Commentaire de l’article 1er de la loi n° 89-462 du 6 juillet 1989 tendant à améliorer les rapports locatifs (…) [1]

Le bail n’a pas été épargné par le mouvement de subjectivisation des droits. C’est moins le preneur en tant que tel qui est protégé que son logement, que le droit tend à assimiler à la personne de son habitant : s’il en est propriétaire, le droit de propriété peut suffire à le protéger alors que s’il n’en est que locataire, son droit sur la chose est indirect (voy. l’article « Le bail de droit commun »), s’exerçant à travers le bailleur qui lui permet la jouissance de la chose ; le preneur d’un bail d’habitation a donc besoin d’une protection supplémentaire. En raison de la personnification du logement, le preneur devient une personne susceptible d’être protégée par les droits fondamentaux reconnus à la personne.

Le contexte dans lequel l’article commenté s’insère est particulièrement complexe. Les sources relatives au droit au logement ont considérablement évolué dans le temps. En 1789, la Déclaration des droits de l’homme et du citoyen ne prévoit pas de droit au logement : à l’époque où on proclame la liberté, l’égalité et la fraternité, on ne saurait raisonner en termes de besoins. En 1946, le préambule de la Constitution ignore le droit au logement, se montrant insensible à la crise du logement qui a déjà démarré (voy. l’article « Le bail d’habitation : logement non meublé – contrat vs statut »). Deux ans plus tard, l’article 25 de la Déclaration universelle des droits de l’homme dispose que « Toute personne a droit à un niveau de vie suffisant pour assurer  […] le logement […] ». Mais c’est la loi du 22 juin 1982, dite loi Quilliot, qui en son article 1 fait du droit à l’habitat un droit fondamental. Ce principe a néanmoins été supprimé par un loi du 23 décembre 1986 (consécutivement à un changement de majorité politique). L’article 1 de la loi du 6 juillet 1989, ici commenté, reprend cette idée, en qualifiant le droit au logement de droit fondamental, et en réintroduisant ainsi la déclaration liminaire d’intention selon laquelle « Le droit au logement est un droit fondamental ; il s’exerce dans le cadre des lois qui le régissent ». Ce droit au logement se manifeste par diverses mesures, destinées à pérenniser la jouissance du locataire et à ne permettre la reprise des lieux par le propriétaire que pour des motifs impérieux (vente, habitation, motif légitime et sérieux). Il est par ailleurs pris en compte par la jurisprudence comme critère d’interprétation, par exemple, pour exclure les résidences secondaires du domaine de la loi (Cass. 3eme civ., 6 nov. 1991, n° 90-15923, Bull. civ. III, n° 261) ou pour refuser le droit au renouvellement au locataire qui n’occupe pas les lieux pour son habitation (Cass. Ass. plén., 2 févr. 1996, n° 91-21373, Bull. A.P., n° 1). Le législateur français a ainsi réalisé le souhait émis en juin 1987 par le Parlement européen sur l’inscription du droit au logement dans la législation de chacun des États membres.

En consacrant le principe selon lequel le logement est un droit fondamental, le législateur a reconnu le logement comme une valeur supérieure nécessairement attachée à la personne, sans toutefois que cela n’ait en principe d’effectivité particulière. Depuis, le droit au logement s’est ramifié en donnant au preneur la possibilité de faire valoir concrètement ce droit. Tout d’abord, des règles visant à protéger l’accès au logement, notamment en tentant d’éviter tout comportement discriminatoire, ont été adoptées. Ces dispositions ont été intégrées dans la loi du 6 juillet 1989 sur les baux d’habitation bien qu’elles devraient s’appliquer à tout bail portant sur un logement. De plus, deux nouveaux droits subjectifs sont nés : le droit à un logement décent et le droit opposable au logement. Le droit au logement décent, outre un droit opposable au bailleur, est surtout un droit fondamental dans la mesure où le Conseil constitutionnel (Cons. const., décision n° 94-359 DC du 19 janv. 1995, cons. n° 7) a déclaré qu’il s’agissait d’un « objectif de valeur constitutionnelle » sur les fondements des alinéas 10 et 11 du préambule de la Constitution de 1946, ainsi que du principe de sauvegarde de la dignité humaine découlant de l’alinéa 1er. Le droit au logement opposable est apparu plus récemment, par le biais de l’adoption d’une loi prévue à cet effet (loi n° 2007-290 du 5 mars 2007 instituant le droit au logement opposable et portant diverses mesures en faveur de la cohésion sociale). Les deux principales dispositions de cette loi visent d’une part, à assurer la garantie, par l’État, du droit au logement (art. L. 300-1 c. constr. hab.) et d’autre part, à consacrer le droit de recourir au juge administratif à défaut d’offre de logement ou d’hébergement permettant de répondre aux demandes déclarées prioritaires par la commission de médiation départementale dans un délai raisonnable (art. L. 441-2-3-1 c. constr. hab). Ce texte était déjà applicable depuis le 1er décembre 2008 pour les personnes prioritaires, et est devenu applicable pour les autres à compter du 1er janvier 2012. Comme on peut le constater, avec le temps, le droit au logement s’affirme le plus en plus comme un droit de l’homme, et le droit du logement comme une spécialité.

En passant des sources écrites à l’interprétation qui en est faite, on s’aperçoit que le cadre qui entoure l’article commenté est également très riche. La Convention européenne de sauvegarde des droits de l’homme et des libertés fondamentales est de plus en plus invoquée dans les rapports contractuels et principalement dans les rapports locatifs. La Cour de cassation a rendu un certain nombre de décisions dans lesquelles elle consacre des droits fondamentaux attachés à la personne du locataire. Comme toute personne, le locataire a d’abord droit au respect de sa vie familiale (art. 8.1 Conv. EDH). La reconnaissance de ce droit pour un locataire a pour conséquence de réputer non écrite une clause du bail empêchant un locataire d’héberger tous les membres de sa famille (Cass. 3ème civ., 6 mars 1996, n° 93-11113, Bull. civ. III, n° 60). Ensuite, le bailleur ne saurait porter atteinte au respect dû à la vie privée du locataire, que ce soit en s’introduisant chez le locataire sans autorisation afin de faire visiter le local (Cass. 3eme civ., 25 févr. 2004, n° 02-18081, Bull. civ. III, n° 41), ou en prenant des photographies à l’intérieur de son habitat (Cass. 1ere civ., 7 nov. 2006, n° 05-12788, Bull. civ. I, n° 466). Enfin, l’article 1er du premier protocole additionnel à la convention, qui consacre le droit au respect des biens, commence à être invoqué par les parties au contrat de bail. Ce sont généralement les bailleurs qui invoquent cette disposition pour demander que les atteintes portées à leur droit de propriété soient sanctionnées. Le locataire peut également se prévaloir de ce droit au respect des biens, mais cela est moins fréquent. La Cour européenne a pu par exemple affirmer que « le bail d’une durée de 300 ans confère aux preneurs un intérêt patrimonial entrant dans la catégorie des baux qui constitue un bien au sens de l’article 1er, protocole n° 1. (Et de considérer par voie de conséquence que) les modalités par lesquelles il a été mis fin à ce bail sont incompatibles avec le respect de ses biens consacré dans cet article » (CEDH, 4eme sect., 16 nov. 2004, Bruncrona c/ Finlande, n° 41673/98).

C’est uniquement en la restituant dans ce contexte que la lecture du texte de l’article 1er de la loi n° 89-462 du 6 juillet 1989 peut être fructueuse. Pour adopter cette loi, le gouvernement a abandonné à l’initiative parlementaire le soin de réaliser la promesse du Président de la République en matière de logement, comme si l’équilibre entre bailleurs et locataires était apparu si difficile à réaliser que personne ne voulait plus laisser son nom au droit des rapports locatifs. D’où le fait que la loi du 6 juillet 1989 n’ait pas de nom. Il ne s’agit pour autant pas d’une loi sans père. D’une part, elle s’intitule loi « tendant à améliorer les rapports locatifs et portant modification de la loi n° 86-1290 du 23 décembre 1986 ». La loi nouvelle maintient la loi Méhaignerie, dont elle abroge exclusivement les quatre premiers chapitres du Titre 1 relatif aux rapports entre bailleurs et locataires. Aussi, sur le plan formel, la loi du 6 juillet 1989 s’insère dans le mécanisme mis en place en 1986 : elle en respecte le plan. C’est pour cette raison que l’article 1er est inséré dans un Titre I composé de trois chapitres visant les rapports entre bailleurs et locataires et se composant de trois chapitres, et plus précisément dans le premier chapitre relatif aux dispositions générales. D’autre part, sur le plan substantiel, la loi du 6 juillet 1989 vise à réaliser un compromis entre les règles instituées en 1986 et celles imaginées par la loi Quilliot du 22 juin 1982. D’abord, elle reprend, dans leur intégralité, certaines des dispositions permanentes de la loi Méhaignerie, elles-mêmes reproduites à partir de la loi Quilliot, notamment les règles sur la formation du contrat ou sur le régime de ce dernier en cours de bail. Ensuite, elle réintroduit la plupart des principes de la loi du 22 juin 1982 sur la durée du contrat et sur son renouvellement. Enfin, elle supprime presque totalement la liberté du bailleur de déterminer le montant du loyer et institue un mécanisme de fixation inspiré des dispositions de la loi du 23 décembre 1986. La loi du 6 juillet 1989 touche donc à l’essentiel de la loi Méhaignerie qu’elle était censée seulement modifier : le bailleur perd la liberté d’user de son bien comme il l’entend à l’arrivée du terme du contrat et d’en tirer librement les revenus ; corrélativement le locataire recouvre ce droit que lui accordait la loi Quilliot, droit à l’habitat de 1982 devenu, comme on l’a vu, en 1989 droit au logement. Sous l’influence d’une résolution du Parlement Européen, la terminologie de ce droit a changé, sans que son contenu en soit toutefois modifié. Il s’agit à la fois d’une liberté publique qui, aux termes de l’article 1er alinéa 2 « implique la liberté de choix pour toute personne de son mode d’habitation grâce au maintien et au développement d’un secteur locatif » et d’un droit subjectif qui justifie les restrictions imposées au bailleur par une législation d’ordre public. Les raisons de cette faveur législative pour le locataire sont, sans doute, politiques et sociales : d’aucuns pourraient soutenir en ce sens que le droit au logement, qui fait partie des droits à caractère social, concerne un nombre important de locataires-électeurs auxquels doivent être accordées des satisfactions juridiques. Mais la ratio legis de cette réforme se situe surtout sur un plan économique. Le législateur de 1986 pensait réaliser l’équilibre entre les parties par des mesures fondées sur le libre jeu du marché. Or dès son entrée en vigueur, la loi du 23 décembre 1986 a donné lieu à certains excès, qui ont justifié l’intervention du législateur.

L’article 1er de la loi n° 89-462 du 6 juillet 1989, modifié par la loi n° 2002-73, se compose de 5 alinéas. En écartant l’alinéa 4, qui régit l’hypothèse de litige relatif à l’application de l’alinéa 3, cet article se compose de deux parties : la première partie indique la qualification du droit au logement (1), la seconde partie fixe les modalités de la mise en œuvre de ce droit (2).

1.- La qualification du droit au logement

Les deux premiers alinéas de l’article commenté qualifient le droit au logement, en dessinant ses contours. La portée descriptive de ces textes se déduit d’ailleurs des verbes employés : le droit au logement est un droit fondamental, et son exercice implique la liberté de choix pour toute personne de son mode d’habitation. L’alinéa premier définit donc la nature du droit au logement, qui est qualifié de droit fondamental (a), tandis que le deuxième alinéa en indique le contenu, qui consiste en la liberté de choix du mode d’habitation (b).

a.- La nature du droit au logement : un droit fondamental

Le premier alinéa de l’article 1er de la loi du 6 juillet 1989 contient le principe majeur affirmé par cette loi. La loi du 22 juin 1982 avait énoncé l’existence d’un droit à l’habitat comportant une faculté de choix pour les personnes en matière de logement, à la fois quant à la nature et quant à la localisation de celui-ci ; la loi du 23 décembre 1986 avait effacé cette affirmation au contenu considéré trop flou ; celle de 1989 est venue réaffirmer cette idée. La portée de ce droit au logement est toutefois difficile à cerner. Les auteurs y ont vu une « règle sans portée » (Christian Atias), une « promesse fallacieuse » (Gérard Cornu), voire un « faux droit » (Jean Carbonnier). En effet, le fait que le droit objectif reconnaisse un droit au logement ne signifie pas que les particuliers se voient attribuer un droit subjectif d’avoir un logement. La portée de la qualification du droit au logement de droit fondamental concerne avant tout le législateur et les interprètes du texte : la possibilité pour toute personne de disposer d’un logement décent est qualifiée par le Conseil constitutionnel « d’objectif à valeur constitutionnelle », ce qui fait obstacle à toute éventuelle tentation du législateur de revenir en arrière. Toutefois, cela ne demeure qu’un objectif. Dans une ordonnance adoptée le 10 février 2012, le Conseil d’État a par exemple reconnu que le droit à l’hébergement d’urgence est une liberté fondamentale dont on peut se prévaloir dans le cadre d’un référé liberté, mais il a par la même occasion affirmé que l’État n’a qu’une obligation de moyens en la matière.

Mais par le biais de l’affirmation d’un droit fondamental au logement, on parvient également à justifier des obligations mises à la charge des particuliers. En matière d’habitation principale, l’article 1719 du code civil pose l’obligation générale de délivrance d’un logement décent, qui est reprise en matière de bail d’habitation par les articles 6 et 20-1 de la loi de 1989 et par le décret n° 2002-120 du 30 janvier 2002. La nature du droit au logement explique donc la reconnaissance d’atteintes potentielles apportées au droit de propriété. En effet, l’affirmation solennelle d’un droit fondamental à l’habitat en 1982 s’imposait en raison de la réaffirmation, par le Conseil constitutionnel, du caractère fondamental de la propriété. C’est le souci de résoudre ce conflit d’intérêts entre bailleur et preneur qui a motivé diverses interventions législatives constitutives d’atteintes potentielles aux droits des propriétaires. À titre illustratif, l’article 187 de la loi n° 2000-1208 du 13 décembre 2000  rel. à la solidarité et le renouvellement urbains, qui a modifié l’article 1719 du code civil et l’article 6 de la loi du 6 juillet 1989, a consacré le droit d’un locataire de logement loué à titre de résidence principale d’obtenir un logement décent, qui ne laisse apparaître aucun risque manifeste pouvant porter atteinte à la sécurité physique et à la santé, et qui soit doté d’éléments le rendant conforme à l’usage d’habitation. Les auteurs d’une saisine du Conseil constitutionnel ont considéré que ces mesures, nécessairement circonscrites aux seuls locataires, constituaient une atteinte aux prérogatives du propriétaire, dans la mesure où ce dernier n’aurait pas pu maîtriser l’étendue des travaux et les délais pour les accomplir, rendant ainsi l’immeuble indisponible. Le Conseil constitutionnel, qui n’a pas retenu ces arguments, a au contraire considéré que les obligations à la charge du bailleur ne dénaturaient pas le sens et la portée du droit de propriété.

L’exigence de la délivrance d’un logement décent a été ultérieurement précisée par le décret du 30 janvier 2002, qui prévoit que le logement doit disposer notamment d’un chauffage et d’équipements sanitaires et électriques aux normes de sécurité, de pièces principales bénéficiant de l’éclairement naturel, ainsi que d’un bon état d’entretien et de solidité afin de protéger les locaux contre les éventuels dégâts des eaux. Conformément aux dispositions prévues par la loi du 6 juillet 1989, le non-respect de cette décence doit être par la résiliation du bail ou le relogement du locataire. De tels impératifs ont été par la suite réaffirmés par la loi n° 2006-872 du 13 juillet 2006 portant engagement national pour le logement. Ils ont de plus fait l’objet des premières applications non seulement par les juges du fond, mais aussi par la Cour de cassation, qui a par exemple affirmé que l’exigence de la délivrance d’un logement décent impose son alimentation en eau courante. Plus récemment, la Cour de cassation a expressément affirmé que le bailleur était tenu de remettre au locataire un logement décent ne laissant pas apparaître de risques manifestes pouvant porter atteinte à la sécurité physique ou à la santé et doté de tous les éléments le rendant conforme à l’usage d’habitation.

On constate donc que l’affirmation selon laquelle le droit au logement est en droit fondamental n’est pas uniquement une proclamation de principe ; le caractère fondamental du droit au logement justifie les règles qui en permettent l’exercice. En employant à deux reprises le même terme, l’article 1er pose l’accent sur l’exercice du droit au logement : la seconde partie de l’alinéa premier indique que ce droit « s’exerce dans le cadre des lois qui le régissent », et l’alinéa 2 tire les conséquences de cela, en indiquant que « l’exercice de ce droit implique la liberté de choix pour toute personne de son mode d’habitation ».

b.- Le contenu du droit au logement : la liberté de choix du mode d’habitation

La volonté d’obtenir un équilibre entre les droits des cocontractants au contrat de bail a guidé le processus d’adoption de la loi du 6 juillet 1989 et elle apparaît donc clairement lors de son application, en raison des limitations imposées au propriétaire dans l’exercice de ses prérogatives. La réalisation effective d’un droit fondamental au logement, de valeur législative, a dû être complétée par le principe de liberté pour toute personne du choix de son mode d’habitation, évoqué à l’alinéa 2 de l’article 1er. C’est en se fondant sur cette liberté que, par exemple, la jurisprudence contrôle rigoureusement l’application du droit de reprise au bénéfice du propriétaire prévu par la loi du 6 juillet 1989, qui suppose l’habitation de locaux à titre principal et non comme résidence secondaire, ou qu’elle vérifie que ce droit est exercé par une personne physique. Chaque personne peut choisir entre plusieurs possibilités : la propriété, la location en secteur libre ou en secteur social. Il s’ensuit que le législateur peut imposer qu’une offre diversifiée de logements existe dans les différentes communes (L. SRU du 13 déc. 2000). L’exigence du maintien et du développement d’un secteur locatif posée par l’alinéa 2 de l’article commenté, a orienté certains auteurs à considérer que les restrictions apportées au XXe siècle par le dirigisme étatique sont si importantes que la propriété contemporaine ressemble davantage à celle de l’Ancien droit qu’à celle de 1804, caractérisé par son absolutisme.

C’est pour consacrer une réelle protection du logement du preneur qu’un droit subjectif spécifique a été introduit, susceptible de s’opposer au droit de propriété du bailleur. L’objet des deux réformes de 1982 et 1989 était de réglementer, en priorité, les modalités d’occupation d’un logement dans le cadre de la relation entre bailleurs et preneurs. Elles ont permis de conférer, au bénéfice de ces derniers, des prérogatives garanties par l’État, soumises néanmoins à une exigence préalable : l’existence d’un lien contractuel générateur d’obligations à la charge du propriétaire. Il est difficile, par conséquent, de déterminer la nature du droit subjectif conféré au preneur. Plus précisément, on peut se demander s’il s’agit d’un droit réel exercé directement sur l’immeuble loué ou d’un droit personnel qui permet au preneur d’exiger du bailleur une prestation. Certains ont pu considérer que le bail, permettant l’utilisation matérielle de la chose, était générateur d’un droit réel. Telle semble également être la conception retenue par le Conseil d’État qui a affirmé que le corollaire du droit de propriété est le droit pour le locataire de disposer librement d’un bien pris à bail. La doctrine majoritaire souligne à l’inverse que le preneur ne dispose que d’un droit personnel, lui permettant d’exiger du propriétaire la simple jouissance de la chose prévue par les diverses réformes. Aussi, on s’aperçoit que l’article 1er de la loi du 6 juillet 1989 affirme explicitement l’existence d’un droit au logement, mais il consacre surtout la constitution d’un droit du logement, contribuant ainsi à une pulvérisation du droit objectif en une diversité de droits subjectifs.

