n’a de portée mondiale.

De fait, la nécessité d’un renforcement de la coopération dans l’application des lois est apparue pour la première fois dans les Lignes directrices de l’OCDE de 1980 régissant la protection de la vie privée et les flux transfrontières de données de caractère personnel (« Lignes directrices sur la vie privée »), rappelé dans la Déclaration ministérielle d’Ottawa de 1998 et souligné plus récemment en 2003 dans le rapport « Protection de la vie privée en ligne : orientations politiques et pratiques de l’OCDE ».

Bien que les Lignes directrices sur la vie privée servent de point de départ à l’initiative actuelle, l’environnement a changé.

Lorsque les Lignes directrices sur la vie privée ont été adoptées, environ un tiers seulement des pays Membres disposaient d’une législation sur la protection de la vie privée.

Aujourd’hui, la quasi-totalité des pays Membres de l’OCDE se sont dotés de lois protégeant la vie privée et ont mis en place des autorités ayant des pouvoirs pour les faire appliquer – signe que la protection de la vie privée et de la sécurité des informations personnelles est essentielle dans les sociétés démocratiques et concourt à la confiance des consommateurs sur les marchés tant intérieurs que mondiaux.

Pour toutes ces raisons, il est absolument nécessaire de satisfaire à cette exigence de coopération internationale, gravée dans le marbre de la loi informatique et libertés.

Pratiquement, afin d’élaborer des mécanismes de coopération internationale destinés à faciliter et à mettre en place une assistance mutuelle internationale pour faire appliquer les législations relatives à la protection des données à caractère personnel, il est un impératif que les autorités nationales puissent échanger des informations et coopérer dans le cadre d’activités liées à l’exercice de leurs compétences avec les autorités compétentes dans les pays tiers, sur une base réciproque.

Cette base réciproque est constituée notamment :

  • Des lignes directrices de l’OCDE
  • Des principes directeurs de l’ONU
  • De la convention STE 108
  • De la Convention européenne des droits de l’homme

[1] CEDH, 4 décembre 2008, S. et Marper c. Royaume-Uni, n° 30562/04 et 305566/04

Les sources du droit de la protection des données à caractère personnel

Section 1 : le droit international

§1 : Principes directeurs de l’ONU

Dans le cadre de sa résolution A/RES/45/95, l’Assemblée générale des Nations Unis a adopté, le 14 décembre 1990, des « principes directeurs pour la réglementation des fichiers personnels informatisés »

Ce texte envisage un certain nombre de garanties minimales qui doivent être prévues par les États membres, étant précisé que, contrairement aux décisions prises par le Conseil de sécurité, les résolutions adoptées par l’Assemblée générale des Nations Unis sont dépourvues de force contraignante.

Les principes directeurs énoncés par la résolution ainsi adoptée sont au nombre de 10 :

A) Champ d’application

Les présents principes s’appliquent :

  • D’une part, à tous les fichiers informatisés publics et privés et, par voie d’extension facultative et sous réserve des adaptations adéquates, aux fichiers traités manuellement.
  • D’autre part, si cela est expressément prévu par les législations nationales, aux fichiers de personnes morales, notamment lorsqu’ils contiennent pour partie des informations concernant des personnes physiques.

B) Principe de licéité et de loyauté

Les données concernant les personnes ne doivent pas être obtenues ou traitées à l’aide de procédés illicites ou déloyaux, ni utilisées à des fins contraires aux buts et aux principes de la Charte des Nations Unies.

C) Principe d’exactitude

Les personnes responsables de l’établissement d’un fichier ou celles responsables de leur mise en œuvre doivent être tenues de vérifier l’exactitude et la pertinence des données enregistrées et de veiller à ce qu’elles demeurent aussi complètes que possible pour éviter les erreurs par omission et qu’elles soient mises à jour, périodiquement ou lors de l’utilisation des informations contenues dans un dossier, tant qu’elles font l’objet d’un traitement.

D) Principe de finalité

La finalité en vue de laquelle est créé un fichier et son utilisation en fonction de cette finalité doivent être spécifiées, justifiées et, lors de sa mise en œuvre, faire l’objet d’une mesure de publicité ou être portées à la connaissance de la personne concernée, afin qu’il soit ultérieurement possible de vérifier :

  • Si toutes les données personnelles collectées et enregistrées restent pertinentes par rapport à la finalité poursuivie ;
  • Si aucune desdites données personnelles n’est utilisée ou divulguée, sauf accord de la personne concernée, à des fins incompatibles avec celles ainsi spécifiées ;
  • Si la durée de conservation des données personnelles n’excède pas celle permettant d’atteindre la finalité pour laquelle elles ont été enregistrées.

E) Principe de l’accès par les personnes concernées

Toute personne justifiant de son identité a le droit de savoir si des données la concernant font l’objet d’un traitement, d’en avoir communication sous une forme intelligible, sans délais ou frais excessifs, d’obtenir les rectifications ou destructions adéquates en cas d’enregistrements illicites, injustifiés ou inexacts, et, lorsqu’elles sont communiquées, d’en connaître les destinataires.

Une voie de recours doit être prévue, le cas échéant, auprès de l’autorité de contrôle prévue.

En cas de rectification, le coût devrait être à la charge du responsable du fichier.

Il est souhaitable que les dispositions de ce principe s’appliquent à toute personne, quelle que soit sa nationalité ou sa résidence.

F) Principe de non-discrimination

Sous réserve des cas de dérogations limitativement prévus sous le principe 6, les données pouvant engendrer une discrimination illégitime ou arbitraire, notamment les informations sur l’origine raciale ou ethnique, la couleur, la vie sexuelle, les opinions politiques, les convictions religieuses, philosophiques ou autres, ainsi que l’appartenance à une association ou un syndicat, ne doivent pas être collectées.

G) Faculté de dérogation

Deux catégories de dérogations doivent être distinguées :

  • Les dérogations relatives aux principes de licéité et de loyauté, d’exactitude, de finalité et de libre accès peuvent faire l’objet de dérogations.
    • Ces dérogations peuvent être envisagées par les États à la double condition
      • D’une part, que ces dérogations soient nécessaires pour protéger la sécurité nationale, l’ordre public, la santé ou la moralité publique ainsi que, notamment, les droits et libertés d’autrui, spécialement de personnes persécutées (clause humanitaire)
      • D’autre part, que ces dérogations soient expressément prévues par la loi ou par une réglementation équivalente prise en conformité avec le système juridique interne qui en fixe expressément les limites et édicte des garanties appropriées.
  • Les dérogations relatives au principe de la prohibition de la discrimination
    • Outre qu’elles doivent être soumises aux mêmes garanties que celles prévues pour les dérogations précédentes, elles ne peuvent être autorisées que dans les limites prévues par la Charte internationale des droits de l’homme et les autres instruments pertinents dans le domaine de la protection des droits de l’homme et de la lutte contre les discriminations.

H) Principe de sécurité

Des mesures appropriées doivent être prises pour protéger les fichiers tant contre les risques naturels, tels que la perte accidentelle ou la destruction par sinistre, que les risques humains, tels que l’accès non autorisé, l’utilisation détournée de données ou la contamination par des virus informatiques.

I) Contrôle et sanctions

Chaque législation doit désigner l’autorité qui, en conformité avec le système juridique interne, est chargée de contrôler le respect des principes précités.

Cette autorité doit présenter des garanties d’impartialité, d’indépendance à l’égard des personnes ou organismes responsables des traitements et de leur mise en œuvre, et de compétence technique.

En cas de violation des dispositions de la loi interne mettant en œuvre les principes précités, des sanctions pénales ou autres doivent être prévues ainsi que des recours individuels appropriés.

J) Flux transfrontières de données

Lorsque la législation de deux ou plusieurs pays, concernés par un flux transfrontière de données, présente des garanties comparables au regard de la protection de la vie privée, les informations doivent pouvoir circuler aussi librement qu’à l’intérieur de chacun des territoires concernés.

En l’absence de garanties comparables, des limitations à cette circulation ne peuvent être imposées indûment et seulement dans la stricte mesure où la protection de la vie privée l’exige.

§2 : Les lignes directrices de l’OCDE

A) Ratio legis

Par décision du 23 septembre 1980, l’Organisation de Coopération et de Développement Économiques (OCDE) a adopté des lignes directrices régissant la protection de la vie privée et les flux transfrontières de données de caractère personnel.

Les États membre de cette organisation internationale sont partis du constat, dès 1980, que le traitement automatique de l’information, qui permet de transmettre de vastes quantités de données en quelques secondes à travers les frontières nationales et même à travers les continents tendait à se généraliser et à prendre un essor qui n’aurait de cesse de s’accroître.

Il a encore été relevé que, en réaction, des législations relatives à la protection de la vie privée ont été adoptées en vue de prévenir des actes considérés comme constituant des violations des droits fondamentaux de l’homme, tels que le stockage illicite de données de caractère personnel qui sont inexactes, l’utilisation abusive ou la divulgation non autorisée de ces données.

L’OCDE y a vu le risque que des disparités se créent dans les législations nationales et qu’elles entravent la libre circulation des données de caractère personnel à travers les frontières.

Des restrictions imposées à ces flux pourraient, en effet, entraîner de graves perturbations dans d’importants secteurs de l’économie, tels que la banque et les assurances.

C’est pourquoi, les pays Membres de l’OCDE ont jugé nécessaire d’élaborer des lignes directrices qui permettraient d’harmoniser les législations nationales relatives à la protection de la vie privée et qui, tout en contribuant au maintien de ces droits de l’homme, empêcheraient que les flux internationaux de données ne subissent des interruptions.

