Upload
others
View
0
Download
0
Embed Size (px)
Citation preview
2004/2005
PROBLEMATIQUES ACTUELLES
DE LA PROTECTION
DES DONNEES PERSONNELLES
Sous la direction de
Maître NAFTALSKI,
EY LAW Paris
Mémoire soutenu par Maël FABLET
« Le télécran recevait et transmettait simultanément. Il captait tous les sons émis par
Winston au-dessus d’un chuchotement très bas. De plus, tant que Winston demeurait dans le
champ de vision de la plaque de métal, il pouvait être vu aussi bien qu’entendu.
Naturellement, il n’y avait aucun moyen de savoir si, à un moment donné, on était surveillé.
Combien de fois, et suivant quel plan, la Police de la Pensée se branchait-elle sur une ligne
individuelle quelconque, personne ne pouvait le savoir. On pouvait même imaginer qu’elle
surveillait tout le monde, constamment. Mais de toute façon, elle pouvait mettre une prise sur
votre ligne chaque fois qu’elle le désirait. On devait vivre, on vivait, car l’habitude devient
instinct, en admettant que tout son émis était entendu et que, sauf dans l’obscurité, tout
mouvement était perçu. »
Georges Orwell 1984, 1948.
Mémoire soutenu le 29 juin 2005 à Rennes
Remerciements à Me. Naftalski, Mme Danièle Meledo, M. Benjamin Montels et Me. Bernard
Lamon.
1
TABLE DES MATIERES
I) LES MODALITES DE PROTECTION CONTEMPORAINES DES DONNEES PERSONNELLES....10 A) LE CADRE GENERAL DE LA PROTECTION ........................................................................................10
1°) LA PREEMINENCE DE LA LOI INFORMATIQUE ET LIBERTES ........................................................................... 12 a) Le rôle central de la Commission Nationale Informatique et Libertés ................................................... 12 b) La détermination d’obligations à la charge du responsable du traitement............................................. 20 c) La reconnaissance de droits au profit de la personne concernée par le traitement................................ 27
2°) L’IMPULSION DE L’UNION EUROPEENNE ET DU DROIT INTERNATIONAL...................................................... 30 a) Les modalités de protection communautaires ......................................................................................... 30 b) Le développement des sources internationales ....................................................................................... 33
3°) L’EMERGENCE PROGRESSIVE D’INITIATIVES PRIVEES .................................................................................. 34 B) LE DEVELOPPEMENT LACUNAIRE DE MODALITES DE PROTECTION SPECIFIQUES A
INTERNET...........................................................................................................................................................36 1°) LA PROTECTION JURIDIQUE ACTUALISEE ..................................................................................................... 36
a) L’antériorité des sources européennes.................................................................................................... 37 b) L’adaptation des sources nationales....................................................................................................... 38
2°) L’EVOLUTION DE LA PROTECTION TECHNIQUE : LA CRYPTOLOGIE .............................................................. 41 II) LA MISE EN OEUVRE DES MOYENS DE PROTECTION DES DONNEES PERSONNELLES......45
A) L’ADEQUATION DES MOYENS DE PROTECTION AUX PROBLEMES « OFF LINE » POSES PAR LES DONNEES PERSONNELLES..........................................................................................................45
1°) LE CONTROLE EFFICACE DES TRAITEMENTS COURANTS............................................................................... 46 2°) L’APPREHENSION MAITRISEE DES PROBLEMES COMPLEXES......................................................................... 47
a) Les traitements dits sensibles .................................................................................................................. 47 b) Les problèmes de données personnelles liés au travail........................................................................... 56
3°) LA NECESSAIRE ADAPTATION DE LA PROTECTION AUX PROBLEMES EMERGENTS ........................................ 59 B) LA DELICATE APPLICATION DES MOYENS DE PROTECTION AUX PROBLEMES « ON
LINE »...................................................................................................................................................................62 1°) LES DIFFICULTES LIEES A LA COLLECTE DES DONNEES SUR INTERNET......................................................... 63
a)Le commerce électronique ....................................................................................................................... 64 b) Les cookies .............................................................................................................................................. 65 c) Les Fichiers d’infractions dans la nouvelle loi et l’adresse IP ............................................................... 67
2°) LES DIFFICULTES LIEES A LA DIFFUSION DES DONNEES SUR INTERNET ........................................................ 70 a)Le courrier électronique........................................................................................................................... 70 b) Les transferts de données à l’étranger .................................................................................................... 72
CONCLUSION ....................................................................................................................................................76 ANNEXE...............................................................................................................................................................78 BIBLIOGRAPHIE...............................................................................................................................................87
2
« Big brother is watching you ! »
Tel est le slogan de l’Oceania, régime totalitaire, technocratique et technologique
imaginé par Georges Orwell dans 19841. On vous surveille pour mieux vous diriger. Ce
roman de science-fiction à visée politique écrit en 1948 avait pressenti que la technologie
pourrait un jour être utilisée à l’encontre des libertés individuelles et du respect de la vie
privée.