2.- La mise en œuvre du droit au logement

Les alinéas 3 et 5 de l’article 1er de la loi du 6 juillet 1989 indiquent les modalités de mise en œuvre du droit au logement. L’un interdit, l’autre impose : aucune personne ne peut se voir refuser la location d’un logement pour des motifs discriminatoires, et les droits et obligations des bailleurs et des locataires doivent être équilibrés. Aussi, la mise en œuvre du droit au logement est à la fois négative, lorsqu’elle passe par la prohibition des discriminations (a), et positive, dans la mesure où elle se réalise par le biais de l’imposition d’un équilibre entre les parties (b).

a.- La mise en œuvre négative : la prohibition des discriminations

Les règles posées à l’article 1er de la loi du 6 juillet 1989 ont vocation à s’appliquer en toutes hypothèses, sans aucune discrimination possible. Selon les termes de l’article 158 de la loi n° 2002-73 du 17 janvier 2002 de modernisation sociale, qui a inséré deux alinéas à l’article 1er de la loi du 6 juillet 1989, « aucune personne ne peut se voir refuser la location d’un logement en raison de son origine, son patronyme, son apparence physique, son sexe, sa situation de famille, son état de santé, son handicap, ses mœurs, son orientation sexuelle, ses opinions politiques, ses activités syndicales ou son appartenance ou sa non-appartenance vraie ou supposée à une ethnie, une Nation, une race ou une religion déterminée ». Cette disposition n’indique pas les sanctions susceptibles d’être prononcées en cas de discrimination exercée par un propriétaire à l’encontre d’un locataire. Toutefois, la mise en œuvre de la responsabilité civile du bailleur est envisageable dès lors que le refus ne se révèle pas justifié. De plus, des sanctions pénales peuvent être prononcées lorsqu’une discrimination est constatée, laquelle est une « distinction opérée entre les personnes physiques sur le fondement de leur origine, de leur sexe, de leur situation de famille, de leur grossesse, de leur apparence physique, de la particulière vulnérabilité résultant de leur situation économique, apparente ou connue de son auteur, de leur patronyme, de leur lieu de résidence, de leur état de santé, de leur perte d’autonomie, de leur handicap, de leurs caractéristiques génétiques, de leurs mœurs, de leur orientation sexuelle, de leur identité de genre, de leur âge, de leurs opinions politiques, de leurs activités syndicales, de leur capacité à s’exprimer dans une langue autre que le français, de leur appartenance ou de leur non-appartenance, vraie ou supposée, à une ethnie, une Nation, une prétendue race ou une religion déterminée » (art. 225-1, al. 1, c. pén.). Enfin, une nouvelle autorité administrative indépendante, la Haute autorité de lutte contre les discriminations et pour l’égalité (HALDE), a été instituée par la loi du 30 décembre 2004 avec pour mission notamment de lutter contre les discriminations prohibées par la loi, en fournissant toutes informations, et d’accompagner les victimes. En 2007, cette autorité a formulé différentes propositions qui avaient pour finalité de lutter contre les discriminations dans le logement, l’objectif étant notamment de proposer un encadrement des enquêtes sociales lors d’attributions de logements sociaux, pour garantir l’objectivité et le sérieux des éléments pris en considération. La HALDE a par la suite été remplacée par le défenseur des droits, créé par la loi organique n° 2011-333 du 29 mars 2011.

Si l’intention du législateur est louable, on peut toutefois s’interroger sur l’intérêt d’un doublon législatif, étant donné que le code pénal prévoit déjà une incrimination pour les hypothèses de discrimination. La comparaison des deux textes fait ressortir certaines différences. D’une part, l’âge n’apparaît pas comme étant un critère discriminatoire au sens de l’article 1er de la loi du 6 juillet 1989. On pourrait alors en déduire que le locataire peut légitimement être choisi en fonction de son âge, d’autant plus que certains locataires âgés de plus de 70 ans (et gagnant moins d’une fois et demie le SMIC) bénéficient d’une protection accrue en cas de congé (art. 15-III). Cependant, le code pénal érige l’âge en élément potentiel de discrimination. D’autre part, l’alinéa 3 de l’article commenté (à l’instar de l’article L. 1132-1, alinéa 1, c. trav.) ajoute trois éléments non mentionnés dans le code pénal, à savoir le patronyme, l’apparence physique et l’orientation sexuelle. Toutefois, on peut considérer que les notions d’origine, de handicap et de mœurs renvoient intrinsèquement à ces éléments.

b.- La mise en œuvre positive : l’imposition de l’équilibre entre les parties

L’affirmation du droit au logement comme droit fondamental est circonscrite à la seule relation entre bailleurs et preneurs qui ont au préalable conclu un contrat de bail. En 1989, elle a été complétée par une nouvelle exigence, posée par le dernier alinéa de l’article 1er : « Les droits et obligations réciproques des bailleurs et des locataires doivent être équilibrés dans leurs relations individuelles comme dans leurs relations collectives ». Cette recherche d’équilibre, qui caractérise en général le régime des baux d’habitation, ne constitue qu’une manifestation plus générale de l’influence consumériste de la matière au bénéfice du « consommateur de logement ». Par le recours à cette affirmation à caractère idéologique, le législateur a cherché à trouver un équilibre au sein d’une situation considérée par définition comme déséquilibrée au détriment des preneurs. Si des réformes ultérieures ont eu pour objectif de protéger les personnes défavorisées, ce principe vise à protéger tout locataire, y compris celui qui dispose de revenus suffisants, car il s’agit d’une règle générale permettant la mise en œuvre du droit au logement, droit fondamental.

Si la fixation du loyer était effectuée avec un montant prohibitif, elle aurait pour effet d’écarter toute faculté, pour le locataire, d’obtenir un logement ou même de rester dans l’appartement loué. La réglementation des modalités de fixation du loyer est de ce fait justifiée. La liberté contractuelle s’impose pour le secteur dit libre, lorsque le logement est neuf ou vacant mais rénové. Pour le secteur dit de liberté surveillée, au contraire, lorsque les locataires se succèdent sans amélioration apportée au logement, l’article 17-b de la loi du 6 juillet 1989 prévoit que le loyer soit fixé par référence aux loyers habituellement constatés dans le voisinage pour des logements comparables. Cet article précise de même les modalités de la révision annuelle du loyer. Ces dispositions tendent donc à conférer une protection pécuniaire aux locataires et à assurer l’effectivité de son droit fondamental au logement.

De même, l’article 10 de la loi du 6 juillet 1989 consacre un droit au renouvellement du contrat de bail. L’article 17-c énonce que le bailleur ne peut proposer une augmentation du loyer que s’il est manifestement sous-évalué. Il appartient au bailleur d’adresser au locataire une proposition de renouvellement avec un nouveau loyer fixé par référence aux loyers habituellement constatés dans le voisinage pour des logements comparables et, en cas de désaccord et à défaut de conciliation, le juge pourra être saisi. L’article L. 613-3 c. constr. hab. prévoit, à son tour, que l’expulsion du locataire est exclue entre le 1er novembre et le 15 mars, à moins que le relogement des intéressés puisse être assuré dans des conditions suffisantes respectant l’unité et les besoins de la famille. L’ensemble de ces textes illustre les conséquences qui découlent du dernier alinéa de l’article commenté : les considérations pécuniaires, ainsi que la stabilité contractuelle, contribuent à l’effectivité du droit au logement.

[1] Commentaire proposé par le professeur Valerio Forti et Julien Bourdoiseau (2012)

(0)

Le bail est un contrat synallagmatique. Il produit donc des obligations à la charge du bailleur comme du preneur (voy. l’article « Le bail de droit commun : les obligations du preneur à bail).

Les codificateurs ont clairement envisagé le bail comme un diminutif de la vente. Il n’est donc pas étonnant que les obligations des parties au bail soient très proches de celles des parties à la vente. On trouve ainsi un certain nombre de renvois explicites aux règles de la vente.

Obligation générique.- Le bailleur est débiteur d’une obligation générique, qui consiste à garantir au preneur la jouissance paisible du bien loué. Cette obligation apparaît par bribes dans la kyrielle des obligations décrites par les articles 1719 à 1727 du c.civ., qui toutes tendent à garantir la jouissance paisible du preneur. La lecture de l’article 1719 c.civ. l’atteste. Pour reprendre le mot des professeurs Antonmattéi et Raynard, cette obligation est l’« âme du bail ». Cet objectif justifie que le bailleur soit tenu de trois séries d’obligations :

– L’obligation de délivrance (section 1) ;

– L’obligation d’entretien (section 2) ;

– Les obligations de sûreté (section 3).

Obligation d’information.- Avant d’entamer l’étude, par le menu, de ces trois séries d’obligations, il importe de dire quelques mots de l’obligation d’information qui pèse sur les épaules du bailleur.

Le bailleur est tenu d’informer le preneur sur l’état de la chose donnée à bail. Le Code de l’environnement exige qu’un état des risques naturels (sismicité) et technologiques (nucléaire) soit fournir au locataire (art. L. 125-5, II ; loi 6 juill. 1989, art. 3-1 ; art. L. 145-1 c.com.). À défaut, le locataire (cela est vrai de l’acquéreur) peut poursuivre la résolution du contrat ou demander au juge une diminution du prix (art. L. 125-5, V, c. envir.). Le Code de la santé publique, qui entend prévenir les risques sanitaire liés à l’environnement, en l’occurrence ceux liés au saturnisme (intoxication aiguë ou chronique causée par le plomb ou par les sels de plomb. V. Institut national de la santé et de la recherche médicale, http://www.inserm.fr, santé publique, dossiers d’information), exige du bailleur qu’il fournisse à tout occupant un « constat de risque d’exposition au plomb » (art. L. 1334-5 ensemble L. 1134-7 c. santé publ.), à la condition toutefois que l’immeuble loué ait été construit avant le 1er janvier 1949 et qu’il soit affecté en tout ou partie à l’habitation. Et la loi d’ajouter que « l’absence dans le contrat de location du constat de risque d’exposition au plomb constitue un manquement aux obligations particulières de sécurité et de prudence susceptibles d’engager la responsabilité pénale du bailleur (C. santé publ., art. L. 1334-7, al. 3). Quant au risque d’exposition à l’amiante, les dispositions précitées font l’obligation au bailleur d’en avertir le preneur. Ce n’est pas tout, le Code de la construction et de l’habitation contraint le bailleur à fournir un diagnostic de performance énergétique (DPE) de l’immeuble loué (art. L. 134-1 et s. in diagnostics techniques). Le Code le définit ainsi : « Le diagnostic de performance énergétique d’un bâtiment ou d’une partie de bâtiment est un document qui comprend la quantité d’énergie effectivement consommée ou estimée pour une utilisation standardisée du bâtiment ou de la partie de bâtiment et une classification en fonction de valeurs de référence afin que les consommateurs puissent comparer et évaluer sa performance énergétique. Il est accompagné de recommandations destinées à améliorer cette performance. »

Heureux soient les bailleurs. On dit de l’enfer qu’il est pavé de bonnes intentions. On peut s’interroger sur l’inanité (caractère de ce qui est vide, sans réalité, sans intérêt. Au fig. : caractère de ce qui est inutile, futile, vain) de ces diagnostics techniques dans les villes où il existe une grave crise du logement…

Section 1.- L’obligation de délivrance

Obligation complexe.- Le bailleur est tenu de délivrer la chose louée (art. 1719, 1°, c.civ.) « en bon état de réparations de toute espèce » (art. 1720 c.civ.). La loi se fait plus pressante si le bien loué sert à l’habitation principale du preneur : elle exige en outre que le logement soit décent (art. 1719 1°, c.civ.).

Logement décent (renvoi).- Les caractères du logement décent sont spécifiques aux baux d’habitation ; ils seront envisagés à cette occasion (voy. l’article « Le bail d’habitation et à usage mixte »). On signalera simplement qu’un logement décent est logement qui correspond aux caractéristiques définies par le décret n° 2002-120 du 30 janvier 2002 relatif aux caractéristiques du logement décent pris pour l’application de l’article 187 de la loi n° 2000-1208 du 13 décembre 2000 relative à la solidarité et au renouvellement urbains (SRU) (décret modifié le 09 mars 2017 qu intègre la performance énergétique aux caractéristiques du logement décent). En ce sens, l’article 6, al. 1er, loi 6 juill. 1989 dispose : « Le bailleur est tenu de remettre au locataire un logement décent ne laissant pas apparaître de risques manifestes pouvant porter atteinte à la sécurité physique ou à la santé, exempt de toute infestation d’espèces nuisibles et parasites, répondant à un critère de performance énergétique minimale et doté des éléments le rendant conforme à l’usage d’habitation » (texte modifié en nov. 2018).

Division.- La délivrance s’entend donc de deux obligations distinctes : délivrer la chose louée (§1) et la délivrer en bon état (§2).

§1.- L’obligation de délivrer la chose louée

Contenu.- Le bailleur – comme le vendeur – doit mettre la chose louée à la disposition du locataire. Il s’agit d’une obligation essentielle du bail (Cass. 1ère civ., 11 oct. 1989, Bull. civ. I, n° 317), dont la convention des parties ne peut dispenser le bailleur. Autrement dit, l’obligation de délivrance est d’ordre public. Par voie de conséquence, le preneur peut refuser de payer les loyers tant que la chose ne lui a pas été délivrée. Pour cause : le contrat n’ayant reçu aucune exécution, le débiteur du loyer peut valablement s’en prévaloir pour différer l’accomplissement de sa prestation. Dans ce cas de figure, l’exception d’inexécution peut valablement être opposée (art. nouv. c.civ.). Ses conditions sont remplies.

Une erreur commune est faite en la matière : une fois que le bien loué a été mis à la disposition du locataire, le défaut de paiement du premier loyer ne dispense pas le bailleur de l’obligation de délivrance (Cass. 3ème civ., 28 juin 2006, Bull. civ. III, no 161). Souvenez-vous bien : le bail ne renferme pas d’obligation conjonctive (texte et définition).

La chose doit évidemment être délivrée libre de toute occupation. Elle doit être délivrée avec ses accessoires, lesquels seront déterminés en fonction de la nature du bien et du contenu de la convention.

La chose doit être conforme à la destination prévue au bail. Cela signifie qu’elle doit permettre au preneur de l’exploiter conformément à la destination convenue (ex. Cass. 3ème civ., 7 mars 2006, AJDI 2006. 467 [défaut d’autorisation de l’assemblée générale de copropriété] ; 3 mars 2009,Rev. loyers 2009. 222).

Si le contrat précise en outre la contenance de la chose, les éventuels écarts se règlent comme en matière de vente (art. 1616 à 1622 c.civ.). L’art. 1765 c.civ. le précise pour les baux à ferme, mais la solution doit être étendue à tous les baux immobiliers.

Frais de la délivrance.- Les frais de délivrance sont à la charge du bailleur, s’il n’y a eu stipulation contraire. Il s’agit de l’application de l’article 1608 c.civ. au bail.

Obligation continue.- La différence entre vente et le bail est que la première est un contrat instantané tandis que le second est un contrat à exécution successive. Ceci implique que contrairement aux règles qui ont court dans la vente, l’obligation de délivrance prend dans le bail un caractère continu (i.e. qu’elle se prolonge pendant toute la durée du bail). En conséquence, le bailleur n’a pas le droit de changer la forme de la chose louée (art. 1723 c.civ.) ou de supprimer l’un de ses éléments.

§2.- L’obligation de délivrer la chose louée en bon état

Contenu.- L’article 1720 c.civ. impose au bailleur de délivrer la chose en bon état de réparation de toute espèce. Il existe en matière de bail deux sortes de réparations : celles qui incombent au locataire – réparations locatives – et celles qui incombent au bailleur. La loi impose que la chose louée soit, en début de bail, en bon état de réparations, même locatives, quand bien même celles-ci seront à l’avenir à la charge exclusive du locataire (celui-ci doit, en la matière, faire perdurer le bon état de la chose).

Sanction.- Si la chose n’est pas en bon état, le locataire peut faire condamner le bailleur à procéder aux réparations qui s’imposent ou, à son choix, demander la résolution du bail si la gravité du manquement le justifie. Le bailleur engage également sa responsabilité contractuelle si le mauvais état de la chose louée a causé un dommage au preneur.

Limite, clauses de réception « en l’état ».- La règle de l’article 1720 c.civ. n’est pas d’ordre public et les parties aménagent souvent cette obligation en convenant que le preneur déclare bien connaître la chose et la prendre en l’état, ce qui a pour effet de décharger le bailleur de l’obligation de l’article 1720 précité.

Ces clauses sont parfaitement licites, même si la jurisprudence a coutume de les interpréter strictement. Mais la licéité a une limite : sous couvert de mettre certaines réparations à la charge du locataire, le bailleur ne peut pas aller jusqu’à s’exonérer de son obligation de délivrance, qui elle est d’ordre public.

Voy. pour un ex. typique : Cass 3ème civ., 5 juin 2002, Bull. civ. III, n° 123 :

Sur le premier moyen, pris en sa seconde branche : (Publication sans intérêt) ;

Mais sur le premier moyen, pris en sa première branche :

Vu les articles 1719 et 1720 du Code civil ;

Attendu que le bailleur est obligé, par la nature du contrat, et sans qu’il soit besoin d’aucune stipulation particulière, de délivrer au preneur la chose louée ; qu’il doit entretenir cette chose en état de servir à l’usage pour lequel elle a été louée et y faire, pendant la durée du bail, toutes les réparations qui peuvent devenir nécessaires, autres que les locatives ;

Attendu, selon l’arrêt attaqué (Aix-en-Provence, 17 mai 2000, n° 690), que M. X… a donné à bail à la société Hôtel de France un immeuble à usage commercial, en mauvais état ; que le bail stipulait que  » le bénéficiaire prendra les lieux dans l’état où ils se trouvent au jour de l’entrée en jouissance, les ayant visités à plusieurs reprises et ayant reçu du promettant deux rapports sur les travaux nécessaires à l’exploitation dans lesdits locaux d’un commerce d’hôtel « , les parties approuvant sans réserve l’état des lieux annexé au bail ; que la locataire a fait effectuer les travaux prévus aux rapports susvisés ; que ces travaux se sont révélés insuffisants pour la mise en conformité de l’hôtel ; que la locataire a alors entrepris les travaux supplémentaires nécessaires ;

Attendu que, pour débouter la société Hôtel de France de sa demande de remboursement de ces travaux supplémentaires, l’arrêt retient que, faute de stipulation expresse du bail, le bailleur n’avait pas l’obligation de prendre en charge le coût des travaux nécessaires à la mise en conformité de l’hôtel non prévus par les rapports d’experts établis antérieurement à la conclusion du bail, ces rapports n’ayant eu pour objet que d’informer le preneur sur l’état des lieux et l’éclairer sur les travaux à exécuter pour rendre les lieux conformes à l’usage d’hôtel prévu par le bail ;

Qu’en statuant ainsi, alors que la clause par laquelle le locataire prend les lieux dans l’état où ils se trouvent ne décharge pas le bailleur de son obligation de délivrance, la cour d’appel a violé les textes susvisés ;

Et attendu qu’il n’y a pas lieu de statuer sur le second moyen qui ne serait pas de nature à permettre l’admission du pourvoi ;

Par ces motifs :

CASSE ET ANNULE

En l’espèce, l’hôtel ne pouvait être exploité faute de mise en conformité : le preneur ne pouvait donc pas l’exploiter selon la destination convenue # obligation de délivrance.