Ces lignes directrices sont l’expression d’un consensus sur des principes fondamentaux qui peuvent être intégrés à la législation nationale en vigueur ou servir de base à une législation dans les pays qui ne sont pas encore dotés.

B) Énoncé des principes

Deux catégories de principes sont envisagées par les Lignes directrices de l’OCDE

?Les principes fondamentaux applicables au plan national

  • Principe de la limitation en matière de collecte
    • Il convient d’assigner des limites à la collecte des données de caractère personnel et toute donnée de ce type devrait être obtenue par des moyens licites et loyaux et, le cas échéant, après en avoir informé la personne concernée ou avec son consentement.
  • Principe de la qualité des données
    • Les données de caractère personnel doivent être pertinentes par rapport aux finalités en vue desquelles elles doivent être utilisées et, dans la mesure où ces finalités l’exigent, elles doivent être exactes, complètes et tenues à jour.
  • Principe de la spécification des finalités
    • Les finalités en vue desquelles les données de caractère personnel sont collectées doivent être déterminées au plus tard au moment de la collecte des données et lesdites données ne doivent être utilisées par la suite que pour atteindre ces finalités ou d’autres qui ne soient pas incompatibles avec les précédentes et qui seraient déterminées dès lors qu’elles seraient modifiées.
  • Principe de la limitation de l’utilisation
    • Les données de caractère personnel ne doivent pas être divulguées, ni fournies, ni utilisées à des fins autres que celles spécifiées conformément au paragraphe 9, si ce n’est :
      • Avec le consentement de la personne concernée
      • Lorsqu’une règle de droit le permet.
  • Principe des garanties de sécurité
    • Il convient de protéger les données de caractère personnel, grâce à des garanties de sécurité raisonnables, contre des risques tels que la perte des données ou leur accès, destruction, utilisation, ou divulgation non autorisés.
  • Principe de la transparence
    • Il convient d’assurer, d’une façon générale, la transparence des progrès, pratiques et politiques, ayant trait aux données de caractère personnel.
    • Il doit être possible de se procurer aisément les moyens de déterminer l’existence et la nature des données de caractère personnel, et les finalités principales de leur utilisation, de même que l’identité du maître du fichier et le siège habituel de ses activités.
  • Principe de la participation individuelle
    • Toute personne physique doit avoir le droit :
      • D’obtenir du maître d’un fichier, ou par d’autres voies, confirmation du fait que le maître du fichier détient ou non des données la concernant ;
      • De se faire communiquer les données la concernant :
        • Dans un délai raisonnable ;
        • Moyennant, éventuellement, une redevance modérée ;
        • Selon des modalités raisonnables ;
        • Sous une forme qui lui soit aisément intelligible ;
      • D’être informée des raisons pour lesquelles une demande quelle aurait présentée est rejetée et de pouvoir contester un tel rejet,
      • De contester les données la concernant et, si la contestation est fondée, de les faire effacer, rectifier, compléter ou corriger.
  • Principe de la responsabilité
    • Tout maître de fichier devrait être responsable du respect des mesures donnant effet aux principes énoncés ci-dessus.

? Les principes fondamentaux applicables au plan international

  • Libre circulation
    • Les pays Membres doivent prendre en considération les conséquences pour d’autres pays Membres d’un traitement effectué sur leur propre territoire et de la réexportation des données de caractère personnel
    • Les pays Membres doivent prendre toutes les mesures raisonnables et appropriées pour assurer que les flux transfrontières de données de caractère personnel, et notamment le transit par un pays Membre, aient lieu sans interruption et en toute sécurité.
    • Un pays Membre doit s’abstenir de limiter les flux transfrontières de données de caractère personnel entre son territoire et celui d’un autre pays Membre, sauf lorsqu’un ce dernier ne se conforme pas encore pour l’essentiel aux Lignes directrices ou lorsque la réexportation desdites données permettrait de contourner sa législation interne sur la protection de la vie privée et des libertés individuelles.
  • Restrictions légitimes
    • Un pays Membre peut imposer des restrictions à l’égard de certaines catégories de données de caractère personnel pour lesquelles sa législation interne sur la protection de la vie privée et les libertés individuelles prévoit des réglementations spécifiques en raison de la nature de ces données et pour lesquelles l’autre pays Membre ne prévoit pas de protection équivalente.
    • Les pays Membres doivent néanmoins éviter d’élaborer des lois, des politiques et des procédures, qui, sous couvert de la protection de la vie privée et des libertés individuelles, créeraient des obstacles à la circulation transfrontière des données de caractère personnel qui iraient au-delà des exigences propres à cette protection.

§3 : La convention STE 108

?Adoption de la convention

Les pays membres du Conseil de l’Europe ont adopté le 28 janvier 1981 la Convention pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel, dite Convention STE 108.

Cette convention fut, indéniablement, le premier instrument international juridique contraignant dans le domaine de la protection des données.

Il a été convenu, entre ses signataires, qu’ils devaient prendre toutes les mesures nécessaires en droit interne pour en appliquer les principes afin d’assurer, sur leur territoire, le respect des droits fondamentaux de la personne humaine au regard de l’application de la protection des données.

Concrètement, le but poursuivi par la Convention STE 108 est de garantir, sur le territoire des États membres, à toute personne physique, quelles que soient sa nationalité ou sa résidence, le respect de ses droits et de ses libertés fondamentales, et notamment de son droit à la vie privée, à l’égard du traitement automatisé des données à caractère personnel la concernant.

?Applicabilité directe

Dans un arrêt du 18 novembre 1992, la Conseil d’État a reconnu l’applicabilité directe de la Convention STE 108 (CE, 18 nov. 1992, n° 115367)

?Évolution de la convention

  • Amendements à la Convention 108 permettant l’adhésion des Communautés Européennes
    • Le Comité des Ministres du Conseil de l’Europe a adopté, le 15 juin 1999, des amendements permettant l’adhésion des Communautés Européennes à la Convention
    • L’adhésion des Communautés correspondait à la volonté de l’Union européenne de renforcer la coopération avec le Conseil de l’Europe et de contribuer au renforcement d’un large forum international en matière de protection des données, notamment à l’égard des pays tiers.
    • Selon le texte initial, seuls les États pouvaient en devenir Parties.
    • C’est la raison pour laquelle il a été nécessaire de procéder par voie d’amendements
  • Protocole additionnel à la Convention 108 sur les autorités de contrôle et les flux transfrontières de données (STE N°181)
    • Le Protocole additionnel, ouvert à la signature le 8 novembre 2001 à Strasbourg, exige des parties la mise en place des autorités de contrôle, exerçant leurs fonctions en parfaite indépendance, et qui sont un élément de la protection effective des individus au regard du traitement des données personnelles.
    • Avec l’accroissement des échanges de données personnelles à travers les frontières nationales, il est nécessaire d’assurer la protection effective des droits de l’homme et des libertés fondamentales, et en particulier du droit à la vie privée par rapport à de tels échanges de données personnelles.
    • Ce texte renforce la protection des données personnelles et de la vie privée, en complétant la Convention de 1981 (STE n° 108) sur deux points.
      • Premier point
        • Il prévoit tout d’abord l’établissement d’autorités de contrôle chargées d’assurer le respect des lois ou règlements introduits par les États en application de la Convention concernant la protection des données personnelles et les flux transfrontières de données.
      • Second point
        • Il prévoit que les flux transfrontières de données vers des pays tiers ne peuvent être transférées que si elles bénéficient dans l’État ou l’organisation internationale destinataire, d’un niveau de protection adéquat.

?Contenu de la convention

Plusieurs principes ont été posés dans la Convention STE n°108:

  • Sur la qualité des données
    • Les données à caractère personnel faisant l’objet d’un traitement automatisé sont :
      • Obtenues et traitées loyalement et licitement ;
      • Enregistrées pour des finalités déterminées et légitimes et ne sont pas utilisées de manière incompatible avec ces finalités ;
      • Adéquates, pertinentes et non excessives par rapport aux finalités pour lesquelles elles sont enregistrées ;
      • Exactes et si nécessaire mises à jour ;
      • Conservées sous une forme permettant l’identification des personnes concernées pendant une durée n’excédant pas celle nécessaire aux finalités pour lesquelles elles sont enregistrées.
  • Sur les catégories particulières de données
    • Les données à caractère personnel révélant l’origine raciale, les opinions politiques, les convictions religieuses ou autres convictions, ainsi que les données à caractère personnel relatives à la santé ou à la vie sexuelle, ne peuvent être traitées automatiquement à moins que le droit interne ne prévoie des garanties appropriées.
    • Il en est de même des données à caractère personnel concernant des condamnations pénales.
  • Sur la sécurité des données
    • Des mesures de sécurité appropriées sont prises pour la protection des données à caractère personnel enregistrées dans des fichiers automatisés contre la destruction accidentelle ou non autorisée, ou la perte accidentelle, ainsi que contre l’accès, la modification ou la diffusion non autorisés.
  • Sur les droits d’accès et de rectification
    • Toute personne doit pouvoir :
      • Connaître l’existence d’un fichier automatisé de données à caractère personnel, ses finalités principales, ainsi que l’identité et la résidence habituelle ou le principal établissement du maître du fichier ;
      • Obtenir à des intervalles raisonnables et sans délais ou frais excessifs la confirmation de l’existence ou non dans le fichier automatisé, de données à caractère personnel la concernant ainsi que la communication de ces données sous une forme intelligible ;
      • Obtenir, le cas échéant, la rectification de ces données ou leur effacement lorsqu’elles ont été traitées en violation des dispositions du droit interne donnant effet aux principes de base énoncés dans les articles 5 et 6 de la présente Convention ;
      • Disposer d’un recours s’il n’est pas donné suite à une demande de confirmation ou, le cas échéant, de communication, de rectification ou d’effacement, visée aux paragraphes b et c du présent article.