En effet, la crainte qu’on peut vouer à l’informatique n’est pas sans raisons. Cet outil
omniprésent dans notre société, peut être utilisé à mauvais escient, avec pour objectif, ou pour
conséquence, de porter atteinte à l’intimité des personnes. Et, cette crainte n’est plus du
domaine de la science-fiction dès lors qu’aujourd’hui, en démocratie, les informations privées
nécessitent une protection particulière contre les atteintes qu’on peut leur porter, non plus
seulement dans un contexte de surveillance politique, mais dans tout type d’activité : il faut
protéger les données personnelles.
Les données personnelles sont des informations sur les personnes physiques recueillies
pour satisfaire différents objectifs, administratifs, sécuritaires et de plus en plus commerciaux.
Ces informations permettent d’identifier les personnes de manière directe ou indirecte. Par
exemple, une carte d’identité est une information identifiant directement une personne, un
numéro de téléphone permettra indirectement de remonter jusqu'à son titulaire. Mais au delà
de l’ aspect nominatif, les informations peuvent renseigner sur des caractéristiques propres à
la personne, sa profession, sa situation familiale, pire, son état de santé, sa couleur de peau
etc. La notion de donnée personnelle est donc très large, et toute information, dès lors qu’on
peut la rattacher directement ou indirectement à une personne, devient une donnée
personnelle. Ainsi, le nom, le prénom, la photo, le son de la voix, l’adresse, le numéro de
téléphone, de carte bancaire, ou encore le numéro de sécurité sociale sont des exemples de
données personnelles parmi d’autres, de même que les informations relatives aux goûts,
1 1984, Georges Orwell, Gallimard 1950.
3
comportements, habitudes des personnes, qui sont des données utilisées notamment pour
constituer des fichiers de consommateurs.
La notion elle-même de donnée, « représentation conventionnelle d’une information »2,
trouve son aboutissement dans le contexte de l’informatique. La donnée est l’information
informatisée, traitée par le langage informatique, numérisée3. Ainsi, la question des données
personnelles est née avec l’informatisation du traitement des renseignements. Cela a entraîné
le vote de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux
libertés qui définit dans sa dernière version la donnée comme « toute information relative à
une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, par
référence à un numéro d’identification ou à un ou plusieurs éléments qui lui sont propres.
Pour déterminer si une personne est identifiable, il convient de considérer l’ensemble des
moyens en vue de permettre son identification dont dispose ou auxquels peut avoir accès le
responsable du traitement ou toute autre personne ». La loi a vocation à s’appliquer aux
traitements de données personnelles qui sont définis comme « toute opération ou tout
ensemble d’opérations portant sur de telles données, quel que soit le procédé utilisé, et
notamment la collecte, l’enregistrement, l’organisation, la conservation, l’adaptation ou la
modification, l’extraction, la consultation, l’utilisation, la communication par transmission,
diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion,
ainsi que le verrouillage, l’effacement ou la destruction » . Le traitement est, en général, une
organisation des informations collectées dans une base de données hiérarchisée, structurée.