Section 2.- L’obligation d’entretien

Contenu de l’obligation d’entretien (§1). Sanction de l’obligation d’entretien (§2)

§1.- Contenu de l’obligation d’entretien

Prolongement de l’obligation de délivrance.- Le bailleur, qui a délivré la chose en bon état de réparations de toute espèce, doit l’entretenir « en état de servir à l’usage pour lequel elle a été louée » (art. 1719, 2°, c.civ.), ce qui lui impose de « faire, pendant toute la durée du bail, toutes les réparations qui peuvent devenir nécessaires, autres que locatives » (art. 1720 al. 2, c.civ.).

Réparations locatives et « grosses réparations ».- Une distinction importante doit être opérée entre les réparations locatives ou de menu entretien, qui incombent au preneur, et les autres, qui forment l’objet de l’obligation d’entretien du bailleur. Le législateur y procède aux articles 1754, 1755 et 1756 c.civ.

L’idée est que le bailleur assume les grosses réparations, c’est à dire celles qui sont relatives à la structure ou aux éléments essentiels de la chose louée (ex. réfection du toit ou d’un mur). Il est à noter que la distinction entre les réparations locatives et celles qui ne le sont pas est précisée par certains statuts spéciaux. C’est précisément le cas en droit du bail d’immeuble d’habitation. La loi du 6 juillet 1989 renvoie à un décret le soin de définir ce que sont les réparations locatives puis de les lister (art. 6-1, d ; 25V). Aux termes de l’article 1er du décret n° 87-712 du 26 août 1987 pris en application de la loi n° 86-1290 du 23 décembre 1986 tendant à favoriser l’investissement locatif, l’accession à la propriété de logements sociaux et le développements de l’offre foncière et relatif aux réparations locatives, « sont des réparations locatives les travaux d’entretien courant et de menues réparations », à savoir celles entre autres listées. Par voie de conséquence, celles qui ne le seraient pas, au vu de la lettre ou de l’esprit du texte, sont des grosses réparations, qui doivent être faites par le bailleur. La jurisprudence y assimile les travaux prescrits par l’autorité administrative (Cass. 3e civ. 13 juill. 1994, no 91-22.260, Bull. civ. III, no 143).

Le domaine de ces grosses réparations est également borné « par le haut » : les très grosses réparations, i.e. celles qui relèvent de la reconstruction de la chose périe par cas fortuit ne sont pas à la charge du bailleur, mais plutôt à sa discrétion, puisque la perte de la chose louée met fin au bail (art. 1722 c.civ.). La jurisprudence tend à assimiler la vétusté à la perte de la chose, lorsque le coût des travaux excède la valeur du bien (Civ. 3e, 3 juin 1971, Bull. civ. III, n° 348).

La charge des grosses réparations peut contractuellement être transférée sur le locataire, mais certains statuts spéciaux l’interdisent (ex. loi du 6 juill. 1989, art. 6 c).

§2.- Sanction de l’obligation d’entretien

Droit commun.- L’inexécution par le bailleur de son obligation fonde le preneur à solliciter l’une quelconque des sanctions permises par le droit commun du contrat : exécution forcée, résiliation, indemnisation ; réalisation des travaux aux frais du bailleur sur autorisation de justice (art. 1222 nouv. c.civ. / art. 1144 anc. c.civ.). Deux précisions s’imposent. La mise en demeure préalable, restée sans succès, est exigée en jurisprudence.

L’exception d’inexécution est en principe inopposable. Ce mode de justice privée est réservé à l’inexécution par le bailleur de son obligation de délivrance. Il importe au preneur de rapporter la preuve d’un manquement tel que la jouissance est rendue impossible ou très difficile. L’article 1219 nouv. c.civ. (in L’exception d’inexécution) dit en ce sens que l’inexécution doit être suffisamment grave (comp. la note sous article 1219 rel. au bail qui donne à penser que l’exceptio non adimpleti contractus peut être opposée en tout état de cause. Mise en garde). C’est dire que les risques et périls sont grands pour qui entend ne pas payer (syno. Exécuté) sa propre obligation en réaction. En somme, tant que le preneur jouit de la chose, son refus de paiement est disproportionné et permet au bailleur d’obtenir la résiliation du contrat à ses torts. Encore faut-il s’entendre sur ce que peut signifier jouir de la chose donnée à bail… C’est une fois encore à la sagesse du juge que le Code renvoie en dernière intention. Dernière intention seulement, car créancier et débiteur sont invités à trouver une solution amiable à leur litige. En ce sens, et pour mémoire, l’article 56 du Code de procédure civile dispose que la saisine du juge de première instance contient (sauf justification d’un motif légitime tenant à l’urgence ou la matière considérée, en particulier lorsqu’elle intéresse l’Opu, à peine de nullité les diligences entreprises en vue de parvenir à une résolution amiable du litige.

Séquestre. Il reste toutefois la possibilité pour le preneur de pratiquer le séquestre. V. nouv droit commun des contrats. Le séquestre est le dépôt d’une chose contentieuse entre les mains d’un tiers, qui s’oblige à la rendre, une fois la contestation terminée, à la personne qui a le droit de l’obtenir (art. 1956 c.civ.). Il facilite l’exécution matérielle du règlement du litige et soustrait l’objet des convoitises – le loyer en l’occurrence – à l’humeur ou à la fraude des plaideurs (F. Collart-Dutilleul et Ph. Delebecque, Droit des contrats civils et commerciaux). C’est une variété de dépôt. Dans le cas particulier, le séquestre conventionnel est exclu, car il nécessite l’accord du bailleur et du preneur. Il reste le dépôt judiciaire. Il consiste à demander au juge, en référés au besoin, de séquestrer les loyers litigieux. Le séquestre prendra fin une fois que la motivation qui le motivait est terminée, soit qu’elle a été tranchée par une décision judiciaire définitive, et que donc la chose séquestrée n’est plus litigieuse, soit que le différend opposant les parties a disparu, par l’effet d’une transaction, d’un désistement d’instance ou autre acte mettant fin au procès, soit, si la juridiction n’avait pas encore été saisie, en conséquence d’une convention ou d’un quelconque arrangement. Les parties intéressées ont la faculté de supprimer le séquestre, même si l’instance a été engagée et perdure, dès lors qu’elles le considèrent comme inutile, et sans objet. Il constitue, en effet, une procédure qui n’est pas d’ordre public et qui reste à la discrétion des parties (F.-J. Pansier, Rép. civ., v° Séquestre)

Section 3.- Les obligations de sûreté

Division.- Sous cet intitulé un peu ésotérique, deux séries d’obligations seront rangées : les obligations de garantie, d’une part (§1), et les obligations de sécurité, d’autre part (§2). Avant de les présenter par le menu, il importe d’avoir bien en vue que les professeurs et les juges transposent au bail les règles de garantie associées à la vente.

§1.- Les obligations de garantie

Division. L’obligation de garantie contre les vices cachés (A). L’obligation de garantie contre l’éviction (B).

A.- L’obligation de garantie contre les vices cachés

La garantie contre les vices cachés est définie à l’article 1721 c.civ. Elle concerne « tous les vices ou défauts de la chose louée qui en empêchent l’usage, quand même le bailleur ne les aurait pas connus lors du bail. Pour le dire autrement, le vice est un défaut caché de la chose, existant au jour du bail qui empêche son usage normal (certains auteurs considèrent que le vice peut exister au cours du bail. Voy. en ce sens A. Bénabent, Droit des contrats civils et commerciaux / P.-H. Antonmattei et J. Raynard). Le vice doit être caché du preneur. Le texte ne le dit pas formellement. Mais c’est l’évidence. Si, au contraire, il devait être apparent, on peut raisonnablement penser que le preneur à bail serait en mesure d’apprécier l’impossibilité de jouir paisiblement de la chose. Le contrat ne pourrait donc être conclu qu’en connaissance de cause (voy. toutefois supra)…

Comme pour la vente, la garantie est due peu important que le bailleur ait eu ou non connaissance de l’existence du vice. Il y a toutefois une première différence notable entre les deux régimes. L’engagement de la responsabilité du vendeur suppose rapportée la preuve de sa connaissance du vice. Ce n’est pas le cas en droit du bail : la responsabilité sera encourue dans tous les cas de figure (art. 1721, al. 2, c.civ.).

La seconde distinction tient au silence du législateur quant à l’action en garantie contre les vices cachés de la chose louée. Faute de texte spécial, il importe d’appliquer le droit commun de la prescription. Dans le cas particulier, le preneur à bail est recevable à agir cinq année durant à compter de la découverte du vice rendant la chose impropre à l’usage auquel on la destine (art. 22129 et 2224 c.civ.).

B.- L’obligation de garantie contre l’éviction

Les troubles dans la jouissance de la chose peuvent être causés par le bailleur ou bien par des tiers au contrat de bail.

Troubles causés par le bailleur. – L’action du bailleur ne saurait troubler le preneur à bail dans sa jouissance des utilités de la chose. Aucun texte particulier ne règlement le cas de figure : obligation générique de garantie oblige (v. supra). Pour le dire autrement, l’article 1719 c.civ. est amplement suffisant pour fonder l’action en cessation du trouble intentée par le preneur.

Ce sont les troubles causés par les tiers qui ont plus volontiers retenu l’attention du législateur.

Troubles de droit causés par les tiers.- L’article 1726 c.civ. est explicite : le bailleur doit garantir le preneur contre tout trouble de droit qui émanerait d’un tiers. Pour le dire autrement, le preneur à bail ne doit pas être empêché de profiter des utilités de la chose en raison d’une prétention juridique formulée par un tiers (ex. titre de propriété, servitude…). Si une action en revendication du bien donné à bail est formée (ex. bail de la chose d’autrui. V. supra), alors l’article 1726 c.civ. fonde le locataire à demander une diminution du prix du contrat en cas d’éviction partielle (v. dans le même sens, l’art. 1626 c.civ. relativement à la vente) et la résolution du bail, assortie du paiement de dommages et intérêts en cas d’éviction totale.

Troubles de fait causés par les tiers.- L’article 1725 c.civ. dispose que les troubles de faits ne donnent pas lieu à garantie. La règle se comprend aisément. Le bailleur n’a pas vocation à couvrir une quelconque voie de fait. Vulgairement parlant, ce ne sont pas ses affaires. Il importe donc au seul preneur à bail d’agir en responsabilité contre les intéressés. Le bailleur n’est par exemple pas responsable des vols commis au cours du bail…sauf, bien entendu, si l’infraction a été facilitée par l’inexécution de ses propres obligations (ex. vol d’un vélo dans un local dédié dont la serrure endommagée n’a jamais été remplacée). C’est l’hypothèse de la voie de fait facilitée voire causée par la faute contractuelle du bailleur. Responsabilité encore, mais c’est un autre cas de figure, si la voie de fait du tiers a tellement endommagé le bien que le bailleur est constitué en faute pour ne pas avoir exécuté son obligation d’entretien (art. 1720 c.civ.).

§2.- L’obligation de sécurité

Formellement, le Code civil n’oblige pas le bailleur à garantir la sécurité du preneur. On doit à la jurisprudence d’avoir découvert cette obligation contractuelle et d’avoir précisé son intensité juridique (obligation de moyens). Pour mémoire, l’intensité juridique de l’obligation contractuelle est la résultante de deux variables : la première est l’intensité de l’engagement (qui peut être plus ou moins poussé) ; la seconde, l’intensité de la sanction en cas d’inexécution (qui peut être plus ou moins stricte).

Le professeur Leduc a tout dit sur ce sujet. Voici résumé à grands traits sa leçon. Le lecteur gagnera beaucoup à la lire in extenso (L’intensité juridique de l’obligation contractuelle, Revue de la recherche juridique, Droit prospectif, PUAM, 2011-3). L’obligation de moyens est l’obligation pour le débiteur de fournir la diligence qu’on est normalement en droit d’attendre de lui. Dit autrement : le normal est au cœur de l’obligation de moyens. La normalité implique la détermination d’un modèle de référence par rapport auquel on va apprécier le comportement du sujet jugé. Deux modes d’appréciation de la normalité s’opposent : l’appréciation extrinsèque (le comportement du sujet jugé est rapporté à un étalon de référence extérieur à lui) et l’appréciation intrinsèque (l’étalon de référence est le sujet jugé lui-même).

En bref, cette obligation de sécurité semble pouvoir être invoquée de manière autonome sans avoir nécessairement besoin d’être rattachée à un défaut d’entretien ou à un vice de la chose. Obligation dont l’intensité juridique a vocation à s’amplifier, particulièrement depuis l’exigence d’un logement décent qui se caractérise aussi par certaines normes de sécurité. Table des matières ).

(0)

Tandis que pèse sur le responsable du traitement un certain nombre d’obligations, la personne concernée jouit de plusieurs droits qui lui conférés par la loi informatique et libertés et le RGPD.

Au nombre de ces droits figurent le droit d’accès aux données à caractère personnel.

Il ressort des textes qu’il convient de distinguer le droit d’accès direct du droit d’accès indirect.

Tandis que dans le premier cas, le droit d’accès s’exerce directement auprès du responsable du traitement, dans le second, il s’exerce par l’entremise d’un tiers.

§1 : Le droit d’accès direct

A) Le principe du droit d’accès

  1. La reconnaissance d’un droit d’accès

==> La loi informatique et libertés

Dès 1978, le droit d’accès aux données à caractère personnel avait été envisagé par le législateur.

L’ancien article 35, al. 1er de la loi informatique et libertés prévoyait en ce sens que « le titulaire du droit d’accès peut obtenir communication des informations le concernant. La communication, en langage clair, doit être conforme au contenu des enregistrements ».

==> La directive du 24 octobre 1995

Ce droit d’accès a, par suite, été reconnu et précisé par le législateur européen lors de l’adoption de la directive du 24 octobre 1995.

L’article 12 de ce texte prévoyait, en effet, que :

« Les États membres garantissent à toute personne concernée le droit d’obtenir du responsable du traitement:

 a) sans contrainte, à des intervalles raisonnables et sans délais ou frais excessifs:

– la confirmation que des données la concernant sont ou ne sont pas traitées, ainsi que des informations portant au moins sur les finalités du traitement, les catégories de données sur lesquelles il porte et les destinataires ou les catégories de destinataires auxquels les données sont communiquées,

– la communication, sous une forme intelligible, des données faisant l’objet des traitements, ainsi que de toute information disponible sur l’origine des données,

– la connaissance de la logique qui sous-tend tout traitement automatisé des données la concernant, au moins dans le cas des décisions automatisées visées à l’article 15 paragraphe 1 ».

==> Le RGPD

Le RGPD a poursuivi dans cette voie en énonçant au considérant 63 que la personne concernée doit avoir le droit d’accéder aux données à caractère personnel qui ont été collectées à son sujet et d’exercer ce droit facilement et à des intervalles raisonnables, afin de prendre connaissance du traitement et d’en vérifier la licéité.

Cela inclut le droit des personnes concernées d’accéder aux données concernant leur santé, par exemple les données de leurs dossiers médicaux contenant des informations telles que des diagnostics, des résultats d’examens, des avis de médecins traitants et tout traitement ou intervention administrés.

Le législateur européen en a tiré la conséquence que toute personne concernée par un traitement devait avoir le droit de connaître et de se faire communiquer, en particulier, les finalités du traitement des données à caractère personnel, si possible la durée du traitement de ces données à caractère personnel, l’identité des destinataires de ces données à caractère personnel, la logique qui sous-tend leur éventuel traitement automatisé et les conséquences que ce traitement pourrait avoir, au moins en cas de profilage.

2. Le contenu du droit d’accès

Désormais, l’article 15 du RGPD prévoit que la personne concernée a le droit d’obtenir du responsable du traitement :

  • D’une part, la confirmation que des données à caractère personnel la concernant sont ou ne sont pas traitées et,
  • D’autre part, lorsque les données la concernant font l’objet d’un traitement, l’accès auxdites données à caractère personnel ainsi que les informations suivantes :
    • Les finalités du traitement ;
    • Les catégories de données à caractère personnel concernées ;
    • Les destinataires ou catégories de destinataires auxquels les données à caractère personnel ont été ou seront communiquées, en particulier les destinataires qui sont établis dans des pays tiers ou les organisations internationales ;
    • Lorsque cela est possible, la durée de conservation des données à caractère personnel envisagée ou, lorsque ce n’est pas possible, les critères utilisés pour déterminer cette durée ;
    • L’existence du droit de demander au responsable du traitement la rectification ou l’effacement de données à caractère personnel, ou une limitation du traitement des données à caractère personnel relatives à la personne concernée, ou du droit de s’opposer à ce traitement ;
    • Le droit d’introduire une réclamation auprès d’une autorité de contrôle ;
    • Lorsque les données à caractère personnel ne sont pas collectées auprès de la personne concernée, toute information disponible quant à leur source ;
    • L’existence d’une prise de décision automatisée, y compris un profilage, visée à l’article 22, paragraphes 1 et 4, et, au moins en pareils cas, des informations utiles concernant la logique sous-jacente, ainsi que l’importance et les conséquences prévues de ce traitement pour la personne concernée ;
    • Lorsque les données à caractère personnel sont transférées vers un pays tiers ou à une organisation internationale, la personne concernée a le droit d’être informée des garanties appropriées, en vertu de l’article 46, en ce qui concerne ce transfert.

3. Les modalités d’exercice du droit d’accès

==> Qui ?

Le droit d’accès est un droit personnel qui s’exerce à la demande par la personne concernée par le traitement ou ses ayants droit.

Il peut être observé que le titulaire de ce droit d’accès n’a pas à motiver sa demande. Il lui faudra simplement justifier son identité.

Par ailleurs, l’exercice du droit d’accès est gratuit de sorte qu’il ne saurait être subordonné à la fourniture d’une contrepartie de quelque nature que ce soit.

==> Auprès de qui ?

Le droit d’accès s’exerce directement auprès du responsable du traitement et non auprès de l’autorité de contrôle (la CNIL).

Pour identifier la personne ou le service à contacter, il conviendra de se reporter aux mentions légales du site web du responsable du traitement et, plus précisément, à sa politique de confidentialité.

==> Comment ?

Le droit d’accès peut dans tous les cas s’exercer par écrit. Il peut également s’exercer sur place.

  • Par écrit
    • L’exercice du droit d’accès peut être effectué par courrier ou par voie électronique
    • Il conviendra d’adresser le courrier directement au service ou à la personne concernée et de définir une adresse de réponse.
  • Sur place
    • Il conviendra de se munir d’une pièce d’identité
    • Lorsque le responsable du traitement permet la consultation des données sur place, celle-ci n’est possible que sous réserve de la protection des données personnelles des tiers.
    • Une copie des données à caractère personnel du demandeur peut être obtenue immédiatement.
    • Afin que le demandeur puisse en prendre pleinement connaissance, le responsable de traitement met à la disposition de l’intéressé toutes les données qui le concernent et pendant une durée suffisante.
    • Lors de la délivrance de la copie demandée, le responsable de traitement atteste, le cas échéant, du paiement de la somme perçue à ce titre.

==> Délivrance d’une copie

L’article 39 de la loi informatique et libertés prévoit qu’une copie des données à caractère personnel est délivrée à l’intéressé à sa demande.

Le responsable du traitement peut subordonner la délivrance de cette copie au paiement d’une somme qui ne peut excéder le coût de la reproduction.

Dans le même sens l’article 15 du RGPD dispose que le responsable du traitement peut exiger le paiement de frais raisonnables basés sur les coûts administratifs pour toute copie supplémentaire demandée par la personne concernée.

Lorsque la personne concernée présente sa demande par voie électronique, les informations sont fournies sous une forme électronique d’usage courant, à moins que la personne concernée ne demande qu’il en soit autrement.

==> Cas de dissimulation ou de disparition des données

L’article 39 de la loi informatique et libertés prévoit que, en cas de risque de dissimulation ou de disparition des données à caractère personnel, le juge compétent peut ordonner, y compris en référé, toutes mesures de nature à éviter cette dissimulation ou cette disparition.