§4 : La Convention européenne des droits de l’homme

A) Le silence du texte

La Convention de sauvegarde des droits de l’homme et des libertés fondamentales ne comporte aucune stipulation relative à la protection des données à caractère personnel.

Ce silence du texte n’a, toutefois, pas empêché la Cour européenne des droits de l’homme de veiller à garantir aux ressortissants des États membres une protection à l’égard des traitements automatisés de données à caractère personnel.

Pour ce faire, elle se fonde essentielle sur l’article 8 de la Convention relatif au respect de la vie privée et familiale

Aux termes de cette disposition « toute personne a droit au respect de sa vie privée et familiale, de son domicile et de sa correspondance »

Dans un arrêt du 7 août 1997, la Cour européenne des droits de l’homme a affirmé que « la protection des données à caractère personnel […] revêt une importance fondamentale pour l’exercice du droit au respect de la vie privée et familiale garanti par l’article 8 de la Convention » (CEDH, 27 août 1997, aff. 20837/92,  M. S. c/ Suède)

Encore, dans un arrêt du 4 décembre 2008, elle a précisé que « la protection des données à caractère personnel joue un rôle fondamental pour l’exercice du droit au respect de la vie privée et familiale consacré par l’article 8. La législation interne doit donc ménager des garanties appropriées pour empêcher toute utilisation de données à caractère personnel qui ne serait pas conforme aux garanties prévues dans cet article (…). La nécessité de disposer de telles garanties se fait d’autant plus sentir lorsqu’il s’agit de protéger les données à caractère personnel soumises à un traitement automatique, en particulier lorsque ces données sont utilisées à des fins policières. Le droit interne doit notamment assurer que ces données soient pertinentes et non excessives par rapport aux finalités pour lesquelles elles sont enregistrées, et qu’elles soient conservées sous une forme permettant l’identification des personnes concernées pendant une durée n’excédant pas celle nécessaire aux finalités pour lesquelles elles sont enregistrées (…). [Il] doit aussi contenir des garanties de nature à protéger efficacement les données à caractère personnel enregistrées contre les usages impropres et abusifs (…) » (CEDH, 4 déc. 1997, aff. 30562/04 S. et Marper c/ Royaume-Uni).

B) La jurisprudence

?Aff. Klass et autres c. Allemagne – 6 septembre 1978

  • Les faits
    • Dans cette affaire, les requérants, cinq avocats allemands, dénonçaient en particulier la législation allemande qui permettait aux autorités de surveiller leur correspondance et leurs communications téléphoniques sans qu’elles aient l’obligation de les informer ultérieurement des mesures prises contre eux.
  • Décision
    • La Cour a conclu à la non-violation de l’article 8 de la Convention, jugeant que le législateur allemand était fondé à considérer l’ingérence résultant de la législation litigieuse dans l’exercice du droit consacré par l’article 8 § 1 comme nécessaire, dans une société démocratique, à la sécurité nationale, la défense de l’ordre et la prévention des infractions pénales (article 8 § 2).
    • La Cour a observé en particulier que le pouvoir de surveiller en secret les citoyens, caractéristique de l’État policier, n’était tolérable d’après la Convention que dans la mesure strictement nécessaire à la sauvegarde des institutions démocratiques.
    • Constatant toutefois que les sociétés démocratiques se trouvent menacées de nos jours par des formes très complexes d’espionnage et par le terrorisme, de sorte que l’État doit être capable, pour combattre efficacement ces menaces, de surveiller en secret les éléments subversifs opérant sur son territoire, elle a estimé que l’existence de dispositions législatives accordant des pouvoirs de surveillance secrète de la correspondance, des envois postaux et des télécommunications était, devant une situation exceptionnelle, nécessaire dans une société démocratique à la sécurité nationale et/ou à la défense de l’ordre et à la prévention des infractions pénales.

?Aff. Rotaru c. Roumanie – 4 mai 2000

  • Faits
    • Le requérant se plaignait de l’impossibilité de réfuter les données, selon lui contraires à la réalité, détenues dans un dossier à son sujet par le Service roumain des renseignements (SRI).
    • L’intéressé avait été condamné en 1948 à une peine d’emprisonnement d’un an pour avoir exprimé des opinions critiques à l’égard du régime communiste.
  • Décision
    • La Cour a conclu à la violation de l’article 8 de la Convention, jugeant que la détention et l’utilisation par le SRI d’informations sur la vie privée du requérant n’étaient pas prévues par la loi.
    • La Cour a observé en particulier que des données de nature publique peuvent relever de la vie privée lorsqu’elles sont, d’une manière systématique, recueillies et mémorisées dans des fichiers tenus par les pouvoirs publics.
    • Cela vaut davantage encore lorsque ces données concernent le passé lointain d’une personne.
    • Elle a ensuite relevé qu’aucune disposition de droit interne ne définissait ni le genre d’informations pouvant être consignées, ni les catégories de personnes susceptibles de faire l’objet des mesures de surveillance telles que la collecte et la conservation de données, ni les circonstances dans lesquelles pouvaient être prises ces mesures, ni la procédure à suivre.
    • De même, la loi ne fixait pas de limites quant à l’ancienneté des informations détenues et la durée de leur conservation. Enfin, il n’existait aucune disposition explicite et détaillée de droit interne sur les personnes autorisées à consulter les dossiers, la nature de ces derniers, la procédure à suivre et l’usage qui pouvait être donné aux informations ainsi obtenues.
    • Dès lors, la Cour la Cour a estimé que le droit roumain n’indiquait pas avec assez de clarté l’étendue et les modalités d’exercice du pouvoir d’appréciation des autorités dans le domaine considéré.
    • La Cour a également conclu dans cette affaire à la violation de l’article 13 (droit à un recours effectif) de la Convention, en raison de l’impossibilité pour le requérant de contester sa détention ou de réfuter la véracité des renseignements en question.

?Aff. Gaskin c. Royaume-Uni – 7 juillet 1989

  • Faits
    • Le requérant, pris en charge par les services sociaux pendant son enfance, chercha à connaître son passé à sa majorité pour surmonter ses problèmes personnels.
    • L’accès à son dossier lui fut refusé au motif qu’il contenait des informations confidentielles.
  • Décision
    • La Cour a conclu à la violation de l’article 8 de la Convention, jugeant que les procédures suivies n’avaient pas assuré à la vie privée et familiale du requérant le respect voulu par cet article.
    • Elle a observé en particulier que les personnes se trouvant dans la situation du requérant ont un intérêt primordial, protégé par la Convention, à recevoir les renseignements nécessaires pour connaître et comprendre leur enfance et leurs années de formation.
    • Cependant, le caractère confidentiel des dossiers officiels revêt de l’importance si l’on souhaite recueillir des informations objectives et dignes de foi et peut être nécessaire pour préserver des tiers.
    • Sous ce dernier aspect, un système subordonnant l’accès aux dossiers à l’acceptation des informateurs, comme alors au Royaume-Uni, peut en principe être tenu pour compatible avec l’article 8, eu égard à la marge d’appréciation de l’État.
    • La Cour a toutefois estimé qu’un tel système doit sauvegarder, quand un informateur n’est pas disponible ou refuse abusivement son accord, les intérêts de quiconque cherche à consulter des pièces relatives à sa vie privée et familiale et qu’il ne cadre avec le principe de proportionnalité que s’il charge un organe indépendant, au cas où un informateur ne répond pas ou ne donne pas son consentement, de prendre la décision finale sur l’accès.
    • Or, il n’en allait pas ainsi en l’espèce.

?Aff. Perry c. Royaume-Uni – 17 juillet 2003

  • Faits
    • Le requérant fut arrêté après qu’eut été commise une série de vols à main armée sur la personne de chauffeurs de taxi, puis relâché en attendant que se tienne une séance d’identification.
    • Comme il ne s’était pas présenté à la séance prévue ni à plusieurs autres séances ultérieures, la police sollicita l’autorisation de le filmer en secret avec une caméra vidéo. Le requérant se plaignait que la police l’avait filmé en secret en vue de l’identifier puis avait utilisé le film vidéo dans le cadre des poursuites dirigées contre lui.
  • Décision
    • La Cour a conclu à la violation de l’article 8 de la Convention.
    • Elle a relevé que rien n’indiquait que le requérant s’attendait à ce qu’on le filme au poste de police à des fins d’identification au moyen d’un enregistrement vidéo ni à ce que le film soit éventuellement utilisé comme preuve à charge lors de son procès.
    • Le stratagème adopté par la police avait outrepassé l’utilisation normale de ce type de caméra et constitué une ingérence dans l’exercice par le requérant de son droit au respect de sa vie privée.
    • Cette ingérence n’était par ailleurs pas prévue par la loi, la police n’ayant pas respecté les procédures énoncées par le code applicable : elle n’avait pas obtenu le consentement du requérant, ne l’avait pas averti de l’enregistrement vidéo et, de surcroît, ne l’avait pas informé de ses droits à cet égard.