Toutefois, la loi vise plus largement tout recueil d’informations, ce qui lui assure un champ
d’application plus large. La protection des données personnelles dans ce contexte doit être
perçue comme l’ensemble des moyens techniques, juridiques et administratifs mis en œuvre
pour permettre d’assurer l’intégrité des données personnelles constituées, afin d’éviter leur
détournement et d’une manière générale toute utilisation abusive.
2 Définition extraite du dictionnaire « Le ROBERT » toutes éditions. 3 Le numérique, comme son nom l’indique est un codage basé sur des chiffres, le 0 et le 1. On l’appelle pour cela le mode binaire. Cette invention revient pour beaucoup au mathématicien anglais Charles Babbage (1792-1871).
4
Certes, le problème des données personnelles s’est développé avec l’évolution de
l’informatique, cependant, le fond du problème ne tire pas sa source de l’informatique, la
technologie n’étant qu’un outil pour traiter les informations et par là même un facteur
d’aggravation des atteintes à la vie privée. Les dérives dans l’utilisation des informations
personnelles ont une origine bien plus lointaine, les bases de données, ou plus précisément les
fichiers d’informations, ont en effet précédé l’informatique. L’affaire la plus célèbre, qui
pourrait résumer à elle seule la notion de traitement abusif d’informations personnelles, reste
le scandale des fiches. Dans l’affaire des fiches de 1904, sous le gouvernement d’Emile
Combes, l’armée avait constitué des fichiers pour faciliter l’avancement des officiers en
recueillant des informations politiques et religieuses. Le premier fichier, le « Corinthe »,
regroupait les officiers dont les renseignements semblaient positifs, le second, le « Carthage »
regroupait les officiers supposés athées, juifs, ou encore francs-maçons. Les officiers du
second fichier ne recevaient aucun avancement. Quand le scandale éclata, il entraîna la chute
du gouvernement.
L’affaire des fiches est l’archétype du traitement d’informations personnelles abusif en ce
qu’il regroupe des données qu’on nomme aujourd’hui les données « sensibles ». Les données
personnelles doivent être recueillies à des fins utilitaires, c’est pourquoi elles doivent être
pertinentes quand à l’objectif poursuivi. Dès lors que les données ne sont plus pertinentes,
elles deviennent « à risque » dans le sens où leur réelle utilité n’est pas connue. A juste titre,
ce risque concerne surtout les données dites sensibles dont l’utilité apparaît douteuse, voire
dangereuse. Il s’agit des données concernant les opinions religieuses, politiques, syndicales,
l’origine ethnique, l’orientation sexuelle ou encore la biométrie. Ces données subissent un
régime particulier du fait de leur caractère dangereux pour la vie privée et surtout
discriminatoire. En effet, les risques d’abus que comprennent les traitements de données dites
sensibles incitent à limiter au maximum leur utilisation. Si l’on prend l’exemple de la
biométrie, son utilisation se répand de plus en plus dans un objectif de sécurité. Les zones
d’accès limité de certaines entreprises ou administrations nécessitent parfois une clef
comprenant l’empreinte digitale ou encore l’iris de l’oeil. Ce type de donnée a un caractère
anthropométrique peu rassurant, qui n’est pas sans rappeler les théories du scientifique
Lombroso4. Si ces concepts ont aujourd’hui presque disparu, la biométrie présente toutefois,
aujourd’hui encore, les mêmes dangers pour les libertés individuelles, c’est pourquoi, son
4 Lombroso C., L'homme criminel , Paris, Alcan, 1887. Ce médecin italien traça les contours de la morphologie du criminel, selon lui il existait des prédispositions physiques et biologiques à la déviance.