B) Les limites au droit d’accès

Le législateur a assorti le droit d’accès de deux limites.

  1. Les demandes manifestement abusives

L’article 39, II de la loi informatique et libertés dispose que le responsable du traitement peut s’opposer aux demandes manifestement abusives, notamment par leur nombre, leur caractère répétitif ou systématique.

En cas de contestation, la charge de la preuve du caractère manifestement abusif des demandes incombe au responsable auprès duquel elles sont adressées.

Ainsi, lorsque l’exerce du droit d’accès est abusif, le responsable du traitement peut opposer un refus à la personne concernée, sans s’exposer à des sanctions.

Il en irait ainsi d’une demande de copie intégrale d’un enregistrement tous les trois mois.

2. Les finalités statistiques, scientifiques ou historiques

L’article 39, II de la loi informatique et liberté prévoit que le responsable du traitement peut refuser d’accès à la demande de la personne concernée lorsque les données à caractère personnel sont conservées sous une forme excluant manifestement tout risque d’atteinte à la vie privée des personnes concernées et pendant une durée n’excédant pas celle nécessaire aux seules finalités d’établissement de statistiques ou de recherche scientifique ou historique.

Reste que ce refus ne sera fondé qu’à la condition que le responsable du traitement ait porté à la connaissance de la CNIL son intention de limiter le droit d’accès.

II) Le droit d’accès indirect

L’accès à certaines données spécifiques n’est pas sans soulever, dans certains cas, des difficultés, en ce que les données ou les finalités du traitement sont sensibles par rapport aux intérêts de la puissance publique ou de la personne elle-même.

Aussi, pour ces cas très particuliers, le législateur a-t-il institué une procédure spécifique qui impose à la personne concernée de s’adresser à un tiers, la CNIL, pour exercer son droit d’accès, lequel devient alors indirect.

Ce droit d’accès, dit indirect, concerne notamment :

  • Les fichiers qui intéressent la sûreté de l’État, la défense ou la sécurité publique
  • Le fichier relatif au Traitement des Antécédents Judiciaires (TAJ)
  • Les fichiers des services de renseignement des ministères de l’intérieur
  • Le fichier de gestion informatisée des détenus en établissement pénitentiaire (GIDE)
  • Le fichier des comptes bancaires dénommé FICOBA
  • Le fichier du service TRACFIN

Lorsque le droit d’accès porte sur l’un de ces fichiers (liste non exhaustive, la personne concernée doit d’adresser à la CNIL qui sera son seul interlocuteur.

Cette dernière ne détenant pas les fichiers visés, elle n’a pas connaissance des informations qui y figurent.

Aussi, est-ce un magistrat de la CNIL qui exercera au nom et pour le compte de la personne concernée son droit d’accès.

A cet égard, il pourra demander à ce que les informations incomplètes, obsolètes ou non conformes aux textes régissant le fonctionnement des fichiers en cause soient complétées, mises à jour ou supprimées.

(0)

L’un des principaux apports du RGPD est qu’il généralise l’obligation de notifier les violations de données à caractère personnel à l’autorité de contrôle et aux personnes concernées.

==> Notion

Le RGPD définit en son article 4, 12 la violation de données à caractère personnel comme « une violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l’altération, la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d’une autre manière, ou l’accès non autorisé à de telles données »

Sensiblement dans le même sens, l’article 34 bis de la loi informatique et libertés prévoit que « on entend par violation de données à caractère personnel toute violation de la sécurité entraînant accidentellement ou de manière illicite la destruction, la perte, l’altération, la divulgation ou l’accès non autorisé à des données à caractère personnel faisant l’objet d’un traitement dans le cadre de la fourniture au public de services de communications électroniques. »

Il ressort de ces deux définitions que, pour qu’une violation de données à caractère personnel soit caractérisée, deux éléments doivent être réunis :

  • Un traitement de données à caractère personnel doit avoir été mis en œuvre
  • Les données ont fait l’objet d’une violation laquelle consiste
    • Soit en la destruction, la perte, l’altération, la divulgation non autorisée de données
    • Soit en l’accès non autorisé à ces données

Dans son avis 03/2014 sur la notification des violations, le G29 considérait que les violations pouvaient être classées selon trois principes de sécurité de l’information bien connus :

  • Violation de la confidentialité: la divulgation ou l’accès non autorisés ou accidentels à des données à caractère personnel
  • Violation de l’intégrité: l’altération non autorisée ou accidentelle de données à caractère personnel
  • Violation de la disponibilité: la destruction ou la perte accidentelles ou non autorisées de l’accès15 à des données à caractère personnel

Il convient également de noter qu’en fonction des circonstances, une violation peut concerner à la fois la confidentialité, l’intégrité et la disponibilité de données à caractère personnel ou une combinaison de ces éléments.

S’il est relativement facile de déterminer si une violation de la confidentialité ou de l’intégrité s’est produite, il peut être moins évident de déterminer l’existence d’une violation de la disponibilité. Une violation sera toujours considérée comme une violation de la disponibilité en cas de perte ou de destruction permanente de données à caractère personnel.

==> Enjeux

Comme relevé pour le Groupe de l’article 29, une violation de données à caractère personnel peut potentiellement avoir, pour les personnes concernées, toute une série de conséquences négatives, susceptibles d’entraîner des dommages physiques, matériels ou un préjudice moral.

Le RGPD indique que ces dommages et préjudices peuvent inclure une perte de contrôle sur leurs données à caractère personnel, la limitation de leurs droits, une discrimination, un vol ou une usurpation d’identité, une perte financière, un renversement non autorisé de la procédure de pseudonymisation, une atteinte à la réputation ou une perte de confidentialité de données à caractère personnel protégées par le secret professionnel. Ils peuvent également comprendre tout autre dommage économique ou social important pour les personnes concernées.

Pour ces raisons, le RGPD exige donc du responsable du traitement qu’il notifie toute violation à l’autorité de contrôle, à moins qu’elle ne soit pas susceptible d’engendrer le risque que de telles conséquences négatives ne se produisent. Lorsqu’en revanche, ce risque est élevé, le RGPD exige du responsable du traitement qu’il communique la violation aux personnes concernées dans les meilleurs délais.

Deux sortes de notifications sont ainsi envisagées par le texte :

  • La notification à l’autorité de contrôle
  • La notification aux personnes concernées

I) La notification des violations de données à l’autorité de contrôle

A) Principe

==> Exigence de notification

L’article 33 du RGPD dispose que en cas de violation de données à caractère personnel, le responsable du traitement en notifie la violation en question à l’autorité de contrôle compétente, soit à la CNIL lorsque la violation intervient sur le territoire français.

Quant au sous-traitant, il a l’obligation de notifier au responsable du traitement toute violation de données à caractère personnel dans les meilleurs délais après en avoir pris connaissance.

Plus encore, en application de l’article 28, 3, f, il doit, aider le responsable du traitement à garantir le respect de l’obligation de notification, compte tenu de la nature du traitement et des informations à la disposition du sous-traitant.

==> Contenu de la notification

La notification dont est destinataire l’autorité de contrôle doit :

  • Décrire la nature de la violation de données à caractère personnel y compris, si possible, les catégories et le nombre approximatif de personnes concernées par la violation et les catégories et le nombre approximatif d’enregistrements de données à caractère personnel concernés ;
  • Communiquer le nom et les coordonnées du délégué à la protection des données ou d’un autre point de contact auprès duquel des informations supplémentaires peuvent être obtenues ;
  • Décrire les conséquences probables de la violation de données à caractère personnel ;
  • Décrire les mesures prises ou que le responsable du traitement propose de prendre pour remédier à la violation de données à caractère personnel, y compris, le cas échéant, les mesures pour en atténuer les éventuelles conséquences négatives.

==> Le délai de notification

  • La notification à bref délai
    • L’article 33, 1 du RGPD prévoit que la notification de la violation de données doit intervenir dans les meilleurs délais et, si possible, 72 heures au plus tard après en avoir pris connaissance, à moins que la violation en question ne soit pas susceptible d’engendrer un risque pour les droits et libertés des personnes physiques.
    • Cette exigence soulève la question de savoir quand un responsable du traitement peut être considéré comme ayant pris « connaissance » d’une violation.
    • Le Groupe de l’article 29 considère qu’un responsable du traitement doit être considéré comme ayant pris « connaissance » lorsqu’il est raisonnablement certain qu’un incident de sécurité s’est produit et que cet incident a compromis des données à caractère personnel.
    • Au vrai, le moment exact où un responsable du traitement peut être considéré comme ayant pris « connaissance » d’une violation spécifique dépendra des circonstances de la violation en question.
    • Dans certains cas, il sera relativement clair dès le début qu’une violation s’est produite, tandis que dans d’autres, un certain temps pourrait être nécessaire avant de pouvoir déterminer si des données à caractère personnel ont été compromises.
    • Après avoir pris connaissance d’un incident, le responsable du traitement doit notifier toute violation soumise à l’obligation de notification dans les meilleurs délais, et, si possible, dans les 72 heures.
    • Pendant cette période, il appartient au responsable du traitement d’évaluer le risque probable pour les personnes concernées afin de déterminer si l’obligation de notification s’applique et quelle ou quelles mesures doivent être prises afin de remédier à cette violation.
  • La notification échelonnée
    • En fonction de la nature de la violation, il peut être nécessaire que le responsable du traitement effectue une enquête complémentaire afin d’établir tous les faits pertinents liés à l’incident.
    • Aussi l’article 33, 4, dispose-t-il que « si, et dans la mesure où, il n’est pas possible de fournir toutes les informations en même temps, les informations peuvent être communiquées de manière échelonnée sans autre retard indu. »
    • Cela signifie que le RGPD reconnaît que les responsables du traitement ne disposeront pas toujours de toutes les informations nécessaires concernant une violation dans les 72 heures après en avoir pris connaissance, dès lors que l’ensemble des détails de l’incident peuvent ne pas être systématiquement disponibles au cours de cette période initiale.
    • Il autorise donc une notification échelonnée.
    • Une telle notification interviendra plus probablement dans le cas de violations plus complexes, telles que certains types d’incidents de cybersécurité nécessitant par exemple une enquête approfondie et détaillée afin d’établir pleinement la nature de la violation et la mesure dans laquelle des données à caractère personnel ont été compromises.
    • Dans de nombreux cas, le responsable du traitement devra ainsi poursuivre son enquête et fournir des informations complémentaires à l’autorité de contrôle par la suite.
    • Il y est autorisé à condition de justifier son retard conformément à l’article 33, 1.
    • Le Groupe de l’article 29 recommande que, si le responsable du traitement ne dispose pas encore de toutes les informations nécessaires, il en informe l’autorité de contrôle dans le cadre de sa notification initiale et précise qu’il fournira des informations plus détaillées par la suite.
  • La notification tardive
    • L’article 33, 1 du RGPD prévoit que « lorsque la notification à l’autorité de contrôle n’a pas lieu dans les 72 heures, elle est accompagnée des motifs du retard. »
    • Cette disposition reconnaît, au même titre que le concept de notification échelonnée, qu’un responsable du traitement peut ne pas toujours être en mesure de notifier une violation dans ce délai, et qu’une notification tardive pourrait être autorisée.
    • Un tel scénario pourrait par exemple se produire lorsqu’un responsable du traitement constate, sur une courte période, plusieurs violations similaires affectant de façon identique de grandes quantités de personnes concernées.
    • Un responsable du traitement pourrait prendre connaissance d’une violation et, en entreprenant son enquête et avant la notification, détecter d’autres violations similaires dont la cause diffère.
    • En fonction des circonstances, il pourrait falloir un certain temps au responsable du traitement pour établir la portée des violations et pour élaborer une notification constructive comprenant différentes violations très similaires, mais aux causes potentiellement différentes, plutôt que de notifier chaque violation individuellement.
    • La notification à l’autorité de contrôle peut par conséquent avoir lieu plus de 72 heures après la prise de connaissance de ces violations par le responsable du traitement.

==> La documentation de la violation

Que la violation de données doive ou non être notifiée à l’autorité de contrôle, le responsable du traitement a l’obligation de documenter toutes les violations, comme exigé à l’article 33, 5 du RGPD.

Le texte prévoit que « le responsable du traitement documente toute violation de données à caractère personnel, en indiquant les faits concernant la violation des données à caractère personnel, ses effets et les mesures prises pour y remédier. La documentation ainsi constituée permet à l’autorité de contrôle de vérifier le respect du présent article. »

Cette obligation de documentation est liée au principe de responsabilité du RGPD figurant à l’article 5 2.

Cette exigence de tenir des registres des violations, qu’elles soient sujettes à notification ou non, est également liée aux obligations du responsable du traitement au titre de l’article 24, et l’autorité de contrôle peut demander à voir lesdits registres.

Les responsables du traitement sont donc encouragés à établir un registre interne des violations, qu’ils soient tenus de les notifier ou non.

S’il appartient au responsable du traitement de déterminer la méthode et la structure à utiliser pour documenter une violation, certaines informations clés doivent être incluses en toutes circonstances.

Comme requis à l’article 33, 5, le responsable du traitement doit reprendre des informations concernant la violation, y compris les causes, les faits et les données à caractère personnel concernées. Il doit également inclure les effets et les conséquences de la violation ainsi que les mesures prises par le responsable du traitement pour y remédier.

Outre ces informations, le Groupe de l’article 29 recommande que le responsable du traitement documente également le raisonnement justifiant les décisions prises en réaction à la violation.

En particulier, lorsqu’une violation n’est pas notifiée, la justification de cette décision doit être documentée.

Cette justification doit inclure les raisons pour lesquelles le responsable du traitement considère que la violation est peu susceptible d’engendrer un risque pour les droits et libertés des individus.

B) Exception

L’article 33, 1 prévoit clairement qu’une violation qui n’est « pas susceptible d’engendrer un risque pour les droits et libertés des personnes physiques » n’a pas à être notifiée à l’autorité de contrôle.

Tel pourrait par exemple être le cas lorsque les données à caractère personnel sont déjà disponibles pour le public et qu’une divulgation desdites données n’est pas susceptible d’engendrer un risque pour les personnes concernées.

Ceci contraste avec les obligations de notification s’appliquant aux fournisseurs de services de communications électroniques accessibles au public en vertu de la directive 2009/136/CE, qui dispose que toutes les violations pertinentes doivent être notifiées à l’autorité compétente.

A cet égard, dans son avis 03/2014 sur la notification des violations, le Groupe de l’article 29 expliquait qu’une violation de la confidentialité de données à caractère personnel qui ont été cryptées à l’aide d’un algorithme de pointe constitue, malgré tout, une violation de données à caractère personnel, et que celle-ci devait être notifiée.

Néanmoins, si la confidentialité de la clé de cryptage est intacte – soit que la clé n’a été compromise dans aucune violation de sécurité et a été générée de façon à ne pouvoir être trouvée, par aucun moyen technologique existant, par quelqu’un qui n’est pas autorisé à l’utiliser –, les données sont en principe incompréhensibles.

La violation n’est donc pas susceptible de porter atteinte aux personnes concernées et n’aurait donc pas besoin de leur être communiquée.

Toutefois, même lorsque les données sont cryptées, une perte ou une altération peut avoir des conséquences négatives pour les personnes concernées lorsque le responsable du traitement ne dispose pas de sauvegardes adéquates.

Dans ce cas de figure, il convient de communiquer la violation aux personnes concernées, même si les données elles-mêmes ont fait l’objet de mesures de cryptage adéquates.

II) La notification des violations de données aux personnes concernées

A) Principe

==> Exigence de notification

L’article 34 du RGPD dispose que lorsqu’une violation de données à caractère personnel est susceptible d’engendrer un risque élevé pour les droits et libertés d’une personne physique, le responsable du traitement communique la violation de données à caractère personnel à la personne concernée dans les meilleurs délais.

Il ressort de cette disposition que la notification est ainsi exigée dès lorsque que la violation de données « est susceptible d’engendrer un risque élevé pour les droits et libertés d’une personne physique ».

Le seuil à atteindre est par conséquent plus élevé pour la communication aux personnes concernées que pour la notification à l’autorité de contrôle, et toutes les violations ne devront donc pas être communiquées aux personnes concernées, ce qui les protège de notifications excessives et non nécessaires.

La question qui alors se pose est de savoir ce que l’on doit entendre par « risque élevé pour les droits et libertés » des personnes.

==> L’appréciation du risque élevé

Le considérant 75 du RGPD indique :

  • D’une part, que, les risques pour les droits et libertés des personnes physiques sont susceptibles de présenter différents degrés de probabilité et de gravité
  • D’autre part, que, des risques pour les droits et libertés des personnes physiques existent en particulier :
    • Lorsque le traitement peut donner lieu à une discrimination, à un vol ou une usurpation d’identité, à une perte financière, à une atteinte à la réputation, à une perte de confidentialité de données protégées par le secret professionnel, à un renversement non autorisé du processus de pseudonymisation ou à tout autre dommage économique ou social important
    • Lorsque les personnes concernées pourraient être privées de leurs droits et libertés ou empêchées d’exercer le contrôle sur leurs données à caractère personnel
    • Lorsque le traitement concerne des données à caractère personnel qui révèlent l’origine raciale ou ethnique, les opinions politiques, la religion ou les convictions philosophiques, l’appartenance syndicale, ainsi que des données génétiques, des données concernant la santé ou des données concernant la vie sexuelle ou des données relatives à des condamnations pénales et à des infractions, ou encore à des mesures de sûreté connexes
    • Lorsque des aspects personnels sont évalués, notamment dans le cadre de l’analyse ou de la prédiction d’éléments concernant le rendement au travail, la situation économique, la santé, les préférences ou centres d’intérêt personnels, la fiabilité ou le comportement, la localisation ou les déplacements, en vue de créer ou d’utiliser des profils individuels
    • Lorsque le traitement porte sur des données à caractère personnel relatives à des personnes physiques vulnérables, en particulier les enfants
    • Lorsque le traitement porte sur un volume important de données à caractère personnel et touche un nombre important de personnes concernées.

Le considérant 76 précise qu’il convient de déterminer la probabilité et la gravité du risque pour les droits et libertés de la personne concernée en fonction de la nature, de la portée, du contexte et des finalités du traitement.

A cet égard, le risque doit faire l’objet d’une évaluation objective permettant de déterminer si les opérations de traitement des données comportent un risque ou un risque élevé.