?Aff. Z. c. Finlande – 25 février 1997

  • Faits
    • Cette affaire concernait la révélation de la séroposivité de la requérante au cours d’une procédure pénale dirigée contre son mari.
  • Décision
    • La Cour a conclu à la violation de l’article 8 de la Convention, jugeant que la divulgation de l’identité et de la séropositivité de la requérante dans le texte de l’arrêt de la cour d’appel communiqué à la presse ne se justifiait pas par quelque motif impérieux que ce soit et que la publication de ces informations avait dès lors porté atteinte au droit au respect de la vie privée et familiale de la requérante.
    • La Cour a observé en particulier que le respect du caractère confidentiel des informations sur la santé constitue un principe essentiel du système juridique de toutes les Parties contractantes à la Convention et est capital non seulement pour protéger la vie privée des malades mais également pour préserver leur confiance dans le corps médical et les services de santé en général.
    • La législation interne doit donc ménager des garanties appropriées pour empêcher toute communication ou divulgation de données à caractère personnel relatives à la santé qui ne serait pas conforme aux garanties prévues à l’article 8 de la Convention.

Section 2 : Le droit de l’Union européenne

§1 : La directive du 24 octobre 1995

A) La genèse de la directive

Par l’adoption de directive 95/46 CE du 24 octobre 1995, l’Union européenne s’est, pour la première fois, dotée d’un cadre commun de protection des personnes physiques à l’égard des traitements de données à caractère personnel.

?Compétence matérielle

Il peut être observé que, lors des travaux législatifs, la question de la compétence de la Communauté européenne pour légiférer dans cette matière s’est posée, la protection des libertés et de la vie privée étant exclue de son champ de compétence.

Néanmoins, la Commission des Communautés européennes a considéré qu’il s’agissait principalement d’établir la libre circulation des données à caractère personnel, considérées comme des marchandises, ce qui explique que la directive 95/46 CE soit une directive « marché intérieur ».

Sa négociation fut longue et difficile, s’agissant d’un problème de liberté opposant des cultures différentes.

?Socle de protection minimum

Le Conseil d’État s’est prononcé en assemblée générale par un avis du 10 juin 1999 invitant le Gouvernement à veiller à ce que la directive « ne contienne pas de dispositions qui conduiraient à priver des principes de valeur constitutionnelle de la protection que leur accorde la loi du 6 janvier 1978 actuellement en vigueur » afin de prévenir « tout risque d’inconstitutionnalité de la future loi assurant la transposition de cette directive » et énumérant certaines dispositions du projet susceptibles de conduire à une régression du niveau de protection.

En outre, le Parlement a adopté des résolutions sur ce projet en application de l’article 88-4 de la Constitution issu de la révision du 25 juin 1992.

L’Assemblée nationale a estimé dans une résolution du 25 juin 1993 que l’intervention de la Communauté européenne ne devait pas nuire au haut degré de protection dont devaient bénéficier les personnes, ni assimiler ces données à de simples marchandises.

Elle craignait également que les options très larges laissées aux États membres pour la transposition ne garantissent pas l’homogénéité de cette protection dans la Communauté européenne.

Elle demandait donc au Gouvernement :

  • D’une part, de subordonner son accord au maintien intégral du niveau de protection assuré par la loi du 6 janvier 1978
  • D’autre part, de prévenir le risque de divergences dangereuses au moment de la transposition de la directive par les États membres
  • Enfin, de garantir aux États membres le pouvoir d’interdire le transfert de données à caractère personnel vers des pays tiers n’assurant pas un niveau de protection adéquat, au besoin par l’instauration d’une procédure d’urgence.

Le Sénat a adopté une résolution le 7 juin 1994, par laquelle il observait que la référence à des articles du Traité de nature économique, appliquée en l’espèce au domaine des libertés publiques conduisait à une interprétation extensive des compétences de la Communauté, mais que cette intervention était justifiée. Il appelait en outre à une harmonisation préalable de leur législation par les États membres.

Ces recommandations ont été suivies dans une large mesure.

B) Le contenu de la directive

?Champ d’application

Tout d’abord, la directive ne s’applique qu’aux traitements relevant du champ de compétences de l’Union européenne, c’est-à-dire qu’elle exclut notamment les « traitements de souveraineté » (défense, sécurité publique, sûreté de l’État, droit pénal).

En revanche, son champ d’application est élargi puisqu’elle s’étend non seulement aux traitements automatisés, mais aussi aux fichiers manuels à l’expiration d’un délai de 12 ans à compter de son adoption, c’est-à-dire en octobre 2007.

Par ailleurs, elle couvre les sons et les images à l’exclusion des traitements de vidéosurveillance mis en œuvre à des fins de sécurité publique.

?Méthodologie

Selon l’article 189 du traité instituant la Communauté européenne, « la directive lie tout État membre quant aux résultats à atteindre, tout en laissant aux instances nationales la compétence quant à la forme et aux moyens ».

De surcroît, les directives de l’Union imposent généralement aux États la mise en œuvre de leurs dispositions dans des délais qu’elles déterminent : en l’espèce, l’article 32 de la directive 95/46 impliquait que « les États membres mettent en vigueur les dispositions législatives, réglementaires et administratives nécessaires pour se conformer à la présente directive au plus tard à l’issue d’une période de trois ans à compter de son adoption », soit le 24 octobre 1998.

Sans doute, la loi du 6 janvier 1978 constitue-t-elle, en quelque sorte, une « transposition anticipée » de la directive, puisque nombre de ses dispositions répondent aux exigences communautaires.

Toutefois, au-delà de principes communs, tels que la loyauté de la collecte des données, la protection des données dites sensibles, le principe de finalité des traitements ou le droit d’information, de rectification ou d’opposition des personnes, ainsi que la nécessité de l’existence d’une autorité de contrôle indépendante, des différences substantielles subsistent entre la loi du 6 janvier 1978 et la directive 95/46 qui requièrent, en conséquence, une modification de notre législation.

On remarquera, notamment, que la directive du 24 octobre 1995 retient une démarche particulière, en quatre étapes :

Elle s’attache à définir :

  • En premier lieu, les conditions générales de licéité des traitements
  • En deuxième lieu, les droits fondamentaux des personnes concernées
  • En troisième lieu, les restrictions qu’il est possible de leur apporter
  • En quatrième lieu, les procédures et les recours destinés à assurer la régularité des traitements de données à caractère personnel.

Cette organisation tient à la primauté accordée par la directive aux principes de fond sur les dispositions de forme, les États membres possédant davantage de marge de manœuvre pour transposer les secondes que les premières.

Or, tel n’est pas le choix fait par le législateur français qui a établi une distinction essentielle fondée sur la nature juridique du destinataire du traitement, dont il déduit la procédure et les règles de forme applicables.

?L’égalité de principe entre secteurs public et privé

Alors que la loi du 6 janvier 1978 retient un critère organique, la directive retient un critère matériel et soumet les traitements similaires de responsables publics et privés à une même procédure.

Ainsi, les traitements de données à caractère personnel, qu’ils soient privés ou publics, ne sont plus désormais soumis qu’à une obligation de déclaration préalable auprès de l’autorité de contrôle.

La distinction entre les régimes de la déclaration et de l’autorisation, qui subsiste, est donc désormais indépendante de la qualité du responsable.

On retrouve un tel précédent dans la loi informatique et libertés en matière de traitement de recherche dans le domaine de la santé et d’évaluation des pratiques de soins.

L’assimilation des deux secteurs ne sera néanmoins pas totale, puisque les traitements de souveraineté ne sont pas concernés par les dispositions de la directive, celle-ci ne s’appliquant qu’aux traitements relevant du champ de compétence de l’Union européenne.

?Le renforcement du contrôle a posteriori

L’article 20 de la directive indique que les États membres doivent préciser les traitements « susceptibles de présenter des risques particuliers au regard des droits et des libertés des personnes concernées et veillent à ce que ces traitements soient examinés avant leur mise en œuvre ».

À l’inverse, ceux qui « ne sont pas susceptibles de porter atteinte aux droits et libertés des personnes concernées » peuvent ne donner lieu qu’à une déclaration simplifiée ou même être exonérés de toute formalité.

Parallèlement à cette limitation des contrôles a priori, la directive invite à un recentrage des missions de la CNIL en direction du contrôle a posteriori.

L’article 28 de la directive relatif aux prérogatives de l’autorité de contrôle précise donc qu’elle doit disposer en particulier de pouvoirs d’investigations ou d’accès aux données ainsi que de pouvoirs « effectifs d’intervention » lui permettant le cas échéant d’ordonner le verrouillage, l’effacement ou la destruction des données.

Si la loi du 6 janvier 1978 comporte déjà des dispositions relatives aux pouvoirs de contrôle a posteriori de la CNIL (article 21), l’insuffisance des moyens de la CNIL et la relative indifférence des parquets et tribunaux face à une matière nouvelle et technique ont, dans les faits, largement relativisé sa portée.

?La reconnaissance de l’importance des flux internationaux de données à caractère personnel

Si la loi du 6 janvier 1978 évoque déjà la question de la circulation des données, elle ne distingue pas entre les transferts vers d’autres États membres de la Communauté européenne et ceux intervenant vers des États tiers.

Or, la mondialisation de la circulation des données a été démultipliée par l’apparition des nouvelles technologies de l’information et de la communication.

Dès son article premier, la directive affirme donc le principe de la libre circulation des données au sein des États membres de l’Union européenne.

En revanche, ne sont possibles les transferts vers des pays tiers que si ceux-ci assurent un niveau de protection adéquat. La directive prévoit des mécanismes communautaires permettant de l’évaluer (articles 25 et 26), ainsi que leur articulation avec les modalités d’intervention en la matière de l’autorité nationale de contrôle.

§2 : Le Règlement Général sur la Protection des Données (RGPD)

La directive 95/46/CE qui constitue l’instrument législatif central de la protection des données à caractère personnel en Europe, a posé un jalon dans l’histoire de la protection des données.