5
utilisation reste très contrôlée. Cependant, les traitements ne sont pas toujours aussi
caricaturaux, l’informatique peut aussi favoriser les discriminations insidieuses, ou plus
simplement des atteintes à la vie privée larvées.
Il est certain que le développement de l’informatique fut considérable, caractérisant ce que
beaucoup perçurent comme la dernière révolution industrielle. La technologie eut tendance à
évoluer trop vite pour le législateur, et cette remarque vaut encore aujourd’hui si l’on observe
la difficulté qu’a ce dernier à appréhender le problème des téléchargements abusifs de biens
culturels via les systèmes de peer to peer5. Les traitements de données personnelles ont ainsi
connu une grande évolution avec l’apparition d’Internet. Depuis sa création en 19756 et
surtout depuis son étendue impressionnante à tous les secteurs d’activité et aux besoins privés
au cours des années 1990, les traitements n’ont jamais été si nombreux, et donc si difficiles à
maîtriser.
A l’origine, le législateur a fait de son mieux pour réagir à l’informatisation, dès 1978 avec la
loi précitée n° 78-17 du 6 janvier 1978 dite loi informatique et libertés, qui vise trois grands
principes en son article premier:
« L’informatique doit être au service de chaque citoyen
Son développement doit s’opérer dans le cadre de la coopération internationale
L’informatique ne doit porter atteinte aux droits de l’homme et aux libertés individuelles, en
particulier à l’identité humaine et au respect de la vie privée. »
L’objectif premier de cette loi est de protéger les personnes physiques contre l’utilisation
abusive des données personnelles les concernant. Le premier outil de protection est ainsi
créé : La Commission Nationale Informatique et Libertés (CNIL), qui deviendra un modèle
d’autorité administrative indépendante.
La loi de 1978 a inspiré à l’Union Européenne la directive n°95-46 du 24 octobre 1995
relative à la protection des personnes physiques à l'égard du traitement des données à
5 Les systèmes de peer to peer sont des outils permettant l’échange d’informations d’un ordinateur personnel à un autre, sans qu’il existe de site Internet intermédiaire. C’est pourquoi, il est difficile de contrôler les échanges et encore plus de supprimer l’utilisation de tels procédés. 6 Internet est né d’un projet militaire, puis universitaire. L’idée du réseau vient de Paul Baran en 1962, mais le développement du réseau s’est fait en 1969 sous le nom d’ARPANET entre plusieurs universités californiennes. En 1972, Ray Tomlinson a inventé le courrier électronique puis le protocole TCP qui permet d’acheminer les données sur le réseau par petits paquets. En 1975, le gouvernement américain a pris en main le réseau finalisé ARPANET et l’a confié à la DISA (Defense Information Systems Agency), un organisme spécialisé dans la protection et l’exploitation du réseau.
6
caractère personnel et à la libre circulation de ces données, cette directive reprend le schéma
de 1978 en innovant et en actualisant les moyens d’actions. Elle a été transposée bien
tardivement en France par la loi n°2004-801 du 6 août 2004 relative à la protection des
personnes physiques à l’égard des traitements de données à caractère personnel, cette loi
modifie ainsi celle de 1978, sans l’abroger.
L’évolution législative a en premier lieu favorisé l’évolution de la définition, en 1978 on parle
de données nominatives, ce qui vise avant tout les données relatives à l’état des personnes :
nom, prénom, nationalité, sexe etc. même si le champ d’application de la loi est bien plus
large. La directive n° 95-46 et la loi de 2004 visent quant à elles les données à caractère
personnel, ce qui permet une application maximale et de manière non exhaustive des textes à
toute donnée se rattachant de quelque manière que ce soit à une personne physique, qu’elle
soit identifiable directement ou indirectement7.