Le Groupe de l’article 29 recommande que l’évaluation du risque tienne compte d’un certain nombre de critères :

  • Le type de violation
    • Le type de la violation survenue peut avoir une incidence sur le niveau de risque encouru par les personnes concernées.
    • Par exemple, les conséquences d’une violation de la confidentialité dans le cadre de laquelle des informations médicales ont été divulguées à des parties non autorisées pourraient différer de celles engendrées par une violation dans le cadre de laquelle les informations médicales d’un patient ont été perdues ou ne sont plus disponibles.
  • La nature, le caractère sensible et le volume des données à caractère personnel
    • L’un des facteurs clés dans l’évaluation du risque est le type et le caractère sensible des données à caractère personnel qui ont été compromises par la violation.
    • En général, plus les données sont sensibles, plus le risque de dommage sera élevé pour les personnes concernées, mais il convient également de tenir compte des autres données à caractère personnel qui pourraient déjà être disponibles au sujet de la personne concernée.
    • Par exemple, dans des circonstances normales, la divulgation du nom et de l’adresse d’une personne est peu susceptible d’entraîner un préjudice important.
  • La facilité d’identification des personnes concernées
    • Un facteur important à prendre en compte est la facilité avec laquelle une partie ayant accès à des données à caractère personnel compromises peut identifier des individus spécifiques ou associer les données en question à d’autres informations afin d’identifier ces mêmes individus.
    • Dans certaines circonstances, une identification pourrait être possible directement à partir des données à caractère personnel compromises, sans que des recherches spécifiques ne soient nécessaires pour découvrir l’identité de la personne concernée, tandis que dans d’autres, il pourrait être extrêmement difficile d’attribuer des données à caractère personnel à une personne spécifique, bien que cela puisse toujours être possible dans certaines conditions.
    • Une identification peut être directement ou indirectement possible à partir des données compromises, comme elle peut dépendre des circonstances spécifiques de la violation et de la disponibilité publique de renseignements personnels connexes.
  • La gravité des conséquences pour les personnes concernées
    • En fonction de la nature des données à caractère personnel impliquées dans une violation, par exemple des catégories particulières de données, les dommages potentiels pour les personnes concernées peuvent être particulièrement graves, notamment lorsque la violation pourrait entraîner un vol ou une usurpation d’identité, un préjudice physique, une détresse psychologique, une humiliation ou une atteinte à la réputation.
    • Si la violation concerne des données à caractère personnel de personnes vulnérables, celles-ci pourraient être exposées à un plus grand risque de dommages.
  • Les caractéristiques particulières des personnes concernées
    • Une violation peut toucher des données à caractère personnel concernant des enfants ou d’autres personnes vulnérables, qui pourraient alors être exposés à un risque plus important.
    • D’autres facteurs spécifiques aux personnes concernées pourraient également affecter la gravité des conséquences de la violation pour les personnes en question.
  • Les caractéristiques particulières du responsable du traitement
    • La nature et le rôle du responsable du traitement ainsi que de ses activités peuvent affecter le niveau de risque qu’engendre une violation pour les personnes concernées.
    • Par exemple, dès lors qu’une organisation médicale traite des catégories particulières de données à caractère personnel, le risque pour les personnes concernées sera plus important en cas de violation de données à caractère personnel que s’il s’agissait d’une liste de diffusion d’un journal.
  • Le nombre de personnes concernées
    • Une violation peut toucher uniquement une personne, un nombre restreint de personnes ou des milliers de personnes, voire davantage.
    • En général, plus le nombre de personnes concernées est élevé, plus les conséquences potentielles d’une violation sont nombreuses.
  • Éléments généraux
    • Lorsqu’il évalue le risque susceptible de résulter d’une violation, le responsable du traitement devrait ainsi examiner à la fois la gravité des conséquences potentielles pour les droits et libertés des personnes concernées et la probabilité que ces conséquences se produisent.
    • Il est évident que lorsque les conséquences d’une violation sont potentiellement plus graves, le risque est plus élevé.
    • De même, lorsque la probabilité que celles-ci se produisent est plus importante, le risque s’en verra également renforcé.
    • En cas de doute, le responsable du traitement devrait opter pour la prudence et procéder à une notification.

==> Contenu de la notification

L’article 34, 2 prévoit que la communication à la personne concernée visée au paragraphe 1 du présent article décrit, en des termes clairs et simples, la nature de la violation de données à caractère personnel et contient au moins les informations et mesures visées à l’article 33, paragraphe 3, points b), c) et d), soit :

  • La communication du nom et des coordonnées du délégué à la protection des données ou d’un autre point de contact auprès duquel des informations supplémentaires peuvent être obtenues ;
  • La description des conséquences probables de la violation de données à caractère personnel ;
  • La description des mesures prises ou que le responsable du traitement propose de prendre pour remédier à la violation de données à caractère personnel, y compris, le cas échéant, les mesures pour en atténuer les éventuelles conséquences négatives.

==> Délai de notification

L’article 34, 1 du RGPD prévoit que la notification de la violation doit intervenir dans les plus brefs délais sans autre précision.

Le 4 précise que si le responsable du traitement n’a pas déjà communiqué à la personne concernée la violation de données à caractère personnel la concernant, l’autorité de contrôle peut, après avoir examiné si cette violation de données à caractère personnel est susceptible d’engendrer un risque élevé, exiger du responsable du traitement qu’il procède à cette communication ou décider que l’une ou l’autre des conditions visées au paragraphe 3 est remplie.

Il appartient donc au responsable du traitement de notifier immédiatement à l’autorité de contrôle, soit à la CNIL, toute violation de données.

B) Exceptions

L’article 34, 3 définit trois conditions dans lesquelles la communication aux personnes concernées n’est pas nécessaire en cas de violation, à savoir :

  • Première condition
    • Le responsable du traitement a mis en œuvre les mesures techniques et organisationnelles appropriées afin de protéger les données à caractère personnel préalablement à la violation, en particulier les mesures qui rendent les données à caractère personnel incompréhensibles pour toute personne qui n’est pas autorisée à y avoir accès.
    • Cela pourrait par exemple inclure la protection des données à caractère personnel au moyen d’un chiffrement de pointe ou par tokénisation;
  • Deuxième condition
    • Le responsable du traitement a pris, immédiatement après la violation, des mesures qui garantissent que le risque élevé pour les droits et libertés des personnes concernées n’est plus susceptible de se concrétiser.
    • Par exemple, en fonction des circonstances du cas d’espèce, le responsable du traitement peut avoir immédiatement déterminé et pris des mesures contre la personne ayant accédé aux données à caractère personnel avant qu’elle n’ait pu les utiliser.
    • Il convient cependant toujours de tenir compte des conséquences potentielles de toute violation de la confidentialité, toujours en fonction de la nature des données concernées.
  • Troisième condition
    • Contacter les personnes concernées exigerait des efforts disproportionnés
    • Par exemple si leurs coordonnées ont été perdues à la suite de la violation ou ne sont tout simplement pas connues.
    • Dans un tel cas, le responsable du traitement doit procéder à une communication publique ou prendre une mesure similaire permettant aux personnes concernées d’être informées de manière tout aussi efficace.
    • En cas d’efforts disproportionnés, des dispositions techniques pourraient également être envisagées afin que les informations concernant la violation soient disponibles sur demande, ce qui pourrait se révéler utile pour les personnes éventuellement affectées par la violation, mais que le responsable du traitement n’est pas en mesure de contacter par un autre biais.
(1)

L’apport majeur du RGPD est d’avoir renforcé les droits des personnes concernées par un traitement de données à caractère personnel au moyen d’un bouleversement des principes s’imposant aux acteurs.

Ainsi, a-t-on assisté au passage d’une logique de formalités préalables (déclarations et autorisations) à une logique de conformité et de responsabilité.

Le changement de paradigme ainsi opéré combiné à l’appel à des outils de droit souple tels que les référentiels, les codes de bonne conduite et les packs de conformité, est un gage d’allègement des démarches administratives et de réduction des délais de mise en œuvre pour les entreprises.

Cet allègement des formalités introduit par le RGPD a pour contrepartie l’établissement de nouvelles obligations pesant sur les responsables de traitements et sous-traitants telles que :

  • La mise en œuvre d’outils de protection des données personnelles dès la conception du traitement ou par défaut (article 25)
  • L’obligation de tenir une documentation, en particulier au travers d’un registre des activités de traitement (article 30)
  • La notification des violations de données personnelles à l’autorité de protection et, dans certains cas, à la personne concernée (articles 33 et 34)
  • La désignation d’un délégué à la protection des données (article 37)
  • L’adhésion à des codes de bonne conduite (articles 40 et 41)
  • La participation à des mécanismes de certification (articles 42 et 43)

Ainsi le RGPD se fonde-t-il sur une logique de responsabilisation des acteurs qui mettent en œuvre des traitements de données à caractère personnel en introduisant le principe d’accountability.

Bien qu’il soit difficile de définir avec précision le sens de ce principe dans la pratique, on peut toutefois avancer qu’il met l’accent, en substance, sur la manière dont la responsabilité (responsability) est assumée et sur la manière de le vérifier.

En anglais, les termes « responsibility » et « accountability » sont comme l’avers et le revers d’une médaille et sont tous deux des éléments essentiels de la bonne gouvernance.

On ne peut inspirer une confiance suffisante que s’il est démontré que la responsabilité (responsability) est efficacement assumée dans la pratique.

Au fond, le principe d’« accountability » s’articule autour de deux axes :

  • D’une part, la nécessité pour le responsable du traitement des données de prendre des mesures appropriées et efficaces pour mettre en œuvre les principes de protection des données
  • D’autre part, la nécessité pour le responsable du traitement de démontrer, sur demande, que des mesures appropriées et efficaces ont été prises.

Pour atteindre ces deux objectifs, il appartient au responsable du traitement de se doter d’une politique de gestion de la conformité, ce qui doit se traduire par la mise en œuvre de procédures internes visant à mettre en application les principes de la protection des données.

Dans cette perspective, les mesures prises par le responsable du traitement doivent être adaptées aux circonstances. En somme, les mesures spécifiques à appliquer doivent être arrêtées selon les faits et circonstances de chaque cas particulier, compte tenu, en particulier, du risque associé au traitement et aux types de données.

L’adéquation des mesures doit donc être établie au cas par cas et plus précisément selon le niveau de risque : plus le traitement de données est sensible et plus les mesures prises pour assurer la protection des personnes concernées devront être renforcées.

Afin d’orienter le responsable du traitement dans cette voie et de lui permettre de définir et mettre en œuvre les mesures requises pour garantir la conformité de ses opérations avec les principes et obligations du RGPD et en fassent vérifier l’efficacité de manière périodique, le législateur a mis à sa charge un certain nombre d’obligations, dont l’obligation de sécurisation des données.

I) La définition de la politique de sécurité

==> Le contenu du dispositif

L’une des exigences du RGPD est que les données à caractère personnel soient traitées de façon à garantir un niveau de sécurité approprié desdites données, et notamment à les protéger contre le traitement non autorisé ou illicite et contre la perte, la destruction ou les dégâts d’origine accidentelle, à l’aide de mesures techniques ou organisationnelles appropriées.

Cette exigence rejoint celle posée à l’article 34 de la loi informatique et libertés qui énonce que « le responsable du traitement est tenu de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès. »

A cet égard, l’article 32, 1 du RGPD prévoit que le responsable du traitement et le sous-traitant ont l’obligation de mettre en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque encouru.

Ces mesures doivent être prises en considération de :

  • L’état des connaissances
  • Des coûts de mise en œuvre et de la nature, de la portée, du contexte et des finalités du traitement
  • Des risques, dont le degré de probabilité et de gravité varie, pour les droits et libertés des personnes physiques

Surtout, il est par ailleurs précisé que lors de l’évaluation du niveau de sécurité approprié, il est tenu compte en particulier des risques que présente le traitement, résultant notamment de la destruction, de la perte, de l’altération, de la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d’une autre manière, ou de l’accès non autorisé à de telles données, de manière accidentelle ou illicite.

Les mesures techniques et organisationnelles prises par le responsable du traitement peuvent notamment consister en :

  • La pseudonymisation et le chiffrement des données à caractère personnel ;
  • Des moyens permettant de garantir la confidentialité, l’intégrité, la disponibilité et la résilience constantes des systèmes et des services de traitement ;
  • Des moyens permettant de rétablir la disponibilité des données à caractère personnel et l’accès à celles-ci dans des délais appropriés en cas d’incident physique ou technique ;
  • Une procédure visant à tester, à analyser et à évaluer régulièrement l’efficacité des mesures techniques et organisationnelles pour assurer la sécurité du traitement.

==> La finalité du dispositif

D’abord, le considérant 39 du RGPD prévoit que les données à caractère personnel doivent être traitées de manière à garantir une sécurité et une confidentialité appropriées, y compris pour prévenir l’accès non autorisé à ces données et à l’équipement utilisé pour leur traitement ainsi que l’utilisation non autorisée de ces données et de cet équipement.

Ensuite, il ressort du considérant 87 que, s’il doit être vérifié que toutes les mesures de protection techniques et organisationnelles appropriées ont été mises en œuvre, c’est pour établir immédiatement si une violation des données à caractère personnel s’est produite, ce qui déterminera si l’obligation de notification s’applique.

Au fond, l’un des éléments clés de toute politique de sécurité des données est d’être en mesure de prévenir toute violation dans la mesure du possible et, lorsqu’une telle violation se produit malgré tout, d’y réagir dans les meilleurs délais.

==> Méthodologie

L’article 32 du RGPD prévoit, pour rappel, que le responsable du traitement et le sous-traitant ont l’obligation de mettre en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque encouru.

Pour la CNIL, une telle approche permet en effet une prise de décision objective et la détermination de mesures strictement nécessaires et adaptées au contexte. Il est cependant parfois difficile, lorsque l’on n’est pas familier de ces méthodes, de mettre en œuvre une telle démarche et de s’assurer que le minimum a bien été mis en œuvre.

Aussi, afin de permettre aux responsables de traitements de données de définir leur politique de gestion des risques, la CNIL a-t-elle mis au point une métrologie qui repose sur les précautions élémentaires qui devraient être mises en œuvre de façon systématique.

Cette méthodologie consiste en une démarche à suivre qui comporte six étapes :

  • Première étape
    • Elle consiste à recenser les traitements de données à caractère personnel, automatisés ou non, les données traitées (ex : fichiers client, contrats) et les supports sur lesquels elles reposent :
      • Les matériels (ex : serveurs, ordinateurs portables, disques durs) ;
      • Les logiciels (ex : système d’exploitation, logiciel métier) ;
      • Les canaux de communication (ex : fibre optique, Wi-Fi, Internet) ;
      • Les supports papier (ex : document imprimé, photocopie).
  • Deuxième étape
    • Elle consiste à identifier les impacts potentiels sur les droits et libertés des personnes concernées, pour les trois évènements redoutés suivants :
      • Accès illégitime à des données (ex : usurpations d’identités consécutives à la divulgation des fiches de paie de l’ensemble des salariés d’une entreprise) ;
      • Modification non désirée de données (ex : accusation à tort d’une personne d’une faute ou d’un délit suite à la modification de journaux d’accès) ;
      • Disparition de données (ex : non détection d’une interaction médicamenteuse du fait de l’impossibilité d’accéder au dossier électronique du patient).
  • Troisième étape
    • Elle consiste à identifier les sources de risques (qui ou quoi pourrait être à l’origine de chaque évènement redouté ?), en prenant en compte des sources humaines internes et externes (ex : administrateur informatique, utilisateur, attaquant externe, concurrent), et des sources non humaines internes ou externes (ex : eau, matériaux dangereux, virus informatique non ciblé).
  • Quatrième étape
    • Elle consiste à identifier les menaces réalisables (qu’est-ce qui pourrait permettre que chaque évènement redouté survienne ?). Ces menaces se réalisent via les supports des données (matériels, logiciels, canaux de communication, supports papier, etc.), qui peuvent être :
      • Utilisés de manière inadaptée (ex : abus de droits, erreur de manipulation) ;
      • Modifiés (ex : piégeage logiciel ou matériel – keylogger, installation d’un logiciel malveillant) ;
      • Perdus (ex : vol d’un ordinateur portable, perte d’une clé USB) ;
      • Observés (ex : observation d’un écran dans un train, géolocalisation d’un matériel) ;
      • Détériorés (ex : vandalisme, dégradation du fait de l’usure naturelle) ;
      • Surchargés (ex : unité de stockage pleine, attaque par dénis de service).
  • Cinquième étape
    • Elle consiste à déterminer les mesures existantes ou prévues qui permettent de traiter chaque risque (ex : contrôle d’accès, sauvegardes, traçabilité, sécurité des locaux, chiffrement, anonymisation).
  • Sixième étape
    • Elle consiste à estimer la gravité et la vraisemblance des risques, au regard des éléments précédents (exemple d’échelle utilisable pour l’estimation : négligeable, modérée, importante, maximale).

II) La notification des violations de données à caractère personnel

L’un des principaux apports du RGPD est qu’il généralise l’obligation de notifier les violations de données à caractère personnel à l’autorité de contrôle et aux personnes concernées.

==> Notion

Le RGPD définit en son article 4, 12 la violation de données à caractère personnel comme « une violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l’altération, la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d’une autre manière, ou l’accès non autorisé à de telles données »

Sensiblement dans le même sens, l’article 34 bis de la loi informatique et libertés prévoit que « on entend par violation de données à caractère personnel toute violation de la sécurité entraînant accidentellement ou de manière illicite la destruction, la perte, l’altération, la divulgation ou l’accès non autorisé à des données à caractère personnel faisant l’objet d’un traitement dans le cadre de la fourniture au public de services de communications électroniques. »

Il ressort de ces deux définitions que, pour qu’une violation de données à caractère personnel soit caractérisée, deux éléments doivent être réunis :

  • Un traitement de données à caractère personnel doit avoir été mis en œuvre
  • Les données ont fait l’objet d’une violation laquelle consiste
    • Soit en la destruction, la perte, l’altération, la divulgation non autorisée de données
    • Soit en l’accès non autorisé à ces données

Dans son avis 03/2014 sur la notification des violations, le G29 considérait que les violations pouvaient être classées selon trois principes de sécurité de l’information bien connus :

  • Violation de la confidentialité: la divulgation ou l’accès non autorisés ou accidentels à des données à caractère personnel
  • Violation de l’intégrité: l’altération non autorisée ou accidentelle de données à caractère personnel
  • Violation de la disponibilité: la destruction ou la perte accidentelles ou non autorisées de l’accès15 à des données à caractère personnel

Il convient également de noter qu’en fonction des circonstances, une violation peut concerner à la fois la confidentialité, l’intégrité et la disponibilité de données à caractère personnel ou une combinaison de ces éléments.

S’il est relativement facile de déterminer si une violation de la confidentialité ou de l’intégrité s’est produite, il peut être moins évident de déterminer l’existence d’une violation de la disponibilité. Une violation sera toujours considérée comme une violation de la disponibilité en cas de perte ou de destruction permanente de données à caractère personnel.

==> Enjeux

Comme relevé pour le Groupe de l’article 29, une violation de données à caractère personnel peut potentiellement avoir, pour les personnes concernées, toute une série de conséquences négatives, susceptibles d’entraîner des dommages physiques, matériels ou un préjudice moral.

Le RGPD indique que ces dommages et préjudices peuvent inclure une perte de contrôle sur leurs données à caractère personnel, la limitation de leurs droits, une discrimination, un vol ou une usurpation d’identité, une perte financière, un renversement non autorisé de la procédure de pseudonymisation, une atteinte à la réputation ou une perte de confidentialité de données à caractère personnel protégées par le secret professionnel. Ils peuvent également comprendre tout autre dommage économique ou social important pour les personnes concernées.

Pour ces raisons, le RGPD exige donc du responsable du traitement qu’il notifie toute violation à l’autorité de contrôle, à moins qu’elle ne soit pas susceptible d’engendrer le risque que de telles conséquences négatives ne se produisent. Lorsqu’en revanche, ce risque est élevé, le RGPD exige du responsable du traitement qu’il communique la violation aux personnes concernées dans les meilleurs délais.

Deux sortes de notifications sont ainsi envisagées par le texte :

  • La notification à l’autorité de contrôle
  • La notification aux personnes concernées

A) La notification des violations de données à l’autorité de contrôle

  1. Principe

==> Exigence de notification

L’article 33 du RGPD dispose que en cas de violation de données à caractère personnel, le responsable du traitement en notifie la violation en question à l’autorité de contrôle compétente, soit à la CNIL lorsque la violation intervient sur le territoire français.

Quant au sous-traitant, il a l’obligation de notifier au responsable du traitement toute violation de données à caractère personnel dans les meilleurs délais après en avoir pris connaissance.

Plus encore, en application de l’article 28, 3, f, il doit, aider le responsable du traitement à garantir le respect de l’obligation de notification, compte tenu de la nature du traitement et des informations à la disposition du sous-traitant.