Ses objectifs, qui consistent à assurer le fonctionnement du marché unique et la protection effective des libertés et des droits fondamentaux des personnes physiques, demeurent d’actualité.

Mais elle a été adoptée il y a plus de 20 ans, soit à une époque où internet n’en était qu’à ses premiers balbutiements.

L’environnement numérique actuel et ses exigences font que les règles en vigueur ne présentent ni le degré d’harmonisation requis ni l’efficacité nécessaire pour garantir le droit à la protection des données à caractère personnel.

C’est dans ce contexte que la Commission européenne a proposé, le 25 janvier 2012, un règlement destiné à remplacer la directive 95/46/CE et qui instaure un cadre général de l’UE pour la protection des données.

La proposition de règlement modernise les principes de la directive de 1995 en les adaptant à l’ère numérique et en harmonisant la législation sur la protection des données en Europe.

La protection des données doit faire l’objet de règles strictes pour rétablir la confiance des personnes dans la manière dont leurs données à caractère personnel sont utilisées.

La proposition de règlement vise à renforcer les droits des personnes et le marché intérieur de l’UE, garantir un contrôle accru de l’application de la réglementation, simplifier les transferts internationaux de données à caractère personnel et instaurer des normes mondiales en matière de protection des données.

À l’issue de longues négociations, le Parlement européen et le Conseil ont adopté le « paquet protection des données » le 27 avril 2016, fruit d’un compromis entre les États membres de l’Union européenne.

Ce paquet se compose :

  • D’un règlement relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (règlement (UE) 2016/679)
    • Applicable notamment à la matière civile et commerciale, il constitue le cadre général de la protection des données.
    • Ce règlement abroge la directive 95/46/CE transposée par la loi n° 2004-801 du 6 août 2004 qui avait modifié la loi n° 78-17 du 6 janvier 1978. Il conforte les droits des personnes physiques sur leurs données à caractère personnel déjà garantis dans la loi n° 78-17 du 6 janvier 1978.
    • Il renforce ainsi notamment le droit d’information des personnes, qui disposeront d’informations plus complètes et claires sur le traitement de leurs données, et en crée de nouveaux : droit à l’effacement ou « droit à l’oubli », droit à la portabilité des données.
    • En outre, le règlement uniformise et simplifie les règles auxquelles les organismes traitant des données sont soumis tout en renforçant les garanties offertes par la loi n° 78-17 du 6 janvier 1978.
    • Il prévoit en particulier la réduction des formalités préalables pour la mise en œuvre des traitements comportant le moins de risques, avec le passage d’un système de contrôle ex ante de la Commission nationale de l’informatique et des libertés par le biais des déclarations et autorisations à un contrôle ex post plus adapté aux évolutions technologiques.
    • Ce règlement est applicable à compter du 25 mai 2018.
  • D’une directive relative aux traitements mis en œuvre à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales (directive (UE) 2016/680)
    • La directive s’applique aux traitements de données à caractère personnel mis en œuvre par une autorité compétente à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution des sanctions pénales, y compris la protection contre les menaces pour la sécurité publique et la prévention de telles menaces.
    • La directive n’est pas applicable dès lors que le traitement de données est mis en œuvre pour d’autres finalités ou par une autorité qui n’est pas compétente. La directive n’est pas non plus applicable aux traitements intéressant la sûreté de l’État et la défense, qui ne relèvent pas du droit de l’Union.
    • La directive vise à faciliter le libre flux des données à caractère personnel entre les autorités compétentes à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales, y compris la protection contre les menaces pour la sécurité publique et la prévention de telles menaces au sein de l’Union, et le transfert de telles données vers des pays tiers et à des organisations internationales, tout en assurant un niveau élevé de protection des données à caractère personnel.
    • Certaines dispositions de la directive sont porteuses d’un changement de philosophie du droit de la protection des données ; d’autres représentent de réelles innovations qui, sans témoigner d’un réel changement de philosophie, imposent d’importantes modifications d’ordre technique.
    • Cette directive doit être transposée d’ici le 6 mai 2018.

L’articulation entre la directive et le règlement est précisée par le considérant 12 de la directive.

Celui-ci indique notamment que relèvent de la directive les traitements concernant des « activités menées par la police ou d’autres autorités répressives [qui] sont axées principalement sur la prévention et la détection des infractions pénales et les enquêtes et les poursuites en la matière, y compris les activités de police effectuées sans savoir au préalable si un incident constitue une infraction pénale ou non».

Il précise que « ces activités peuvent également comprendre l’exercice de l’autorité par l’adoption de mesures coercitives, par exemple les activités de police lors de manifestations, de grands événements sportifs et d’émeutes », et que « parmi ces activités figure également le maintien de l’ordre public lorsque cette mission est confiée à la police ou à d’autres autorités répressives lorsque cela est nécessaire à des fins de protection contre les menaces pour la sécurité publique et pour les intérêts fondamentaux de la société protégés par la loi, et de prévention de telles menaces, qui sont susceptibles de déboucher sur une infraction pénale ».

Il indique en revanche, qu’entrent dans le champ d’application du règlement, pour autant qu’ils relèvent du droit de l’Union, les traitements par lesquels « les États membres [confient] aux autorités compétentes d’autres missions qui ne sont pas nécessairement menées à des fins de prévention et de détection des infractions pénales, d’enquêtes ou de poursuites en la matière, y compris la protection contre les menaces pour la sécurité publique et la prévention de telles menaces ».

Les nouvelles exigences posées par le législateur européen ont été transposées en droit français lors de l’adoption de la loi n° 2018-493 du 20 juin 2018 relative à la protection des données personnelles.

Section 3 : Le droit interne

§1 : La loi du 6 janvier 1978

Les premiers travaux ayant trait au développement de l’informatique dans les administrations virent le jour, en fait, à la fin des années 1960, tant en Europe que sur le continent américain : ils mettent en évidence les risques que font peser ces nouvelles pratiques sur les libertés publiques.

En France, le Conseil d’État adressa au Gouvernement, dès 1971, une série de recommandations visant à encadrer l’usage des données personnelles. Mais la prise de conscience des enjeux liés à cette question intervint en 1974, face à un projet gouvernemental connu sous le nom de « Système automatisé des fichiers administratifs et du répertoire des individus » (SAFARI), qui prévoyait une interconnexion des fichiers publics à partir d’un identifiant unique, le numéro de sécurité sociale.

Ce dispositif suscita alors de fortes réactions, résumées, le 21 mars, par le journal Le Monde, sous le titre suivant : « Safari ou la chasse aux Français ». Ce débat a débouché sur le « rapport Tricot », issu des travaux d’une commission mise en place par le Premier ministre pour proposer des mesures tendant à garantir que le développement de l’informatique se réalise dans le respect de la vie privée et des libertés, puis sur la loi n°78-17 du 6 janvier 1978, relative à l’informatique, aux fichiers et aux libertés.

Ce texte, communément appelé « loi Informatique et libertés », fut l’un des premiers au monde à encadrer l’usage des données à caractère personnel ; il a d’ailleurs inspiré, dans une large mesure, les instruments internationaux intervenus depuis lors, y compris la directive du 24 octobre 1995 que le présent projet de loi tend à transposer en droit français.

Il se présente comme un corpus de normes destinées à assurer la défense des libertés individuelles et publiques des personnes physiques face aux technologies informationnelles.

De fait, c’est bien sur ce terrain que le législateur s’est placé en affirmant, d’emblée, dès l’article 1er, que : « L’informatique doit être au service de chaque citoyen. (…) Elle ne doit porter atteinte ni à l’identité humaine, ni aux droits de l’homme, ni à la vie privée, ni aux libertés individuelles ou publiques ».

La loi du 6 janvier 1978 réglemente la collecte et l’utilisation des informations dites « nominatives », qui permettent, aux termes de son article 4, d’identifier, directement ou indirectement, des personnes physiques. Elle s’applique à deux types de procédés :

  • Le traitement automatisé desdites informations, quel que soit le support ou la technique utilisée, qui est défini, à l’article 5, comme : « tout ensemble d’opérations réalisées par les moyens automatiques, relatif à la collecte, l’enregistrement, l’élaboration, la modification, la conservation et la destruction d’informations nominatives ainsi que tout ensemble d’opérations de même nature se rapportant à l’exploitation de fichiers ou bases de données et notamment les interconnexions ou rapprochements, consultations ou communications d’informations nominatives».
  • Les fichiers manuels ou mécanographiques, qui n’étaient pourtant pas visés par le texte initial du Gouvernement : la loi ne fait d’ailleurs référence qu’à « l’informatique », tant à l’article 1er (« L’informatique doit être au service de chaque citoyen ») que dans le titre de l’institution de contrôle qu’elle crée par ailleurs (« Commission nationale de l’informatique et des libertés »). Cette extension a été réalisée à l’initiative du Parlement, qui a modifié, en conséquence, l’intitulé de la loi (« relative à l’informatique, aux fichiers et aux libertés »). Toutefois, ces fichiers ne sont soumis qu’à une partie des règles applicables aux traitements automatisés (notamment les dispositions relatives à la collecte, l’enregistrement et la conservation des informations, ainsi que le droit d’accès ou d’opposition), à l’exclusion de certaines obligations telles que les formalités de déclaration préalable auprès de la CNIL.

§2 : La loi du 6 août 2004

La loi n° 2004-801 du 6 août 2004 relative à la protection des personnes physiques à l’égard des traitements de données à caractère personnel, qui modifie la loi du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, a pour objet d’assurer la transposition de la directive européenne du 24 octobre 1995 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données.