La nouvelle législation tend aussi à abandonner la distinction entre traitement automatisé et
traitement non automatisé, l’informatique faisant partie intégrante de notre société, les
traitements non automatisés ont quasiment disparu. La loi de 1978 ne retenait pour ces
derniers qu’un panel d’obligations restreintes. La nouvelle loi s’y applique intégralement,
cependant, comme auparavant, ces traitements ne font pas l’objet d’une déclaration auprès de
la CNIL. La distinction subsiste aussi dans quelques cas particuliers. De même, la distinction
entre fichier et dossier est devenue obsolète8.
Aujourd’hui, la protection des données personnelles se fait dans le cadre des lois précitées,
mais aussi grâce à de nombreux textes généraux ou spéciaux, recouvrant la plupart des
situations dans lesquelles apparaissent les données personnelles. Ainsi, le Code civil et le
7 On peut parler de manière générique de « donnée personnelle », qui reste l’expression la plus communément utilisée, même si sa définition doit être actualisée. C’est pourquoi, aujourd’hui, il faut entendre « donnée personnelle » au sens de « donnée à caractère personnel ». 8 Une partie de la doctrine et la Cour de cassation (cass.com 3 novembre 1987) ont, pendant un temps, tenté de distinguer les fichiers devant être déclarés (bien que nécessairement manuels pour certains), des dossiers, qui par leur aspect structurel de « contenant », ne devaient pas être déclarés. M. Frayssinet souligne le caractère fastidieux de la distinction : « qu’est-ce qu’un dossier et qu’est-ce qu’un fichier ? Lorsqu’un dossier (ou un registre, un cahier, un rapport, un procès-verbal, une note, une étude etc.) contiendra des fiches (mais qu’est-ce qu’une fiche ?) pourra-t-on le considérer comme un fichier ? Faudra-t-il le déterminer selon le degré de structuration des informations, la présentation formelle (notion de classement), l’appellation du support de fixation, etc. ? » (Frayssinet J, Contre l’excessive distinction entre fichier et dossier, le pas en avant du Tribunal correctionnel de Paris, Cahiers Lamy Droit de l’informatique et des réseaux, janvier 1990 p.5)
7
Code pénal visent en premier lieu le respect de la vie privée9, le Code du travail prévoit le
principe de transparence10, et le principe de proportionnalité11. En outre, le secret des
correspondances est prévu par l’article L 226-15 du Code pénal. La récente loi sur la
confiance dans l’économie numérique12 apporte aussi de nombreux éléments de protection, en
prévoyant notamment le contrôle de la conservation des données d’identification par les
prestataires techniques (les commerçants électroniques) et de l’utilisation de ces données à
des fins publicitaires (le spamming).
La protection des données personnelles est devenue une question essentielle dans notre
société, soucieuse de mettre l’informatique au service du citoyen, pour reprendre les termes de
la loi de 1978, pour faire de l’informatique un outil et non un danger. En effet, aujourd’hui
l’informatique peut constituer une réelle menace pour les libertés individuelles. La crainte
d’une surveillance par Big brother, hier encore, n’était que science-fiction. Aujourd’hui, si
cela reste une fiction, la technique rend réelle la menace. De nos jours, l’informatique est
partout, et les bases de données sont utilisées dans tous les secteurs, pour leur utilité, souvent
loin de toute ambition de surveillance. Les raisons pour lesquelles les traitements de données
personnelles ont été créés peuvent bien être louables, il n’en demeure pas moins que les
conséquences pour les individus sont à surveiller de près. Avant d’être un problème juridique,
l’utilisation des données personnelles est un problème éthique, philosophique et politique. Il
s’agit de concilier progrès et libertés car aujourd’hui, le danger ne vient plus seulement de
l’administration centrale, il vient des individus eux-mêmes : Big brother n’a plus le monopole
des dérives informatiques, pourrait-on dire. Les données sont très diverses, les raisons de
constituer des fichiers de données sont de plus en plus étendues (notamment dans le secteur
commercial, mais aussi pour lutter contre le terrorisme…). Les possibilités sont infinies, c’est
pourquoi, le danger provient surtout de l’inadéquation des informations collectées, de leur
disproportion, du caractère déloyal de la collecte, de finalités douteuses ou encore du
détournement de données.