==> Contenu de la notification

La notification dont est destinataire l’autorité de contrôle doit :

  • Décrire la nature de la violation de données à caractère personnel y compris, si possible, les catégories et le nombre approximatif de personnes concernées par la violation et les catégories et le nombre approximatif d’enregistrements de données à caractère personnel concernés ;
  • Communiquer le nom et les coordonnées du délégué à la protection des données ou d’un autre point de contact auprès duquel des informations supplémentaires peuvent être obtenues ;
  • Décrire les conséquences probables de la violation de données à caractère personnel ;
  • Décrire les mesures prises ou que le responsable du traitement propose de prendre pour remédier à la violation de données à caractère personnel, y compris, le cas échéant, les mesures pour en atténuer les éventuelles conséquences négatives.

==> Le délai de notification

  • La notification à bref délai
    • L’article 33, 1 du RGPD prévoit que la notification de la violation de données doit intervenir dans les meilleurs délais et, si possible, 72 heures au plus tard après en avoir pris connaissance, à moins que la violation en question ne soit pas susceptible d’engendrer un risque pour les droits et libertés des personnes physiques.
    • Cette exigence soulève la question de savoir quand un responsable du traitement peut être considéré comme ayant pris « connaissance » d’une violation.
    • Le Groupe de l’article 29 considère qu’un responsable du traitement doit être considéré comme ayant pris « connaissance » lorsqu’il est raisonnablement certain qu’un incident de sécurité s’est produit et que cet incident a compromis des données à caractère personnel.
    • Au vrai, le moment exact où un responsable du traitement peut être considéré comme ayant pris « connaissance » d’une violation spécifique dépendra des circonstances de la violation en question.
    • Dans certains cas, il sera relativement clair dès le début qu’une violation s’est produite, tandis que dans d’autres, un certain temps pourrait être nécessaire avant de pouvoir déterminer si des données à caractère personnel ont été compromises.
    • Après avoir pris connaissance d’un incident, le responsable du traitement doit notifier toute violation soumise à l’obligation de notification dans les meilleurs délais, et, si possible, dans les 72 heures.
    • Pendant cette période, il appartient au responsable du traitement d’évaluer le risque probable pour les personnes concernées afin de déterminer si l’obligation de notification s’applique et quelle ou quelles mesures doivent être prises afin de remédier à cette violation.
  • La notification échelonnée
    • En fonction de la nature de la violation, il peut être nécessaire que le responsable du traitement effectue une enquête complémentaire afin d’établir tous les faits pertinents liés à l’incident.
    • Aussi l’article 33, 4, dispose-t-il que « si, et dans la mesure où, il n’est pas possible de fournir toutes les informations en même temps, les informations peuvent être communiquées de manière échelonnée sans autre retard indu. »
    • Cela signifie que le RGPD reconnaît que les responsables du traitement ne disposeront pas toujours de toutes les informations nécessaires concernant une violation dans les 72 heures après en avoir pris connaissance, dès lors que l’ensemble des détails de l’incident peuvent ne pas être systématiquement disponibles au cours de cette période initiale.
    • Il autorise donc une notification échelonnée.
    • Une telle notification interviendra plus probablement dans le cas de violations plus complexes, telles que certains types d’incidents de cybersécurité nécessitant par exemple une enquête approfondie et détaillée afin d’établir pleinement la nature de la violation et la mesure dans laquelle des données à caractère personnel ont été compromises.
    • Dans de nombreux cas, le responsable du traitement devra ainsi poursuivre son enquête et fournir des informations complémentaires à l’autorité de contrôle par la suite.
    • Il y est autorisé à condition de justifier son retard conformément à l’article 33, 1.
    • Le Groupe de l’article 29 recommande que, si le responsable du traitement ne dispose pas encore de toutes les informations nécessaires, il en informe l’autorité de contrôle dans le cadre de sa notification initiale et précise qu’il fournira des informations plus détaillées par la suite.
  • La notification tardive
    • L’article 33, 1 du RGPD prévoit que « lorsque la notification à l’autorité de contrôle n’a pas lieu dans les 72 heures, elle est accompagnée des motifs du retard. »
    • Cette disposition reconnaît, au même titre que le concept de notification échelonnée, qu’un responsable du traitement peut ne pas toujours être en mesure de notifier une violation dans ce délai, et qu’une notification tardive pourrait être autorisée.
    • Un tel scénario pourrait par exemple se produire lorsqu’un responsable du traitement constate, sur une courte période, plusieurs violations similaires affectant de façon identique de grandes quantités de personnes concernées.
    • Un responsable du traitement pourrait prendre connaissance d’une violation et, en entreprenant son enquête et avant la notification, détecter d’autres violations similaires dont la cause diffère.
    • En fonction des circonstances, il pourrait falloir un certain temps au responsable du traitement pour établir la portée des violations et pour élaborer une notification constructive comprenant différentes violations très similaires, mais aux causes potentiellement différentes, plutôt que de notifier chaque violation individuellement.
    • La notification à l’autorité de contrôle peut par conséquent avoir lieu plus de 72 heures après la prise de connaissance de ces violations par le responsable du traitement.

==> La documentation de la violation

Que la violation de données doive ou non être notifiée à l’autorité de contrôle, le responsable du traitement a l’obligation de documenter toutes les violations, comme exigé à l’article 33, 5 du RGPD.

Le texte prévoit que « le responsable du traitement documente toute violation de données à caractère personnel, en indiquant les faits concernant la violation des données à caractère personnel, ses effets et les mesures prises pour y remédier. La documentation ainsi constituée permet à l’autorité de contrôle de vérifier le respect du présent article. »

Cette obligation de documentation est liée au principe de responsabilité du RGPD figurant à l’article 5 2.

Cette exigence de tenir des registres des violations, qu’elles soient sujettes à notification ou non, est également liée aux obligations du responsable du traitement au titre de l’article 24, et l’autorité de contrôle peut demander à voir lesdits registres.

Les responsables du traitement sont donc encouragés à établir un registre interne des violations, qu’ils soient tenus de les notifier ou non.

S’il appartient au responsable du traitement de déterminer la méthode et la structure à utiliser pour documenter une violation, certaines informations clés doivent être incluses en toutes circonstances.

Comme requis à l’article 33, 5, le responsable du traitement doit reprendre des informations concernant la violation, y compris les causes, les faits et les données à caractère personnel concernées. Il doit également inclure les effets et les conséquences de la violation ainsi que les mesures prises par le responsable du traitement pour y remédier.

Outre ces informations, le Groupe de l’article 29 recommande que le responsable du traitement documente également le raisonnement justifiant les décisions prises en réaction à la violation.

En particulier, lorsqu’une violation n’est pas notifiée, la justification de cette décision doit être documentée.

Cette justification doit inclure les raisons pour lesquelles le responsable du traitement considère que la violation est peu susceptible d’engendrer un risque pour les droits et libertés des individus.

2. Exception

L’article 33, 1 prévoit clairement qu’une violation qui n’est « pas susceptible d’engendrer un risque pour les droits et libertés des personnes physiques » n’a pas à être notifiée à l’autorité de contrôle.

Tel pourrait par exemple être le cas lorsque les données à caractère personnel sont déjà disponibles pour le public et qu’une divulgation desdites données n’est pas susceptible d’engendrer un risque pour les personnes concernées.

Ceci contraste avec les obligations de notification s’appliquant aux fournisseurs de services de communications électroniques accessibles au public en vertu de la directive 2009/136/CE, qui dispose que toutes les violations pertinentes doivent être notifiées à l’autorité compétente.

A cet égard, dans son avis 03/2014 sur la notification des violations, le Groupe de l’article 29 expliquait qu’une violation de la confidentialité de données à caractère personnel qui ont été cryptées à l’aide d’un algorithme de pointe constitue, malgré tout, une violation de données à caractère personnel, et que celle-ci devait être notifiée.

Néanmoins, si la confidentialité de la clé de cryptage est intacte – soit que la clé n’a été compromise dans aucune violation de sécurité et a été générée de façon à ne pouvoir être trouvée, par aucun moyen technologique existant, par quelqu’un qui n’est pas autorisé à l’utiliser –, les données sont en principe incompréhensibles.

La violation n’est donc pas susceptible de porter atteinte aux personnes concernées et n’aurait donc pas besoin de leur être communiquée.

Toutefois, même lorsque les données sont cryptées, une perte ou une altération peut avoir des conséquences négatives pour les personnes concernées lorsque le responsable du traitement ne dispose pas de sauvegardes adéquates.

Dans ce cas de figure, il convient de communiquer la violation aux personnes concernées, même si les données elles-mêmes ont fait l’objet de mesures de cryptage adéquates.

B) La notification des violations de données aux personnes concernées

  1. Principe

==> Exigence de notification

L’article 34 du RGPD dispose que lorsqu’une violation de données à caractère personnel est susceptible d’engendrer un risque élevé pour les droits et libertés d’une personne physique, le responsable du traitement communique la violation de données à caractère personnel à la personne concernée dans les meilleurs délais.

Il ressort de cette disposition que la notification est ainsi exigée dès lorsque que la violation de données « est susceptible d’engendrer un risque élevé pour les droits et libertés d’une personne physique ».

Le seuil à atteindre est par conséquent plus élevé pour la communication aux personnes concernées que pour la notification à l’autorité de contrôle, et toutes les violations ne devront donc pas être communiquées aux personnes concernées, ce qui les protège de notifications excessives et non nécessaires.

La question qui alors se pose est de savoir ce que l’on doit entendre par « risque élevé pour les droits et libertés » des personnes.

==> L’appréciation du risque élevé

Le considérant 75 du RGPD indique :

  • D’une part, que, les risques pour les droits et libertés des personnes physiques sont susceptibles de présenter différents degrés de probabilité et de gravité
  • D’autre part, que, des risques pour les droits et libertés des personnes physiques existent en particulier :
    • Lorsque le traitement peut donner lieu à une discrimination, à un vol ou une usurpation d’identité, à une perte financière, à une atteinte à la réputation, à une perte de confidentialité de données protégées par le secret professionnel, à un renversement non autorisé du processus de pseudonymisation ou à tout autre dommage économique ou social important
    • Lorsque les personnes concernées pourraient être privées de leurs droits et libertés ou empêchées d’exercer le contrôle sur leurs données à caractère personnel
    • Lorsque le traitement concerne des données à caractère personnel qui révèlent l’origine raciale ou ethnique, les opinions politiques, la religion ou les convictions philosophiques, l’appartenance syndicale, ainsi que des données génétiques, des données concernant la santé ou des données concernant la vie sexuelle ou des données relatives à des condamnations pénales et à des infractions, ou encore à des mesures de sûreté connexes
    • Lorsque des aspects personnels sont évalués, notamment dans le cadre de l’analyse ou de la prédiction d’éléments concernant le rendement au travail, la situation économique, la santé, les préférences ou centres d’intérêt personnels, la fiabilité ou le comportement, la localisation ou les déplacements, en vue de créer ou d’utiliser des profils individuels
    • Lorsque le traitement porte sur des données à caractère personnel relatives à des personnes physiques vulnérables, en particulier les enfants
    • Lorsque le traitement porte sur un volume important de données à caractère personnel et touche un nombre important de personnes concernées.

Le considérant 76 précise qu’il convient de déterminer la probabilité et la gravité du risque pour les droits et libertés de la personne concernée en fonction de la nature, de la portée, du contexte et des finalités du traitement.

A cet égard, le risque doit faire l’objet d’une évaluation objective permettant de déterminer si les opérations de traitement des données comportent un risque ou un risque élevé.

Le Groupe de l’article 29 recommande que l’évaluation du risque tienne compte d’un certain nombre de critères :

  • Le type de violation
    • Le type de la violation survenue peut avoir une incidence sur le niveau de risque encouru par les personnes concernées.
    • Par exemple, les conséquences d’une violation de la confidentialité dans le cadre de laquelle des informations médicales ont été divulguées à des parties non autorisées pourraient différer de celles engendrées par une violation dans le cadre de laquelle les informations médicales d’un patient ont été perdues ou ne sont plus disponibles.

  • La nature, le caractère sensible et le volume des données à caractère personnel
    • L’un des facteurs clés dans l’évaluation du risque est le type et le caractère sensible des données à caractère personnel qui ont été compromises par la violation.
    • En général, plus les données sont sensibles, plus le risque de dommage sera élevé pour les personnes concernées, mais il convient également de tenir compte des autres données à caractère personnel qui pourraient déjà être disponibles au sujet de la personne concernée.
    • Par exemple, dans des circonstances normales, la divulgation du nom et de l’adresse d’une personne est peu susceptible d’entraîner un préjudice important.
  • La facilité d’identification des personnes concernées
    • Un facteur important à prendre en compte est la facilité avec laquelle une partie ayant accès à des données à caractère personnel compromises peut identifier des individus spécifiques ou associer les données en question à d’autres informations afin d’identifier ces mêmes individus.
    • Dans certaines circonstances, une identification pourrait être possible directement à partir des données à caractère personnel compromises, sans que des recherches spécifiques ne soient nécessaires pour découvrir l’identité de la personne concernée, tandis que dans d’autres, il pourrait être extrêmement difficile d’attribuer des données à caractère personnel à une personne spécifique, bien que cela puisse toujours être possible dans certaines conditions.
    • Une identification peut être directement ou indirectement possible à partir des données compromises, comme elle peut dépendre des circonstances spécifiques de la violation et de la disponibilité publique de renseignements personnels connexes.
  • La gravité des conséquences pour les personnes concernées
    • En fonction de la nature des données à caractère personnel impliquées dans une violation, par exemple des catégories particulières de données, les dommages potentiels pour les personnes concernées peuvent être particulièrement graves, notamment lorsque la violation pourrait entraîner un vol ou une usurpation d’identité, un préjudice physique, une détresse psychologique, une humiliation ou une atteinte à la réputation.
    • Si la violation concerne des données à caractère personnel de personnes vulnérables, celles-ci pourraient être exposées à un plus grand risque de dommages.
  • Les caractéristiques particulières des personnes concernées
    • Une violation peut toucher des données à caractère personnel concernant des enfants ou d’autres personnes vulnérables, qui pourraient alors être exposés à un risque plus important.
    • D’autres facteurs spécifiques aux personnes concernées pourraient également affecter la gravité des conséquences de la violation pour les personnes en question.
  • Les caractéristiques particulières du responsable du traitement
    • La nature et le rôle du responsable du traitement ainsi que de ses activités peuvent affecter le niveau de risque qu’engendre une violation pour les personnes concernées.
    • Par exemple, dès lors qu’une organisation médicale traite des catégories particulières de données à caractère personnel, le risque pour les personnes concernées sera plus important en cas de violation de données à caractère personnel que s’il s’agissait d’une liste de diffusion d’un journal.
  • Le nombre de personnes concernées
    • Une violation peut toucher uniquement une personne, un nombre restreint de personnes ou des milliers de personnes, voire davantage.
    • En général, plus le nombre de personnes concernées est élevé, plus les conséquences potentielles d’une violation sont nombreuses.
  • Éléments généraux
    • Lorsqu’il évalue le risque susceptible de résulter d’une violation, le responsable du traitement devrait ainsi examiner à la fois la gravité des conséquences potentielles pour les droits et libertés des personnes concernées et la probabilité que ces conséquences se produisent.
    • Il est évident que lorsque les conséquences d’une violation sont potentiellement plus graves, le risque est plus élevé.
    • De même, lorsque la probabilité que celles-ci se produisent est plus importante, le risque s’en verra également renforcé.
    • En cas de doute, le responsable du traitement devrait opter pour la prudence et procéder à une notification.

==> Contenu de la notification

L’article 34, 2 prévoit que la communication à la personne concernée visée au paragraphe 1 du présent article décrit, en des termes clairs et simples, la nature de la violation de données à caractère personnel et contient au moins les informations et mesures visées à l’article 33, paragraphe 3, points b), c) et d), soit :

  • La communication du nom et des coordonnées du délégué à la protection des données ou d’un autre point de contact auprès duquel des informations supplémentaires peuvent être obtenues ;
  • La description des conséquences probables de la violation de données à caractère personnel ;
  • La description des mesures prises ou que le responsable du traitement propose de prendre pour remédier à la violation de données à caractère personnel, y compris, le cas échéant, les mesures pour en atténuer les éventuelles conséquences négatives.

==> Délai de notification

L’article 34, 1 du RGPD prévoit que la notification de la violation doit intervenir dans les plus brefs délais sans autre précision.

Le 4 précise que si le responsable du traitement n’a pas déjà communiqué à la personne concernée la violation de données à caractère personnel la concernant, l’autorité de contrôle peut, après avoir examiné si cette violation de données à caractère personnel est susceptible d’engendrer un risque élevé, exiger du responsable du traitement qu’il procède à cette communication ou décider que l’une ou l’autre des conditions visées au paragraphe 3 est remplie.

Il appartient donc au responsable du traitement de notifier immédiatement à l’autorité de contrôle, soit à la CNIL, toute violation de données.

2. Exceptions

L’article 34, 3 définit trois conditions dans lesquelles la communication aux personnes concernées n’est pas nécessaire en cas de violation, à savoir :

  • Première condition
    • Le responsable du traitement a mis en œuvre les mesures techniques et organisationnelles appropriées afin de protéger les données à caractère personnel préalablement à la violation, en particulier les mesures qui rendent les données à caractère personnel incompréhensibles pour toute personne qui n’est pas autorisée à y avoir accès.
    • Cela pourrait par exemple inclure la protection des données à caractère personnel au moyen d’un chiffrement de pointe ou par tokénisation;
  • Deuxième condition
    • Le responsable du traitement a pris, immédiatement après la violation, des mesures qui garantissent que le risque élevé pour les droits et libertés des personnes concernées n’est plus susceptible de se concrétiser.
    • Par exemple, en fonction des circonstances du cas d’espèce, le responsable du traitement peut avoir immédiatement déterminé et pris des mesures contre la personne ayant accédé aux données à caractère personnel avant qu’elle n’ait pu les utiliser.
    • Il convient cependant toujours de tenir compte des conséquences potentielles de toute violation de la confidentialité, toujours en fonction de la nature des données concernées.
  • Troisième condition
    • Contacter les personnes concernées exigerait des efforts disproportionnés
    • Par exemple si leurs coordonnées ont été perdues à la suite de la violation ou ne sont tout simplement pas connues.
    • Dans un tel cas, le responsable du traitement doit procéder à une communication publique ou prendre une mesure similaire permettant aux personnes concernées d’être informées de manière tout aussi efficace.
    • En cas d’efforts disproportionnés, des dispositions techniques pourraient également être envisagées afin que les informations concernant la violation soient disponibles sur demande, ce qui pourrait se révéler utile pour les personnes éventuellement affectées par la violation, mais que le responsable du traitement n’est pas en mesure de contacter par un autre biais.
(0)

L’article 6, 5° de la LIL dispose que pour faire l’objet d’un traitement, les données à caractères personnel doivent être « conservées sous une forme permettant l’identification des personnes concernées pendant une durée qui n’excède pas la durée nécessaire aux finalités pour lesquelles elles sont collectées et traitées ».

Dans le même sens, l’article 5, e) du RGPD prévoit que « les données à caractère personnel doivent être conservées sous une forme permettant l’identification des personnes concernées pendant une durée n’excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées; les données à caractère personnel peuvent être conservées pour des durées plus longues dans la mesure où elles seront traitées exclusivement à des fins archivistiques dans l’intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques conformément à l’article 89, paragraphe 1, pour autant que soient mises en œuvre les mesures techniques et organisationnelles appropriées requises par le présent règlement afin de garantir les droits et libertés de la personne concernée (limitation de la conservation) »

Il ressort de ces deux textes que la durée de conservation des données à caractère personnel ne saurait être illimitée. Elle doit être proportionnée à la finalité du traitement.

Toute la question est alors de savoir comment déterminer une durée adaptée à la conservation des données à caractère personnel traitées.