Au-delà de cette transposition, il vise à adapter le droit des fichiers informatiques aux progrès technologiques et aux réalités contemporaines, dans le respect des principes fondamentaux posés par la loi du 6 janvier 1978.

Les principales dispositions du projet de loi peuvent être résumées autour de quatre axes :

  • Le renforcement des droits fondamentaux des personnes dès lors que des données, de quelque nature qu’elles soient (informations nominatives, voix, image, empreintes génétiques …), font l’objet d’un fichier, sous forme d’un traitement automatisé ou non, ainsi que le renforcement des obligations pesant sur les responsables de ces traitements. En particulier, le caractère discrétionnaire du droit d’opposition des personnes intéressées à l’encontre de la mise en œuvre de tels traitements à des fins de prospection, notamment commerciale, est reconnu
  • La consécration de la Commission nationale de l’informatique et des libertés (CNIL), dont la composition est, à une exception près, inchangée, comme l’autorité administrative indépendante chargée du contrôle de la mise en œuvre de la loi. La commission voit ses pouvoirs substantiellement développés ; elle sera, en particulier, dotée de pouvoirs d’investigation, d’injonction et de sanction administrative qui lui permettront d’exercer un contrôle a posteriori sur les traitements de données
  • La rationalisation des formalités préalables exigées pour la création d’un traitement automatisé de données à caractère personnel : le projet de loi ne distingue plus le régime administratif applicable selon la nature publique ou privée du responsable du traitement. Le régime de droit commun sera celui de la déclaration, qui sera simplifiée pour les modèles de traitement les plus courants. Mais toutes les catégories de traitement dont les finalités ou le contenu présentent des risques particuliers au regard des droits des personnes seront soumises à l’autorisation de la CNIL.
  • Les traitements publics, dits de souveraineté, intéressant la sûreté de l’État, la défense et la sécurité publique, ou les traitements publics utilisant le numéro d’inscription des personnes au répertoire national d’identification des personnes physiques, continuent à faire l’objet d’une autorisation par un décret ou par un arrêté pris après avis de la CNIL

§3 : La loi du 20 juin 2018

La loi n° 2018-493 du 20 juin 2018 relative à la protection des données personnelles vise à transposer le « paquet européen de protection des données » adopté par le Parlement européen et le Conseil le 27 avril 2016.

Pour mémoire, ce mémoire se compose :

  • d’un règlement (UE) 2016/679 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel. Applicable notamment à la matière civile et commerciale, il constitue le cadre général de la protection des données. Les obligations prévues par le règlement seront également applicables aux opérateurs installés hors de l’Union européenne et offrant des biens et services aux Européens. Ce règlement est applicable à compter du 25 mai 2018 ;
  • d’une directive (UE) 2016/680 relative aux traitements mis en œuvre à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales. Cette directive doit être transposée d’ici le 6 mai 2018.

Afin d’assurer la transposition de ces deux textes, le Gouvernement français a fait le choix symbolique de ne pas abroger la loi fondatrice du 6 janvier 1978.

Certes, l’adaptation du droit national au règlement et la transposition de la directive exigent de remanier plusieurs articles de cette loi, mais les principes fondateurs dégagés par le législateur il y a près de quarante ans demeurent toujours valables.

À cet égard, la loi du 20 juin 2018 retranscrit les dispositions du règlement qui conforte les droits des personnes physiques sur leurs données à caractère personnel déjà garantis dans la loi du 6 janvier 1978 (notamment le droit d’information des personnes), et en crée de nouveaux comme le droit à l’effacement ou « droit à l’oubli » et le droit à la portabilité des données.

En outre, le règlement uniformise et simplifie les règles auxquelles les organismes traitant des données sont soumis tout en renforçant les garanties offertes par la loi de 1978.

Il prévoit en particulier la réduction des formalités préalables pour la mise en œuvre des traitements comportant le moins de risques, avec le passage d’un système de contrôle a priori de la CNIL, par le biais des déclarations et autorisations, à un contrôle a posteriori plus adapté aux évolutions technologiques.

En contrepartie, la CNIL voit ses pouvoirs de contrôle et de sanctions renforcés avec la possibilité d’infliger des amendes pouvant aller jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires mondial de l’organisme concerné.

L’émergence du droit des données à caractère personnel: de la loi informatique et libertés au RGPD

I) La genèse

==> Noli me tangere

 Si, comme l’a écrit Nietzche, « notre époque se nourrit et vit des moralités du passé », depuis le début du XXe siècle les défenseurs du principe de laïcité n’ont eu de cesse de combattre ces moralités, afin qu’il soit procédé, comme l’a suggéré Georges Ripert, à « l’élimination complète de la force religieuse dans la création du droit »[1].

Il est, pourtant, une partie de cette force créatrice qui n’a pas succombé ; il s’agit de ce par quoi est maintenue la personne humaine au sommet de la pyramide des valeurs. Sans que les juristes y prêtent, pour la plupart, grande attention, le caractère sacré de la personne, est directement issu de la Genèse.

L’homme y est décrit comme une créature suprême, façonnée à l’image de Dieu. Ainsi, le vieil adage juridique Noli me tangere (ne me touche pas) est-il directement tiré de l’Evangile selon Saint Jean[2], le Christ exhortant Marie-Madelaine de ne pas le toucher afin que la croyance en sa résurrection relève de l’ordre de sa seule foi.

Cependant, comme le souligne Bernard Beigner, à la différence de l’interprétation faite par les théologiens, les juristes ont interprété ces paroles « d’une manière aussi libre et aussi peu théologique que l’adage tiré de saint Luc : « Les lis ne filent pas » pour justifier le principe de double masculinité dans la succession royale au trône de France »[3].

C’est la raison pour laquelle noli me tangere a perdu toute signification évangélique et, après avoir servi de fondement au droit romain[4], est désormais repris par notre droit pour justifier la primauté de la personne humaine sur toute autre considération[5].

En outre, en plus de cette erreur d’interprétation, les juristes se sont livrés à un amalgame, en assimilant, durant des siècles, la personne au corps humain[6], si bien que seul l’être charnel bénéficiait d’une protection juridique.

Il a fallu attendre la fin du XIXe siècle pour que « l’éminente dignité humaine en réfère aussi bien à l’animus qu’au corpus »[7]. C’est précisément à cette époque que certaines voix ont commencé à faire valoir, notamment sous l’impulsion de la doctrine germano-suisse, qu’il serait opportun de créer un droit de la personnalité soit, d’étendre la protection juridique conférée par l’adage noli me tangere, à l’être spirituel.

==> La naissance des droits de la personnalité

En France, c’est le professeur Perreau qui, le premier[8], s’est ouvertement prononcé en faveur d’une telle extension, lorsque, dans un article intitulé « Des droits de la personnalité »[9], il émet l’idée de la reconnaissance de droits – subjectifs – extrapatrimoniaux[10].

Dans un premier temps, cette position est pour le moins accueillie fraichement par la doctrine française. Roubier, par exemple, raille cette théorie de faire état de « droits fantômes conçus par des imaginations déréglées »[11]. Nombreux sont, cependant, les auteurs qui, dans un second temps, se sont ravisés, adhérant massivement à la proposition formulée par Perreau trente ans auparavant[12].

Finalement, pour reprendre une expression de Ripert, c’est la lutte « des forces sociales » qui a eu raison des querelles de juristes. Cette lutte s’est manifestée dans le courant des années soixante par une pléiade de décisions jurisprudentielles qui ont ému l’opinion publique.

À cette période, est en train de naître la presse, dite à « scandale », dans laquelle les lecteurs peuvent lire les frasques des différentes célébrités qui animent la vie publique de l’époque. Peu enclines à laisser paraitre au grand jour des évènements qu’elles jugent relever de leur intimité, certaines d’entre elles décident de requérir les services de la justice afin que cessent ces atteintes dont elles font de plus en plus fréquemment l’objet[13].

Malheureusement, les juges ne disposent guère plus que de l’inusable article 1382 du Code civil pour répondre à leurs attentes. Le vide juridique qui existe en la matière, est comparable à celui que l’on rencontre dans un trou noir[14].

Aussi, le législateur décide-t-il d’intervenir afin que ce vide qui, jusqu’alors, était comblé par les rustines du droit de la responsabilité, le soit, désormais, par le droit de la personnalité.

C’est ainsi, que, par une loi du 17 juillet 1970, a été reconnu, à l’article 9 du Code civil, le droit au respect la vie privée[15].

La protection conférée par l’adage noli me tangere à l’être charnel est étendue à l’être spirituel. Au même moment, l’informatique fait une entrée fracassante dans une société en pleine mutation et met rapidement en évidence, les limites de cette nouvelle législation.

==> Le projet SAFARI

 Bien que les textes qui consacrent le droit à la vie privée soient nombreux[16], la notion de « vie privée » n’est définie par aucun d’eux. C’est pourquoi il est revenu aux juges la tâche d’en délimiter les contours. Si, au fil de leurs décisions, ces derniers ont pu affirmer que toutes les informations relatives à la vie privée sont des informations personnelles[17], ils ont également eu l’occasion de souligner que les données à caractère personnel ne relevaient pas toutes de la vie privée[18].

Force est de constater, comme le souligne Guy Braibant, que « la notion d’atteinte à la vie privée ne permet […] pas d’épuiser tous les cas de méconnaissance des droits des personnes auxquels la mise en œuvre de traitements de données à caractère personnel est susceptible de donner lieu »[19].