9 Article 9 du Code civil, article L 226-15 du Code pénal. 10 Articles L 121-7 et suivants du Code du travail 11 Article L 120-2 du Code du travail 12 Loi du 21 juin 2004
8
A juste titre, les risques ont littéralement explosé avec le développement d’Internet. Le grand
réseau brasse des flux de données à longueur de temps : tout sur Internet nécessite un
traitement de données, que ce soit via les fournisseurs d’accès, les sites personnels, les sites de
commerce électronique, les emails, les forums, le peer to peer… La spécificité d’Internet est
l’absence de frontières du fait de l’instantanéité des échanges. Des données personnelles
peuvent être expédiées aux antipodes en un click de souris. Mais l’absence de frontières
entraîne aussi progressivement la disparition de l’espace privé, l’accès aux ordinateurs
personnels peut se faire de partout, les nouveaux moteurs de recherche pistent les documents
sur le réseau mais aussi sur les disques durs des particuliers. Sur Internet, les données forment
en réalité une nébuleuse qu’on ne peut maîtriser. De surcroît, l’omniprésence des données
personnelles sur Internet rend les personnes concernées plus facilement identifiables, et les
déplacements et actions sur Internet sont très aisément pistables.
Or, il est nécessaire de contrôler les collectes et utilisations des données personnelles parce
qu’elle ressortent du champ de l’intimité. On ne peut autoriser une libre utilisation de ces
informations sans contrevenir aux principes phares de la démocratie que sont les droits
fondamentaux et les libertés individuelles.
Car en effet, les données personnelles revêtent un caractère fondamental. Les données
personnelles sont des fragments de vie privée, c’est pourquoi, elles sont avant tout protégées
au nom du Droit au respect de la vie privée. Ce principe est visé notamment à l’article 8 de la
Convention européenne de sauvegarde des Droits de l’Homme et des libertés fondamentales
(CEDH) du 4 novembre 1950, à l’article 9 du Code civil, mais aussi dans la Charte des Droits
fondamentaux de l’Union Européenne en son article II-67. Cette dernière vise aussi, plus
spécifiquement, le principe de la protection des données personnelles en son article II-68. Le
Conseil de l’Europe a aussi élaboré la Convention pour la protection des personnes à l’égard
du traitement des données à caractère personnel du 28 janvier 1981.
Cependant, la plus ancienne des sources en la matière reste pour la France la loi de 1978
définissant un cadre des libertés individuelles face à l’informatique. Son aura, dépassant les
frontières nationales, ont fait dire à certains qu’il s’agissait d’une sorte de « Charte des
libertés de l’homme vivant dans une société informatisée »13. Il est en tout cas certain
13 Lamy Droit de l’informatique et des réseaux n° 515
9
qu’aujourd’hui, les libertés informatiques sont des libertés individuelles protégées en tant que
telles, et non plus seulement à travers le Droit au respect de la vie privée, même si les notions
sont liées. La Charte des Droits fondamentaux en est la preuve, puisque les deux libertés sont
visées séparément.
L’enjeu de la protection est dès lors compréhensible. Si les données personnelles
revêtent un caractère fondamental, relèvent du champ des libertés individuelles, il est
indispensable de les protéger. Cependant, les données personnelles sont omniprésentes, on les
retrouve sous différentes formes, dans divers secteurs, ce qui pose des problèmes complexes
rendant la protection difficile. Il est en définitive appréciable que le bloc normatif se soit ainsi
développé, même si l’on regrette que les dispositions spécifiques à Internet soient quasi-
inexistantes. Il en résulte que, si la mise en œuvre de la protection aux problèmes classiques
est assez efficace, la protection des données personnelles face à Internet est loin d’être
optimale. Face à l’actualité de la législation, l’ensemble des moyens de protection doit être
réexaminé, et sa mise en œuvre est confrontée à des situations plus ou moins connues et
maîtrisées, dont certaines sont le fruit du progrès technique et notamment d’Internet.