A l’examen, il apparaît que le législateur a posé un principe assorti de plusieurs dérogations.

§1 : Le principe

Dans sa délibération n°2005-213 du 11 octobre 2005 la CNIL avait considéré que, au fond, « face à la mémoire de l’informatique, seul le principe du « droit » à l’oubli consacré par l’article 6-5° de la loi du 6 janvier 1978 peut garantir que les données collectées sur les individus ne soient pas conservées, dans les entreprises, pour des durées qui pourraient apparaître comme manifestement excessives ».

Aussi, la Commission a-t-elle pour mission de veiller au respect de ce principe s’agissant, en particulier, des durées de conservation relatives aux informations collectées par les entreprises, organismes ou établissements privés mais aussi des modalités de conservation de ces informations.

A l’examen, la détermination de la durée de conservation des données à caractère personnel suppose de s’interroger sur quatre points :

  • Le point de départ de la durée de conservation
  • Le cycle de conservation des données
  • Le quantum de la durée de conservation
  • Les modalités de la conservation

A) Sur le point de départ de la durée de conservation

Dans une délibération n°2013-420 du 3 janvier 2014 la CNIL a décidé que :

  • D’une part, la fixation de durées de conservation définies ne saurait avoir pour objet ni pour effet de supprimer des données des utilisateurs alors qu’eux-mêmes en auraient encore l’usage.
  • D’autre part, le point de départ d’une durée de conservation n’est pas fonction de la date de la collecte, mais de la suppression du compte utilisateur

Il en résulte, pour la Commission, que la fixation de ce point de départ autorise le responsable du traitement à conserver les données collectées des années durant, si nécessaire.

Pour le Conseil d’état, le point de départ de la durée de conservation des données est « le dernier fait enregistré », lequel « doit nécessairement être entendu comme le fait constitutif de la contravention ou tout acte postérieur interruptif de la prescription » (CE 30 juill. 2014, n°359402).

En toute hypothèse, au terme au terme de la réalisation du traitement (l’exécution d’un contrat par exemple), les données doivent être :

  • Soit effacées
  • Soit archivées
  • Soit faire l’objet d’un processus d’anonymisation, afin de rendre impossible la « ré-identification » des personnes. Ces données, n’étant plus des données à caractère personnel, peuvent ainsi être conservées librement et valorisées notamment par la production de statistiques.

B) Sur le cycle de conservation des données

Il ressort de l’analyse menée par la CNIL que le cycle de conservation des données à caractère personnel comporte trois phases successives distinctes :

  • L’archivage courant
  • L’archivage intermédiaire
  • L’archivage définitif
  1. Sur l’archivage courant

Il s’agit de la durée d’utilisation courante des données ou autrement dit, la durée nécessaire à la réalisation de la finalité du traitement.

Toutes les données qui intéressent l’exécution d’un contrat peuvent être conservées par le responsable du traitement.

Sans ces données, la réalisation de la prestation serait rendue impossible. Il apparaît donc pleinement justifié qu’elles puissent être conservées pendant toute la durée de la convention.

Des mesures techniques et organisationnelles doivent être prévues pour protéger les données archivées (destruction, perte, altération, diffusion ou accès non autorisés…). Ces mesures doivent assurer un niveau de sécurité approprié aux risques et à la nature des données.

Si des mesures de sécurité informatiques sont indispensables, il convient, en outre, de prévoir des mesures de sécurité physique, notamment lorsque des dossiers sont archivés sous format papier.

Lorsque l’archivage est confié à un sous-traitant, le responsable du fichier doit s’assurer que son prestataire présente des garanties suffisantes en matière de sécurité et la confidentialité des données qui lui sont confiées.

2. Sur l’archivage intermédiaire

==> Les cas d’archivage intermédiaire

La CNIL a énoncé plusieurs cas au titre desquels il apparaît justifié que les données à caractère personnel soient conservées pour des durées plus longues que l’exécution du contrat : on parle alors d’archivage intermédiaire.

Au nombre des cas visés par la CNIL figurent :

  • L’hypothèse où il existence une obligation légale de conservation de données pendant une durée fixée ;
  • L’hypothèse où en l’absence d’obligation de conservation, ces données présentent néanmoins un intérêt administratif, notamment en cas de contentieux, justifiant de les conserver le temps des règles de prescription/forclusion applicables, notamment en matière commerciale, civile et fiscale ;
  • L’hypothèse où, sous réserve de garanties appropriées pour les droits et libertés des personnes concernées, certaines données peuvent être traitées exclusivement à des fins archivistiques dans l’intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques.

==> La limitation de l’archivage

La Commission a eu l’occasion de préciser que, en cas d’archivage intermédiaire, le responsable du fichier doit veiller à ne conserver que les données nécessaires au respect de l’obligation prévue ou lui permettant de faire valoir un droit en justice : un tri doit donc être effectué parmi la totalité des données collectées pour ne garder que les seules données indispensables.

Les données ainsi archivées ne sont conservées que le temps nécessaire à l’accomplissement de l’objectif poursuivi : elles doivent donc être supprimées lorsque le motif justifiant leur archivage n’a plus raison d’être.

Par exemple, des données archivées pour se prémunir d’une action en justice durant le temps d’une prescription ou d’une forclusion doivent être supprimées lorsque cette action est prescrite forclose.

==> Les modalités de l’archivage

Pour les archives intermédiaires, le choix du mode d’archivage est laissé à l’appréciation du responsable du fichier. Des données peuvent ainsi être archivées :

  • Dans une base d’archive spécifique, distincte de la base active, avec des accès restreints aux seules personnes ayant un intérêt à en connaitre en raison de leurs fonctions (par exemple, le service du contentieux)
  • Dans la base active, à condition de procéder à un isolement des données archivées au moyen d’une séparation logique (gestion des droits d’accès et des habilitations) pour les rendre inaccessibles aux personnes n’ayant plus d’intérêt à les traiter

En tout état de cause, l’accès aux données faisant l’objet d’un archivage intermédiaire doit être limité.

==> Sur l’archivage définitif

L’intérêt public (historique, scientifique ou statistique) peut parfois justifier que certaines données ne fassent l’objet d’aucune destruction : c’est l’archivage définitif.

Les archives sont l’ensemble des documents, y compris les données, quels que soient leur date, leur lieu de conservation, leur forme et leur support, produits ou reçus par toute personne physique ou morale et par tout service ou organisme public ou privé dans l’exercice de leur activité.

La conservation des archives est organisée dans l’intérêt public tant pour les besoins de la gestion et de la justification des droits des personnes physiques ou morales, publiques ou privées, que pour la documentation historique de la recherche.

S’agissant des modalités de conservation des archives définitives, la CNIL préconise de les conserver sur un support physique indépendant, non accessible par les systèmes de production, n’autorisant qu’un accès distinct, ponctuel et précisément motivé auprès d’un service spécifique seul habilité à les consulter (par exemple, la direction des archives lorsqu’elle existe).

C) Sur le quantum de la durée de conservation des données

Afin de déterminer le quantum de la durée de conservation des données à caractère personnel, il convient de se reporter

  • Soit aux textes légaux et réglementaires
  • Soit aux délibérations de la CNIL
  1. Sur les textes légaux et réglementaires

Il convient de se reporter aux textes qui :

  • Soit posent des durées de conservation des données à caractère personnel
  • Soit posent des délais de prescription/forclusion applicable en matière civile, commerciale ou fiscale

==> Sur les textes posant des durées de conservation des données à caractère personnel

  • Les données relatives à la gestion du personnel d’une entreprise (5 ans)
    • L’article R. 1221-26 du Code du travail dispose que « les mentions portées sur le registre unique du personnel sont conservées pendant cinq ans à compter de la date à laquelle le salarié ou le stagiaire a quitté l’établissement»
  • Les données relatives aux bulletins de paie et aux reçus pour solde de tout compte (5 ans)
    • L’article L. 3243-4 du Code du travail prévoit que « l’employeur conserve un double des bulletins de paie des salariés ou les bulletins de paie remis aux salariés sous forme électronique pendant cinq ans»
  • Les documents comptables des commerçants (10 ans)
    • L’article L. 123-22 du Code de commerce dispose que « les documents comptables et les pièces justificatives sont conservés pendant dix ans. »
  • Les documents fiscaux (6 ans)
    • L’article L. 102 B du Livre des procédures fiscales prévoit que les livres, registres, documents ou pièces sur lesquels peuvent s’exercer les droits de communication, d’enquête et de contrôle de l’administration doivent être conservés pendant un délai de six ans à compter de la date de la dernière opération mentionnée sur les livres ou registres ou de la date à laquelle les documents ou pièces ont été établis.
  • Les contrats conclus par voie électronique (10 ans)
    • L’article L. 213-1 du Code de la consommation prévoit que lorsque le contrat est conclu par voie électronique et qu’il porte sur une somme égale ou supérieure à 120 euros, le contractant professionnel assure la conservation de l’écrit qui le constate pendant un délai déterminé et en garantit à tout moment l’accès à son cocontractant si celui-ci en fait la demande.
    • L’article D. 213-2 précise que ce délai est fixé à dix ans à compter de la conclusion du contrat lorsque la livraison du bien ou l’exécution de la prestation est immédiate.
    • Dans le cas contraire, le délai court à compter de la conclusion du contrat jusqu’à la date de livraison du bien ou de l’exécution de la prestation et pendant une durée de dix ans à compter de celle-ci.
  • Les données de trafic collectées pour les besoins de la recherche, de la constatation et de la poursuite des infractions pénales (1 an)
    • L’article R. 10-13 du Code des postes et communications électroniques prévoit que leur durée de conservation est d’un an à compter du jour de l’enregistrement.
    • A cet égard, sont conservées :
      • Les informations permettant d’identifier l’utilisateur ;
      • Les données relatives aux équipements terminaux de communication utilisés ;
      • Les caractéristiques techniques ainsi que la date, l’horaire et la durée de chaque communication ;
      • Les données relatives aux services complémentaires demandés ou utilisés et leurs fournisseurs ;
      • Les données permettant d’identifier le ou les destinataires de la communication.
  • Le dossier médical dans les établissements de santé publics et privés (20 ans)
    • L’article R. 1112-7 du Code de la santé publique prévoit que le dossier médical mentionné à l’article R. 1112-2 est conservé pendant une durée de vingt ans à compter de la date du dernier séjour de son titulaire dans l’établissement ou de la dernière consultation externe en son sein.
    • Lorsqu’en application des dispositions qui précèdent, la durée de conservation d’un dossier s’achève avant le vingt-huitième anniversaire de son titulaire, la conservation du dossier est prorogée jusqu’à cette date.
    • Dans tous les cas, si la personne titulaire du dossier décède moins de dix ans après son dernier passage dans l’établissement, le dossier est conservé pendant une durée de dix ans à compter de la date du décès.
    • Ces délais sont suspendus par l’introduction de tout recours gracieux ou contentieux tendant à mettre en cause la responsabilité médicale de l’établissement de santé ou de professionnels de santé à raison de leurs interventions au sein de l’établissement.
    • A l’issue du délai de conservation mentionné à l’alinéa précédent et après, le cas échéant, restitution à l’établissement de santé des données ayant fait l’objet d’un hébergement en application de l’article L. 1111-8, le dossier médical peut être éliminé.
    • La décision d’élimination est prise par le directeur de l’établissement après avis du médecin responsable de l’information médicale.
    • Dans les établissements publics de santé et les établissements de santé privés participant à l’exécution du service public hospitalier, cette élimination est en outre subordonnée au visa de l’administration des archives, qui détermine ceux de ces dossiers dont elle entend assurer la conservation indéfinie pour des raisons d’intérêt scientifique, statistique ou historique.
  • Les données issues d’un dispositif de vidéosurveillance (1 mois)
    • L’article L. 252-3 du Code de la sécurité intérieure prévoit que « les modalités de transmission des images et d’accès aux enregistrements ainsi que la durée de conservation des images, dans la limite d’un mois à compter de cette transmission ou de cet accès, sans préjudice des nécessités de leur conservation pour les besoins d’une procédure pénale. »

==> Sur les textes posant des délais de prescription/forclusion applicable en matière civile, commerciale ou fiscale

  • Délai de prescription de droit commun en matière en matière civile (5 ans)
    • L’article 2224 prévoit que les actions personnelles ou mobilières se prescrivent par cinq ans à compter du jour où le titulaire d’un droit a connu ou aurait dû connaître les faits lui permettant de l’exercer.
  • Délai de prescription en matière commerciale (5 ans)
    • L’article L. 110-4 du Code de commerce prévoit que les obligations nées à l’occasion de leur commerce entre commerçants ou entre commerçants et non-commerçants se prescrivent par cinq ans si elles ne sont pas soumises à des prescriptions spéciales plus courtes.
  • Délai de prescription en matière de droit de la consommation (2 ans)
    • L’article L. 218-2 du Code de la consommation dispose que l’action des professionnels, pour les biens ou les services qu’ils fournissent aux consommateurs, se prescrit par deux ans.

2. Sur les délibérations de la CNIL

  • Prospection commerciale
    • La CNIL s’est prononcée sur la durée de conservation des données à caractère personnel en matière de prospection commerciale dans une délibération n° 2016-264 du 21 juillet 2016 portant modification d’une norme simplifiée concernant les traitements automatisés de données à caractère personnel relatifs à la gestion de clients et de prospects
    • A cet égard, il a estimé que les données des clients utilisées à des fins de prospection commerciale peuvent être conservées pendant un délai de trois ans à compter de la fin de la relation commerciale (par exemple, à compter d’un achat, de la date d’expiration d’une garantie, du terme d’un contrat de prestations de services ou du dernier contact émanant du client).
    • Les données à caractère personnel relatives à un prospect non client peuvent, quant à elles, être également conservées pendant un délai de trois ans à compter de leur collecte par le responsable de traitement ou du dernier contact émanant du prospect (par exemple, une demande de documentation ou un clic sur un lien hypertexte contenu dans un courriel ; en revanche, l’ouverture d’un courriel ne peut être considérée comme un contact émanant du prospect).
    • Au terme de ce délai de trois ans, le responsable de traitement peut reprendre contact avec la personne concernée afin de savoir si elle souhaite continuer à recevoir des sollicitations commerciales.
    • En l’absence de réponse positive et explicite de la personne, les données devront être supprimées ou archivées conformément aux dispositions en vigueur, et notamment celles prévues par le code de commerce, le code civil et le code de la consommation.
  • Données contenues dans les badges détenus par les salariés sur leur lieu de travail
    • Dans une délibération n°02-001 du 08 janvier 2002 la CNIL a considéré que les éléments d’identification des salariés ou des agents publics ne doivent pas être conservés au-delà de 5 ans après le départ du salarié ou de l’agent de l’entreprise ou de l’administration.
    • S’agissant des éléments relatifs aux déplacements des personnes, ils ne doivent pas être conservés plus de trois mois.
    • Toutefois, les informations relatives aux salariés ou aux agent publics peuvent être conservés pendant 5 ans lorsque le traitement a pour finalité le contrôle du temps de travail.
    • Quant à la conservation des données relatives aux motifs d’absence, elle est limitée à une durée de cinq ans sauf dispositions législatives contraires.
    • En cas de paiement direct ou de pré-paiement des repas, les données monétiques ne peuvent être conservées plus de trois mois. En cas de paiement par retenue sur le salaire, la durée de conservation est de 5 ans.
  • Données résultant de l’évaluation et de la sélection des risques en matière d’octroi de crédit (scoring)
    • La CNIL a affirmé, dans une délibération 2006-019 du 02 février 2006 que, en cas de rejet de la demande de crédit, les informations spécialement collectées pour son instruction sont conservées au maximum pendant une période de six mois à compter du dépôt de la demande, lorsque le demandeur n’est pas par ailleurs client de l’établissement de crédit.
    • Elles ne peuvent être utilisées qu’aux fins de l’instruction de nouvelles demandes de crédit.
  • Les cookies
    • La CNIL s’est prononcée sur la durée de vie des cookies dans une délibération n° 2013-378 du 5 décembre 2013 portant adoption d’une recommandation relative aux cookies et aux autres traceurs.
    • Relevant que le consentement à être suivi peut être oublié par les personnes qui l’ont manifesté à un instant donné, la commission a estimé nécessaire de limiter dans le temps la portée de ce dernier.
    • Aussi, recommande-elle que le délai de validité du consentement au dépôt des cookies soit porté à treize mois au maximum.
    • A l’expiration de ce délai, le consentement devra être à nouveau recueilli.
    • En conséquence, les cookies doivent donc avoir une durée de vie limitée à treize mois après leur premier dépôt dans l’équipement terminal de l’utilisateur (faisant suite à l’expression du consentement) et leur durée de vie ne doit pas être prolongée lors de nouvelles visites sur le site.

D) Les modalités de conservation

Quel que soit le type d’archivage effectué par le responsable du traitement, celui-ci doit mettre en œuvre les mesures techniques et d’organisation appropriées pour protéger les données archivées contre la destruction accidentelle ou illicite, la perte accidentelle, l’altération, la diffusion ou l’accès non autorisés, notamment lorsque le traitement comporte des transmissions de données dans un réseau, ainsi que contre toute autre forme de traitement illicite.

Ces mesures doivent assurer un niveau de sécurité approprié au regard des risques présentés par le traitement et de la nature des données à protéger.

Le non-respect de l’obligation de sécurité est sanctionné par l’article 226-17 du code pénal ( cinq ans d’emprisonnement et de 300 000 euros d’amende).

L’article 35 de la loi du 6 janvier 1978 prévoit, par ailleurs que le responsable du traitement, lorsque l’archivage est effectué pour son compte, doit choisir un sous-traitant qui apporte des garanties suffisantes au regard des mesures de sécurité technique et d’organisation relatives aux traitements à effectuer et qu’il doit veiller au respect de ces mesures.

La réalisation de traitements en sous-traitance doit être régie par un contrat ou un acte juridique qui lie le sous-traitant au responsable de traitement et qui prévoit notamment que le sous-traitant n’agit que sur la seule instruction du responsable de traitement et que les obligations en matière de sécurité incombent également à celui-ci.

Pratiquement, dans sa délibération n°2005-213 du 11 octobre 2005, la CNIL a préconisé plusieurs modalités de conservation selon le type d’archive concernée :

  • S’agissant des archives intermédiaires, il est recommandé que l’accès à celles-ci soit limité à un service spécifique (par exemple un service du contentieux) et qu’il soit procédé, a minima, à un isolement des données archivées au moyen d’une séparation logique (gestion des droits d’accès et des habilitations).
  • S’agissant des archives définitives, il est recommandé qu’elles soient conservées sur un support indépendant, non accessible par les systèmes de production, n’autorisant qu’un accès distinct, ponctuel et précisément motivé auprès d’un service spécifique seul habilité à consulter ce type d’archives (par exemple la direction des archives de l’entreprise).

La CNIL recommande, en outre, afin de garantir l’intégrité des données archivées, de mettre en œuvre des dispositifs sécurisés lors de tout changement de support de stockage des données archivées ainsi que des dispositifs de traçabilité des consultations des données archivées.

§2 : Les dérogations

L’article 36 de la LIL dispose que « les données à caractère personnel ne peuvent être conservées au-delà de la durée prévue au 5° de l’article 6 qu’en vue d’être traitées à des fins archivistiques dans l’intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques »

Ainsi, est autorisée la conservation de données à caractères personnel pour une durée qui excède la finalité initiale du traitement lorsqu’elles sont traitées à des fins historiques, statistiques ou scientifiques.