La question s’est alors posée de savoir si la protection conférée par le droit au respect de la vie privée, était suffisante quant à protéger l’être informationnel dans son ensemble. Une fois encore, ce sont les forces sociales qui se sont illustrées, lorsque, dans un retentissant article publié dans le journal Le Monde, le journaliste Philippe Boucher dénonce le projet SAFARI (Système Automatisé pour les fichiers administratifs et le répertoire des individus)[20].

Ce projet avait ambition de réaliser une interconnexion générale des différents fichiers administratifs à l’aide de l’identification unique de chaque français. Comme le souligne le titre de l’article, la réalisation d’un tel dispositif aurait eu pour conséquence de sonner l’ouverture de « la chasse aux français ».

Le danger qui guettait les administrés était, en somme, qu’un ordinateur central recoupe chacune de leurs données personnelles, sans qu’ils puissent invoquer un quelconque droit à la vie privée pour l’en empêcher.

Ce droit ne peut, en effet, être exercé que s’il est porté atteinte au libre choix d’une personne de ne pas divulguer une information la concernant. Or tel n’est pas ce que prévoit le projet SAFARI. Celui-ci vise, non pas à permettre une immixtion de l’administration dans l’intimité de ses administrés, mais seulement une interconnexion des données qui lui ont volontairement été divulguées.

Dans cette perspective, Adolphe Touffait, procureur général près la Cour de cassation déclare, à l’époque, que « la dynamique du système qui tend à la centralisation des fichiers risque de porter gravement atteinte aux libertés, et même à l’équilibre des pouvoirs politiques »[21].

II) L’autonomisation du droit des données à caractère personnel

==> La loi informatique et libertés

 En réaction au vent de panique créé par le projet SAFARI, le premier ministre décide, immédiatement, de saisir le garde des sceaux afin que soit créée, en urgence, une commission chargée de formuler des propositions « tendant à garantir que le développement de l’informatique dans les secteurs publics, semi-publics et privés, se réalisera dans le respect de la vie privée, des libertés individuelles et des libertés publiques ».

Le défi lancé à la Commission informatique et libertés est de taille. Comme le fait remarquer Bernard Tricot « il est toujours difficile de bâtir une muraille de Chine juridique sur laquelle viendront s’écraser les assauts de l’informatique ».

Par chance, les travaux réalisés par la Commission sont d’une excellente facture, ce qui permet la rédaction d’un remarquable projet de loi.

Déposé en août 1976, ce projet accouche de la loi du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés.

Par cette loi, la protection conférée par l’adage noli me tangere est étendue à l’être informationnel dans son entier.

Désormais, c’est la personne humaine réunie dans ses trois composantes qui est protégée par le droit. Comme pour remercier le remarquable travail de la Commission qui avait fort bien œuvré, elle est instituée gardienne de la loi informatique et libertés.

À l’image d’une pierre jetée dans l’eau, l’adoption de cette législation, très innovante, a pour effet immédiat de se propager partout en Europe.

Nombre d’États souhaitent, dans le sillage de la France, protéger leurs ressortissants de l’informatique, qui dorénavant est perçue comme « une dévoreuse d’identité, elle capte l’individu sous toutes ses facettes et porte au grand jour des aspects qu’il souhaiterait conserver secret »[22].

==> La propagation internationale du mouvement de protection de la vie privée

Exception faite des États-Unis qui, pour des considérations essentiellement d’ordre économique, préfèrent fermer les yeux sur les dangers qui menacent l’intimité des citoyens américains, de nombreux pays ont, dès le début des années quatre-vingts, pris des mesures concertées, afin que l’appétit de l’ogre informatique à engloutir des données, s’arrête là où commence le droit des personnes à ne pas abandonner les éléments de leur identité.

La première de ces mesures peut être portée au crédit de l’OCDE (Organisation de Coopération et de Développement Economique), qui adopte le 23 septembre 1980 des lignes directrices destinées à régir la protection de la vie privée et les flux transfrontières de données à caractères personnel.

Quatre mois plus tard, cette organisation internationale est suivie par le Conseil de l’Europe qui adopte, le 28 janvier 1981, la convention pour la protection des personnes à l’égard du traitement des données à caractère personnel[23]. On l’appelle également la convention 108. L’objectif de ce traité est de « garantir sur le territoire de chaque partie, à toute personne physique, quelles que soient sa nationalité ou sa résidence, le respect de ses droits et de ses libertés fondamentales, et notamment de sa vie privée, à l’égard du traitement automatisé de données à caractère personnel la concernant »[24].

Enfin, par une résolution n°45/95 du 14 décembre 1990, l’assemblée générale des Nations Unies[25] apporte une touche d’universalité à ces conventions, dont la portée ne dépasse guère plus les frontières de l’Europe. Pis, seule la convention 108 présente un caractère contraignant[26]. Fort légitimement, on est alors en droit de s’interroger sur l’utilité de proclamer des grands principes, s’il n’existe aucun moyen de les faire appliquer, à plus forte raison lorsqu’il s’agit de garantir des libertés.

Indépendamment de l’impact international provoqué par la loi informatique et libertés, il doit être souligné, comme l’affirme le Conseil constitutionnel dans sa décision n° 92-316 du 20 janvier 1993, que cette loi participe, avant tout, au système de protection de la liberté personnelle et individuelle[27] ce qui, sans lui conférer une valeur constitutionnelle, « l’enracine en quelque sorte dans le bloc de constitutionnalité qui la vivifie »[28].

==> Le toilettage de la loi informatique et libertés

 La loi informatique et libertés se trouve être à la croisée de nombreuses libertés fondamentales, au-delà même du droit au respect à la vie privée[29].

En témoignent les rapports étroits qu’elle entretient avec le droit bancaire, le droit de la santé, le droit de la consommation, le droit de la communication, le droit de la propriété intellectuelle, ou encore le droit social. Sont ici concernés tous les droits qui appréhendent des secteurs dans lesquels sont collectées et traitées des données à caractère personnel. L’étendue du champ d’application de la loi informatique et libertés apparaît illimitée.

C’est de là qu’est issue la très grande portée de cette loi, laquelle montre une aptitude à se saisir des situations nouvelles créées par les machines. Ces situations « s’étendent à tous les aspects de la vie publique et privée, des activités collectives et individuelles »[30].

Bien que très étendu puisse apparaître le champ d’application de la loi informatique et libertés lors de son adoption, il est, toutefois un évènement qui, assez paradoxalement, va, plus tard, le rendre trop étroit. Quel est cet évènement ? Il s’agit de la naissance de l’internet qui s’est accompagnée, nous l’avons vu, de nouvelles techniques de collectes de données à caractère personnel.

Surtout, ce qui est nouveau, c’est que, une fois collectées, les données peuvent, en quelques clics de souris, circuler d’ordinateur en ordinateur, sans compter que la menace vient désormais, moins de l’administration publique que des agents privés. Naturellement, on ne saurait reprocher au législateur de n’avoir pas anticipé ces phénomènes.

Quoi qu’il en soit, un toilettage de la loi informatique et libertés devient, rapidement, nécessaire. Contrairement, à son élaboration qui s’est faite dans un cadre national, la refonte de cette loi est impulsée par les instances communautaires, qui brandissent – de façon assez discutable – leur compétence quant à connaître de tout ce qui relève de la circulation des marchandises. Or, selon elles, les données à caractère personnel peuvent y être assimilées.

Comment, dès lors, parvenir d’une part, à une harmonisation des législations nationales et, d’autre part, à la libre circulation des données à caractère personnel, tout en garantissant un niveau élevé de protection des libertés individuelles.

 Pour le conseil d’Etat, qui se prononce en assemblée générale, dans un avis du 13 juin 1993, le texte qui va être adopté ne saurait contenir de « dispositions qui conduiraient à priver des principes de valeur constitutionnelle de la protection que leur accorde la loi du 6 janvier 1978 actuellement en vigueur »[31].

De la même manière, dans une résolution de l’assemblée nationale du 25 juin 1993, il est estimé que la Communauté européenne ne peut « justifier son intervention dans la réglementation des traitements des données à caractère personnel qu’à la condition que la réalisation de cet objectif ne nuise pas au haut degré de protection dont doivent bénéficier les personnes physiques à l’égard de ces traitements et encore moins à assimiler ces données à de simples marchandises ».

Fort heureusement, en raison de la grande considération que les instances communautaires portent à la loi informatique et libertés, les recommandations formulées par les autorités françaises, notamment par la CNIL, ont été suivies rigoureusement.

Cela s’est traduit par l’adoption d’une directive, le 24 octobre 1995, qui dispose, dans son dixième considérant, que « […] le rapprochement [des] législations ne doit pas conduire à affaiblir la protection qu’elles assurent mais doit, au contraire, avoir pour objectif de garantir un niveau élevé de protection dans la Communauté »[32]. Par ce texte communautaire est assuré « la protection des libertés et droits fondamentaux des personnes physiques, notamment de leur vie privée, à l’égard du traitement des données à caractère personnel »[33].

En France, il faut attendre près de dix ans pour que cette directive soit transposée. Elle le fut, par une loi du 6 août 2004, qui, sans remplacer la précédente du 6 juillet 1978, a simplement été intégrée à elle.

==> Le RGPD

Une proposition de règlement et une proposition de directive ont été formulées par la Commission européenne le 25 janvier 2012[34], en vue de remplacer respectivement la – déjà obsolète – directive du 24 octobre 1995 et la décision cadre 2008/977/JAI sur la protection des données dans le cadre de la coopération policière et judiciaire[35].