Il est ainsi opportun de tracer le cadre des modalités de protection contemporaines des
données personnelles (I), avant d’étudier la mise en œuvre de cette protection, et ses
difficultés (II).
10
I) Les modalités de protection contemporaines des
données personnelles
Le caractère fondamental des données personnelles en a fait un enjeu d’une
importance considérable, la protection des libertés individuelles nécessite une protection des
données personnelles. Ce fut chose faite dès 1978 en France. Cependant, la particularité de cet
aspect des libertés individuelles est aussi son caractère technique. La loi de 1978 était le point
de départ d’un combat sur l’avenir, peut-être contre l’avenir. Son aspect expérimental était
indéniable, mais, bien que visionnaire, une loi sur l’évolution de la technique est vite obsolète.
Les modalités de protection devaient se développer en suivant cette évolution, via la loi
informatique et libertés mais aussi en dehors de la loi (A). Cependant, les modalités de
protection ignorent quasiment la spécificité présentée par Internet, qui est aujourd’hui la
grande menace des données personnelles (B).
A) Le cadre général de la protection
La loi informatique et libertés de 1978 est une loi technique, elle ne se contente pas de
mettre en avant des valeurs fondamentales, elle met aussi en place un véritable système de
protection qui n’a cessé de se développer. La loi est en effet basée sur des valeurs relatives à
la vie privée. Cependant, ces valeurs, cet objectif consistant à ce que l’informatique soit au
service de chaque citoyen, ne pouvaient être concrétisées qu’avec la mise en place de la
Commission Nationale de l’Informatique et des Libertés (CNIL). La création d’une autorité
de prévention et de lutte contre les dangers présentés par l’informatique était une innovation
française en 1978 même si la CNIL était inspirée d’une autorité suédoise ayant elle-même pris
11
exemple sur l’Allemagne14. Le souci de prévenir une dérive de l’automatisation n’était sans
doute pas véhiculé par la supériorité technologique de la France en Europe, mais plutôt par
une culture du droit fondamental assez prononcée. La mise en place d’un système de
protection à l’échelle européenne aurait pourtant pu être abordée, par le biais du conseil de
l’Europe ou par le biais des Communautés Européennes. Cependant, il en a été autrement
puisque la protection au niveau de l’Union Européenne n’est apparue de manière harmonisée
qu’avec la directive 95-46 du 24 octobre 1995 transposée en France par la loi du 6 août 2004.
Des dispositifs législatifs sont apparus progressivement en Europe. L’exemple de la France
n’a fait des émules qu’à partir de 1992, en Hongrie et en Belgique, et la directive a été
transposée presque partout en Europe jusqu’à aujourd’hui. A ces transpositions, il faut ajouter
la mise en place dans les pays d’Europe de lois informatique et libertés avant même leur
entrée dans l’Union, qui est aujourd’hui entièrement couverte par ces législations15. Avec
cette évolution, l’Union Européenne se veut maintenant le garant de cette protection
spécifique et, en effet, en est le grand vecteur depuis quelques années. Les entreprises et
administrations contribuent aussi largement à cet objectif de protection via la généralisation
des chartes informatiques.
On s’aperçoit ainsi que le droit s’est aujourd’hui imposé comme solution pour défendre les
libertés informatiques, ce qui n’a rien d’étonnant si l’on replace ces valeurs dans le contexte
des libertés individuelles chères à tout Etat de Droit. La protection en France se base sur le
fondement pionnier que représente la loi informatique et libertés de 1978, aujourd’hui
modifiée par la loi de 2004 (1°), même si l’acteur de la protection est aujourd’hui surtout
l’Union européenne, sans oublier les répercussions de la protection à l’échelle internationale
(2°). Depuis peu, les entités économiques contribuent aussi à cette protection (3°).