Dans le même sens, l’article 5, e) du RGPD prévoit que « les données à caractère personnel peuvent être conservées pour des durées plus longues dans la mesure où elles seront traitées exclusivement à des fins archivistiques dans l’intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques conformément à l’article 89, paragraphe 1, pour autant que soient mises en œuvre les mesures techniques et organisationnelles appropriées requises par le présent règlement afin de garantir les droits et libertés de la personne concernée (limitation de la conservation) ».

Si, le RGPD ne semble pas distinguer selon la nature des archives conservées, tel n’est pas le cas de la LIL qui renvoie à l’article L. 212-3 du Code du patrimoine.

Cette disposition ne concerne, en effet, que les seules archives publiques.

Par archives publiques, il faut entendre, au sens de l’article L. 211-4 du Code du patrimoine :

  • Les documents qui procèdent de l’activité de l’Etat, des collectivités territoriales, des établissements publics et des autres personnes morales de droit public. Les actes et documents des assemblées parlementaires sont régis par l’ordonnance n° 58-1100 du 17 novembre 1958 relative au fonctionnement des assemblées parlementaires ;
  • Les documents qui procèdent de la gestion d’un service public ou de l’exercice d’une mission de service public par des personnes de droit privé ;
  • Les minutes et répertoires des officiers publics ou ministériels et les registres de conventions notariées de pacte civil de solidarité.

L’article 89 du RGPD précise que le traitement à des fins archivistiques dans l’intérêt public, à des fins de recherche scientifique ou historique, ou à des fins statistiques est soumis, conformément au présent règlement, à des garanties appropriées pour les droits et libertés de la personne concernée.

Ces garanties doivent garantir la mise en place de mesures techniques et organisationnelles, en particulier pour assurer le respect du principe de minimisation des données. Ces mesures peuvent comprendre la pseudonymisation, dans la mesure où ces finalités peuvent être atteintes de cette manière.

Chaque fois que ces finalités peuvent être atteintes par un traitement ultérieur ne permettant pas ou plus l’identification des personnes concernées, il convient de procéder de cette manière.

Le considérant n°158 du RGPD précise que lorsque les données à caractère personnel sont traitées à des fins archivistiques, les autorités publiques ou les organismes publics ou privés qui conservent des archives dans l’intérêt public doivent être des services qui, en vertu du droit de l’Union ou du droit d’un État membre, ont l’obligation légale de collecter, de conserver, d’évaluer, d’organiser, de décrire, de communiquer, de mettre en valeur, de diffuser des archives qui sont à conserver à titre définitif dans l’intérêt public général et d’y donner accès.

(1)

==> Reconnaissance du principe

L’article 6, 2° de la loi informatique et libertés prévoit que les données à caractère personnel « sont collectées pour des finalités déterminées, explicites et légitimes et ne sont pas traitées ultérieurement de manière incompatible avec ces finalités ».

Dans la première version de la loi, le principe de finalité n’avait pas explicitement été érigé au rang de principe, à tout le moins pas directement. Ce principe n’était qu’évoqué en ce que le détournement de la finalité du traitement était sanctionné.

En 2004, lors de la transposition – tardive – de la directive du 24 octobre 1995, le législateur s’est saisi de l’occasion pour préciser que les données doivent être collectées « pour des finalités déterminées » et ne peuvent être « traitées ultérieurement de manière incompatible avec ces finalités ».

Ce complément majeur résulte du point b) du paragraphe 1) de l’article 6 de la directive. Il figurait déjà presque dans les mêmes termes dans la convention n° 108 du Conseil de l’Europe.

Le principe de finalité a été réaffirmé par le RGPD qui prévoit en son article 5, 1, b) que « les données à caractère personnel doivent être collectées pour des finalités déterminées, explicites et légitimes, et ne pas être traitées ultérieurement d’une manière incompatible avec ces finalités »

==> Signification du principe

Le principe de finalité est, sans aucun doute, la pierre angulaire de la loi informatique et libertés. Il signifie que, pour être licite, un traitement de données à caractère personnel doit être assorti d’une finalité.

Autrement dit, la collecte de données à caractère personnel ne peut jamais être une fin en soi. Pour être mise en œuvre, elle doit être justifiée par la poursuite d’un but déterminé. On ne peut pas se livrer à une collecte de données « au cas où ».

Lorsqu’il est procédé à un traitement de données, celui-ci doit poursuivre une finalité, laquelle finalité doit être portée à la connaissance de la personne concernée. Ainsi, le principe de finalité est étroitement lié à l’exigence de consentement qui préside au traitement de données à caractère personnel. Pour consentir à un traitement de données, encore faut-il avoir été informé de sa finalité.

Le considérant 42 du RGPD énonce en ce sens que « pour que le consentement soit éclairé, la personne concernée devrait connaître au moins l’identité du responsable du traitement et les finalités du traitement auquel sont destinées les données à caractère personnel. Le consentement ne devrait pas être considéré comme ayant été donné librement si la personne concernée ne dispose pas d’une véritable liberté de choix ou n’est pas en mesure de refuser ou de retirer son consentement sans subir de préjudice ».

Dans son avis n°03/2013 du 2 avril 2013, le groupe de l’article 29 justifie le principe de finalité en indiquant qu’il répond à trois impératifs :

  • Un impératif de transparence
    • La personne dont les données sont collectées doit être informée de la finalité du traitement afin d’être en capacité d’y consentir.
    • Autrement dit, la transparence garantit la prévisibilité et permet ainsi à la personne concernée de contrôler l’usage de ses données
  • Un impératif de prévisibilité
    • Pour le groupe de l’article 29, dès lors que la finalité du traitement est déterminée, les personnes concernées peuvent savoir à quoi s’attendre, en ce sens qu’elles connaissent le traitement dont est susceptible de faire l’objet leurs données ainsi que l’étendue de ce traitement.
  • Un impératif de sécurité juridique
    • L’exigence de détermination de la finalité du traitement apporte aux personnes concernées une sécurité juridique dans la mesure où elles sont en mesure de contrôler l’usage de leurs données, notamment en exerçant leurs droits, d’accès, d’opposition, de suppression, de rectification etc.

Pratiquement, il ressort de l’article 6 de la LIL que le principe de finalité met à la charge du responsable du traitement, deux séries d’obligations qui interviennent à deux stades bien distincts du traitement :

  • Au stade de la collecte des données
  • Au stade du traitement ultérieur des données

§1 : L’exigence d’une finalité déterminée, explicite et légitime au stade de la collecte des données

Si, pour être licite, une collecte de données à caractère personnel doit être assortie d’une finalité, la satisfaction de cette condition n’est pas suffisante.

L’article 6 de la LIL exige que la finalité de la collecte soit :

  • Déterminée
  • Explicite
  • Légitime

==> Une finalité déterminée

Les données à caractère personnel doivent être collectées à des fins déterminées. Aussi, appartient-il au responsable du traitement de soigneusement analyser, le ou les buts pour lesquelles les données seront collectées.

Cette analyse doit se faire en amont de la collecte. À cet égard, le responsable du traitement, doit documenter sa démarche et être en mesure de justifier la finalité communiquée à la personne visée.

Il devra notamment veiller à ce que la finalité retenue ne soit pas trop large. Elle doit donc être clairement et précisément identifiée. Plus encore, la finalité doit être suffisamment précise pour que la personne concernée soit en mesure de savoir quelles sont les utilisations incluses et exclues de ses données par le responsable du traitement.

Le G29 considère, par exemple, qu’une finalité est très vague ou générale lorsqu’elle est présentée comme consistant à « améliorer l’expérience utilisateur » ou qu’elle est exposée sous le terme « finalité marketing » ou encore « finalité sécurité IT ».

Au vrai, le degré de précision de la finalité annoncée dépend du contexte particulier dans lequel les données sont collectées et de la complexité du traitement.

==> Une finalité explicite

En plus d’être déterminée, la finalité du traitement doit être explicite. Elle doit, autrement dit, être clairement révélée et exprimée de façon intelligible.

L’explicitation de la finalité doit intervenir, selon le Groupe de l’article 69, au plus tard, au moment de la collecte des données.

L’objectif de cette exigence est de garantir la bonne compréhension du but poursuivi par le responsable du traitement, lequel ne saurait être imprécis ou ambiguë.

La finalité annoncée doit, en somme, être suffisamment explicite pour que la personne concernée comprenne l’intention du responsable du traitement.

==> Une finalité légitime

Selon le Groupe de l’article 29 pour que la finalité d’un traitement de données soit légitime, il est nécessaire que, à tous les stades et à tout moment, celui-ci repose :

  • Soit sur le consentement de la personne concernée
  • Soit sur l’un des cas prévus par dérogation à l’exigence de consentement (art. 7 de la LIL)

L’exigence de légitimité signifie encore que les finalités du traitement soient conformes à la loi. Il peut donc s’agir de respecter une réglementation différente de celle posée par la LIL.

Pour apprécier la légitimité de la finalité, pourront ainsi être pris en compte, le droit du travail, le droit de la consommation, la jurisprudence, la coutume, la déontologie.

§2 : L’exigence de compatibilité du traitement ultérieur avec la finalité initiale de la collecte des données

Le principe de finalité n’a pas seulement vocation à s’appliquer au stade de la collecte des données à caractère personnel, il doit également être respecté en cas de traitement ultérieur.

Plus précisément, l’article 6 de la LIL pose une exigence de compatibilité entre la finalité de la collecte et celle des traitements futurs.

Pour écarter le risque d’un usage injustifié, même décalé dans le temps, ce texte pose ainsi un principe d’interdiction de tout traitement ultérieur des données « incompatible avec les finalités pour lesquelles elles ont été collectées ».

Une exception est néanmoins prévue au profit des traitements réalisés à des fins statistiques ou scientifiques ou historiques, sous réserve qu’ils respectent les conditions de licéité.

I) Le principe

C’est donc l’interdiction de tout traitement ultérieur des données « incompatible avec les finalités pour lesquelles elles ont été collectées ».

On peut en déduire que le traitement de données à caractère personnel pour d’autres finalités que celles pour lesquelles les données à caractère personnel ont été collectées initialement n’est autorisé que s’il est compatible avec les finalités pour lesquelles les données à caractère personnel ont été collectées initialement.

Dans ce cas, aucune base juridique distincte de celle qui a permis la collecte des données à caractère personnel n’est requise.

Lorsque, en revanche, le traitement ultérieur incompatible, il conviendra de fonder le traitement sur un nouveau fondement juridique, ce qui pourrait consister, par exemple, à solliciter le consentement de la personne visée.

La question qui immédiatement se pose est alors de savoir ce que l’on doit entendre par la notion de compatibilité du traitement ultérieur avec les finalités initiales de la collecte.

Pour le déterminer, il convient de se reporter au test de compatibilité établi par le Groupe de l’article 29 et aux critères posés par le RGPD

A) Le test de compatibilité établir par le Groupe de l’article 29

  1. La méthode

Afin de déterminer si un traitement ultérieur de données est compatible avec la finalité initiale de leur collecte, le Groupe de l’article 29 suggère de procéder à deux sortes d’évaluations :

  • Une évaluation formelle
    • Elle consistera à comparer les finalités initialement déclarées par le responsable du traitement dans le cadre de l’information fournie à la personne concernée, à celles poursuivies ultérieurement et vérifier que ces dernières sont couvertes implicitement ou explicitement.
    • Cette première méthode peut sembler, à première vue, des plus objectives et neutres.
    • Toutefois, elle risque d’être trop rigide, en ce qu’elle se limite à une analyse seulement textuelle des finalités poursuivies.
  • Une évaluation matérielle
    • Il conviendra ici d’aller au-delà des déclarations officielles pour identifier à la fois nouvelles finalités et celles initialement poursuivies, en tenant compte de la manière dont elles ont été effectivement comprises par la personne concernée.
    • Cette seconde méthode est, de toute évidence, plus souple et pragmatique que la première, mais aussi plus efficace.
    • Elle permet de s’adapter aux évolutions futures de la finalité du traitement, tout en continuant à protéger efficacement la protection des données à caractère personnel.

Plusieurs exemples sont fournis par le Groupe de l’article 29 :

==> Exemple 1 : la compatibilité est évidente à première vue

Un client effectue une commande en ligne auprès d’un commerçant en vue de se faire livrer chaque semaine des paniers de légumes bio.

Après avoir collecté, lors de la conclusion du contrat, l’adresse et les coordonnées bancaires du client, ces données sont traitées ultérieurement par le commerçant les semaines suivantes pour les besoins de la livraison et du paiement.

Ici, il ne fait aucun doute que le traitement ultérieur des données est conforme à la finalité de la collecte initiale.

==> Exemple 2 : La compatibilité n’est pas évidente et nécessite une analyse plus approfondie

Le commerçant souhaite, dans ce scénario utiliser l’adresse e-mail du client afin de lui adresser des offres personnalisées et des bons de réductions pour des produits similaires, y compris sa gamme de produits laitiers biologiques.

Il souhaite également communiquer les données du client, dont son nom, adresse électronique, numéro de téléphone et historique des achats à un autre commerçant qui a ouvert une boucherie biologique dans le même quartier.

Dans les deux cas, ici le commerçant ne peut pas considérer que ce traitement ultérieur est compatible avec la finalité initiale de la collecte de données, de sorte que des analyses approfondies devront être menées par le responsable du traitement.

Pour le groupe de l’article 29, plus la différence entre la finalité initiale de la collecte et celle du traitement ultérieur est grande, plus le test de compatibilité doit être détaillé, ce qui pourra conduire à adopter des mesures supplémentaires pour compenser le changement de finalité, comme, par exemple, fournir des informations supplémentaires à la personne concernée.

==> Exemple 3 : L’incompatibilité est évidente

En plus d’acheter un panier de légumes bio le client commande une gamme d’autres produits biologiques sur le site web du commerçant, dont certains à prix réduit.

Le commerçant, sans informer le client, a mis en place une solution logicielle de personnalisation des prix prête à l’emploi, qui – entre autres choses – détecte si le client utilise un ordinateur Apple ou un PC Windows.

Le commerçant offre alors automatiquement des rabais plus importants aux utilisateurs de Windows.

Dans ce cas, le traitement ultérieur des données est clairement incompatible avec la finalité de la collecte initiale.

Si les données sont traitées de telle manière qu’une personne raisonnable trouverait le traitement, non seulement inattendu, mais égalent inapproprié, il est fort probable que celui-ci puisse être considéré comme incompatible.

2. Les critères

Afin d’évaluer la compatibilité d’un traitement ultérieur de données, le Groupe de l’article 29 a posé un certain nombre de critères

==> La relation entre les finalités pour lesquelles les données ont été collectées et les finalités du traitement ultérieur

Ce facteur est peut-être le plus évident car l’évaluation de la compatibilité repose, d’abord, sur la relation entre la finalité initiale de la collecte et la finalité du traitement ultérieur.

Ce critère peut couvrir des situations où le traitement ultérieur était déjà plus ou moins compris implicitement dans les finalités initiales, ou supposées comme l’étape logique suivante du traitement selon ces fins.

En tout état de cause, plus la différence entre les finalités de la collecte et celles du traitement ultérieur est grande plus l’évaluation de la compatibilité est problématique.

Afin de procéder à cette évaluation, il sera nécessaire de toujours se reporter au contexte factuel et à la finalité telle qu’elle a été comprise par la personne visée.

==> Le contexte dans lequel les données ont été collectées et les attentes raisonnables de la personne concernée quant à leur utilisation ultérieure

Ce deuxième critère est axé sur le contexte spécifique dans lequel les données ont été collectées et sur les attentes raisonnables des personnes concernées quant à l’utilisation de leurs données dans ce contexte.

En d’autres termes, la question ici est de savoir à quoi une personne raisonnable, qui se trouverait dans la situation de la personne concernée, s’attendrait s’agissant du traitement ultérieur de ses données.

A priori, plus le traitement ultérieur des données est inattendu ou surprenant, plus il est probable qu’il soit considéré comme incompatible.

==> La nature des données et l’impact du traitement ultérieur sur les personnes concernées

Le groupe de l’article 29 recommande ici de prendre en compte la nature des données collectées.

Au fond, l’idée sous-jacente est que plus les informations en cause sont sensibles, plus la marge de compatibilité est étroite.

À cela s’ajoute la prise en compte de l’incidence du traitement ultérieur sur les libertés de la personne concernée.

==> Les critères du RGPD

Selon l’article 6, 4 du RGPD, afin de déterminer si le traitement à une autre fin est compatible avec la finalité pour laquelle les données à caractère personnel ont été initialement collectées, le responsable du traitement tient compte, entre autres:

  • de l’existence éventuelle d’un lien entre les finalités pour lesquelles les données à caractère personnel ont été collectées et les finalités du traitement ultérieur envisagé;
  • du contexte dans lequel les données à caractère personnel ont été collectées, en particulier en ce qui concerne la relation entre les personnes concernées et le responsable du traitement;
  • de la nature des données à caractère personnel, en particulier si le traitement porte sur des catégories particulières de données à caractère personnel, en vertu de l’article 9, ou si des données à caractère personnel relatives à des condamnations pénales et à des infractions sont traitées, en vertu de l’article 10;
  • des conséquences possibles du traitement ultérieur envisagé pour les personnes concernées;
  • de l’existence de garanties appropriées, qui peuvent comprendre le chiffrement ou la pseudonymisation.

De toute évidence, les critères ici énoncés par le RGPD sont directement issus de l’avis formulé par le Groupe de l’article 29.

B) Les exceptions

Le principe d’interdiction du traitement ultérieur des données incompatible avec les finalités pour lesquelles elles ont été collectées est assorti de deux exceptions : la première est générale, la seconde spécifique

  1. L’exception générale

Il ressort de l’article 6, 4° du RGPD que, en cas d’incompatibilité du traitement ultérieur avec les finalités poursuivies initialement au stade de la collecte, celui-ci est, malgré tout, autorisé :

  • Si la personne concernée a exprimé son consentement
  • Si le traitement est fondé sur le droit de l’Union ou le droit d’un État membre qui constitue une mesure nécessaire et proportionnée dans une société démocratique pour garantir les objectifs visés à l’article 23, paragraphe 1
    • Au nombre de ces objectifs figurent :
      • la sécurité nationale;
      • la défense nationale;
      • la sécurité publique;
      • la prévention et la détection d’infractions pénales, ainsi que les enquêtes et les poursuites en la matière ou l’exécution de sanctions pénales, y compris la protection contre les menaces pour la sécurité publique et la prévention de telles menaces;
      • d’autres objectifs importants d’intérêt public général de l’Union ou d’un État membre, notamment un intérêt économique ou financier important de l’Union ou d’un État membre, y compris dans les domaines monétaire, budgétaire et fiscal, de la santé publique et de la sécurité sociale;
      • la protection de l’indépendance de la justice et des procédures judiciaires;
      • la prévention et la détection de manquements à la déontologie des professions réglementées, ainsi que les enquêtes et les poursuites en la matière;
      • une mission de contrôle, d’inspection ou de réglementation liée, même occasionnellement, à l’exercice de l’autorité publique, dans les cas visés aux points a) à e) et g);
      • la protection de la personne concernée ou des droits et libertés d’autrui;
      • l’exécution des demandes de droit civil.

2. L’exception spécifique

Par exception au principe d’interdiction du traitement incompatible, l’article 6 de la LIL pose une exception pour les traitements ultérieurs de données :

  • à des fins statistiques
  • à des fins de recherche scientifique
  • à des fins de recherche historique

Selon le Groupe de l’article 29, ce texte ne doit pas être interprété comme instituant une exception générale à l’exigence de compatibilité.

Il ne saurait s’agir d’une règle qui vise à autoriser, en toutes circonstances, le traitement des données à des fins historiques, statistiques ou scientifiques.

Comme dans tout autre cas de traitement ultérieur, toutes les circonstances et tous les facteurs pertinents doivent être pris en compte pour décider quelles garanties peuvent être considérées comme appropriées et suffisantes.

(0)