A cet égard, le législateur européen s’est donné pour objectif de renforcer les droits des personnes et le marché intérieur de l’UE, garantir un contrôle accru de l’application de la réglementation, simplifier les transferts internationaux de données à caractère personnel et instaurer des normes mondiales en matière de protection des données.

La France a pris une part très active dans les négociations afin de maintenir et promouvoir son modèle de protection des données qui constitue encore aujourd’hui une référence en Europe et dans le monde.

A l’issue de longues négociations, le Parlement européen et le Conseil ont adopté le « paquet protection des données » le 27 avril 2016, fruit d’un compromis entre les Etats membres de l’Union européenne.

Ce paquet se compose :

  • D’un règlement relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (règlement (UE) 2016/679).
  • D’une directive relative aux traitements mis en œuvre à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales (directive (UE) 2016/680).

Au-delà des exigences propres à la mise en conformité avec le droit européen de la protection des données à caractère personnel, le règlement prévoit plus d’une cinquantaine de marges de manœuvre qui permettent aux Etats membres de préciser certaines dispositions ou d’aller plus loin que ce que prévoit le droit européen.

Certaines de ces marges de manœuvre permettent de maintenir des dispositions déjà existantes dans notre droit national. D’autres, en revanche, peuvent être mises en œuvre afin notamment de prendre en compte l’évolution technologique et sociétale.

Le rapport annuel du Conseil d’Etat de 2014, intitulé « Le numérique et les droits fondamentaux » a souligné la nécessité de repenser la protection des droits fondamentaux afin de mettre le numérique au service des droits individuels et de l’intérêt général.

De même, le rapport d’information déposé par la Commission des lois constitutionnelles, de la législation et de l’administration générale de la République de l’Assemblée nationale a également révélé l’importance des « incidences des nouvelles normes européennes en matière de protection des données personnelles sur la législation française »

Les nouvelles exigences posées par le législateur européen ont été transposées en droit français lors de l’adoption de la loi n° 2018-493 du 20 juin 2018 relative à la protection des données personnelles.

[1] G. Ripert, Les forces créatrices du droit, LGDJ, coll. « reprint », 1998, p. 146.

[2] V. en ce sens G. Cornu, Linguistique juridique, Montchrestien, coll. « Domat », 2005, p. 356 ; H. Roland et L. Boyer, Adages du droit français, Litec, coll. « traités », 3éd., Paris, 1992, n°251, p. 533 ; B. Beignier, Droit de la personnalité, PUF, coll. « Que sais-je ? », 1992, p. 14-15.

[3] Cité in B. Beignier, op. préc., p. 15.

[4] Ulpien affirmait « dominus membrorum suorum nemo videtur » (nul n’est propriétaire de son corps), Digeste, IX-2-13, cité in B. Beignier, op. préc., p. 76.

[5] Selon R. Andorno, « le système juridique repose sur la base de la distinction radicale personnes-choses, qui est une condition sine qua non, non seulement de l’existence du système, mais du respect dû à la personne humaine » (R. Andorno, « Procréations artificielles, personnes et choses », RRJ, 1992, n°1, pp. 13 s.).

[6] J. Carbonnier, Droit civil. Introduction, Les personnes, La famille, l’enfant, le couple, PUF, coll. « Quadrige manuels », 2004, n°4, p.19.

[7] Bernard Beigner, op. préc., p. 7.

[8] Emile Beaussire par son ouvrage « les principes du droit » publié en 1888 et A. Boistel dans son cours de philosophie du droit en 1889 avaient néanmoins déjà développé la notion de droits innés au nombre desquels figurait le droit au respect de l’individualité.

[9] E.-H. Perreau, « Des droits de la personnalité », RTDCiv, 1909, pp. 501 et s.

[10] Perreaufait, par exemple, référence au dommage moral, à la protection du corps et de l’esprit, à l’honneur ou encore au « droit à la liberté ».

[11] P. Roubier, préface in R. Nerson, Les droits extrapatrimoniaux, LGDJ, 1939.

[12] Sans doute est-ce là le résultat de l’influence de Jean Dabin, qui avance dans son ouvrage relatif aux droits subjectifs, que ces deniers incluent, tant les intérêts juridiquement protégés, que les « droits de liberté ». Dans le droit fil de cette idée Roger Nerson, élève de Roubier, écrit plus tard dans sa thèse qu’« un droit extrapatrimonial est un droit dont la fin est de satisfaire un besoin non économique : besoin souvent moral, parfois d’ordre matériel » (R. Nerson, op. préc., p. 6).

[13] V. en ce sens notamment, Aff. Marlène Dietrich, CA Paris, 16 mars 1955, D. 1955, p. 295 ; Aff. Picasso, CA Paris, 6 juill. 1965, Gaz. Pal. 1966, 1, p. 39 ; Aff. Trintignant, CA Paris, 17 mars 1966, D. 1966, p. 749; Aff. Bardot, TGI Seine, 24 nov. 1965, JCP G 1966, II, 14521, puis CA Paris, 27 févr. 1967 : D. 1967, p. 450, note Foulon-Piganiol.

[14] R. Badinter, « Le droit au respect de la vie privée », JCP G, 1968, I, 2136, n° 12.

[15] Article 9 de la loi n°70-643 du 17 juillet 1970 : « chacun a droit au respect de sa vie privée ».

[16] On peut citer l’article 8 de la Convention européenne de sauvegarde des droits de l’homme, l’article 7 de la Chartes des droits fondamentaux de l’Union Européenne ou encore l’article 1er de la Directive Directive 2002/58/CE du Parlement européen et du Conseil du 12 juillet 2002 concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques JO 31 juillet 2002, L. 201, pp. 37-47.

[17] Comme le souligne Emmanuel Derieux « à défaut d’une définition légale précise de la vie privée […], c’est dans la jurisprudence, tant antérieure que postérieure à la loi de 1970 que l’on doit chercher la signification ou l’interprétation de cette notion. […] On considère généralement – encore que cela puisse varier selon les circonstances et l’identité des individus concernés – que relèvent de la vie privée d’une personne : sa vie sentimentale ; ses relations amicales ; sa situation de famille ; ses ressources et moyens d’existence ; ses loisirs […] ; sens opinions politiques ; son appartenance syndicale ou religieuse ; son état de santé ; le mode d’éducation choisi pour ses enfants ; son adresse […] » (E. Derieux, Droit des médias. Droit français, européen et international, LGDL, coll. « Manuel », 2008, n°1803-1804, p. 583).

[18] On pense notamment aux données relatives au patrimoine, à la confession ou encore à la profession.

[19] G. Braibant, Rapport Données personnelles et société de l’information. Transposition en droit français de la directive numéro 95/46, La documentation française, coll. « rapports officiels », 1998, p. 7. V. également sur la notion d’atteinte à la vie privée, B. Beignier, « Vie privée et vie publique », Légipresse, sep. 1995, n°124, pp. 67-74 ; O. d’Antin et L. Brossollet, « Le domaine de la vie privée et sa délimitation jurisprudentielle » Légicom, octobre 1999, n° 20, pp. 9-19 ; J. Curto, « La fin justifie-t-elle les moyens ? De la notion de vie privée et de la preuve déloyale » Revue Lamy Droit Civil, avr. 2012, n°92, pp. 55-56.

[20] Ph. Boucher, « Safari ou la chasse aux Français », Le Monde, 21 mars 1974.

[21] A. Touffait, Discours du 9 avril 1973 devant l’Académie des Sciences morales et politiques, cité in Ph. Boucher, art. préc.

[22] D. Pousson, « L’identité informatisée », in L’identité de la personne humaine. Étude de droit français et de droit comparé, Bruylant, Bruxelles, 2002, p. 373.

[23] Cette convention a été complétée par un amendement adopté le 15 juin 1999, lequel prévoit l’ouverture à la signature de l’Union européenne et par un protocole additionnel relatif aux autorités de contrôle des flux transfrontières de données à caractère personnel.

[24] Article 1er de la convention 108, publiée par le décret n°85-1203 du 15 novembre 1985, JO 20 nov., p. 13436

[25] Résolution 45/95 du 14 décembre 1990 adoptée par l’assemblée générale des Nations Unies relative aux principes directeurs pour la règlementation des fichiers personnels informatisés.

[26] La convention 108 prend directement sa source dans la Convention de sauvegarde des droits de l’homme et des libertés fondamentales laquelle est d’application directe. L’arrêt du Conseil d’État du 18 novembre 1992 semble aller en ce sens (CE, 18 nov. 1992, Licra, AJDA 1993, n°3, p. 213, note Letterson).

[27] Décision n° 92-316 DC du 20 janvier 1993, JORF n°18 du 22 janvier 1993 p. 1118.

[28] A. Lucas, J. Devèze, J. Frayssinet, op. cit. note n°100, n°41, p. 28.

[29] Ibid.

[30] P. Laroque, « Informatique et libertés publiques », in Techniques de l’Ingénieur, Fascicules H 8770, éd. Techniques, 1970.

[31] V. en ce sens, Les grands avis du Conseil d’État, Paris, LGDJ, 1997, p. 399, note de B. Stirn.

[32] Directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, JO 23 nov. 1995, L. 281, pp. 31-50.

[33] Article 1er, 1° de la directive 95/46/CE.

[34] Communication de la Commission « une approche globale de la protection des données à caractère personnel dans l’Union européenne », 4 novembre 2010, COM(2010)609 final.

[35] Décision-cadre 2008/977/JAI du Conseil du 27 novembre 2008 relative à la protection des données à caractère personnel traitées dans le cadre de la coopération policière et judiciaire en matière pénale, J.O.C.E. L 350 du 30 décembre 2008.