14 La Datainspektion de Suède (1973) et le commissaire à la protection des données du Land de Hesse en Allemagne (1970) ont été les premières autorités indépendantes de contrôle de la protection des données personnelles. Il s’agissait alors de reconnaître des droits nouveaux aux citoyens à l’égard des grands systèmes centralisés d’informations dont les administrations commençaient à se doter. 15 1992 : Hongrie, Belgique 1996 : Estonie, Italie 1997 : Grèce, Pologne 1998 : Portugal, Suède et Royaume-Uni 1999 : Autriche, Finlande, Slovénie, Espagne 2000 : Pays-bas, République tchèque, Lettonie, Danemark 2001 : Malte, Allemagne, Roumanie, Chypre 2002 : Luxembourg, Slovaquie 2003 : Irlande, Lituanie
12
1°) La prééminence de la loi informatique et libertés
On doit surtout à la loi informatique et libertés la création de la CNIL (a), mais au-delà
de cette autorité, c’est tout un corps de règles qui est mis en place, décliné en une série
d’obligations pour les responsables (b) et de droits pour les personnes concernées par les
traitements de données (c).
a) Le rôle central de la Commission Nationale Informatique et Libertés
La CNIL est une autorité administrative indépendante. Il s’agit même de la toute
première et, la formule restera puisque d’autres autorités administratives indépendantes
seront ainsi créées, parmi les plus connues, la Commission d’Accès aux Documents
Administratifs (CADA) créée le 17 juillet 1978, le Conseil de la concurrence créé le 1°
décembre 1986, le Conseil Supérieur de l’Audiovisuel (CSA) créé le 17 janvier 1989 et
l’Autorité de Régulation des Télécommunications (ART) créée le 26 juillet 1996. Les
autorités administratives indépendantes sont des organes administratifs autonomes qui ont un
pouvoir de contrôle dans un secteur distinct. Leur autonomie les place hors de toute tutelle
centrale ou locale. Les pouvoirs des autorités administratives indépendantes sont variés, ainsi,
le CSA comme la CNIL ont un pouvoir réglementaire, et seuls la CNIL, le Conseil de la
concurrence, le CSA et l’ART ont un réel pouvoir de sanction.
Comme la plupart des autorités administratives indépendantes, la CNIL est composée à la fois
de hauts fonctionnaires et de juges, administratifs et judiciaires, mais aussi de personnalités
réputées pour leurs qualifications dans le domaine de l’informatique16. Au total, les membres
sont dix-sept, leur mandat est de cinq ans renouvelable une fois17.
16 La composition détaillée est prévue par l’article 13 de la loi informatique et libertés, modifiée par la loi du 6 août 2004. Ce document, nommé « Loi78-17consolidee definitive-ANNOTEE.doc » est disponible sur le site de la CNIL : http://www.cnil.fr/fileadmin/documents/approfondir/textes/CNIL-78-17_definitive-annotee.pdf 17 Le président actuel de la CNIL est Alex Türk, sénateur du Nord.
13
La CNIL est organisée sous forme de services qui regroupent des agents et agents-
enquêteurs. En tant qu’autorité administrative indépendante, la CNIL dispose de prérogatives
d’organisation propres, c’est elle qui détermine les modalités de recrutement de ses agents
ainsi que leurs rémunération.
Aux termes de l’article 11 de la loi informatique et libertés modifiée, la CNIL a deux
objectifs :
« 1° Elle informe toutes les personnes concernées et tous les responsables de traitements de
leurs droits et obligations ;
2° Elle veille à ce que les traitements de données à caractère personnel soient mis en
oeuvre conformément aux dispositions de la présente loi. »
Afin d’accomplir ces objectifs, la CNIL dispose de pouvoirs variés qu’on peut classer en sept
catégories : le pouvoir de décision, de proposition, de formulation des avis, de contrôle,
d’information, de sanction, de réflexion18.
1. Le pouvoir de décision
Le pouvoir de décision correspond au pouvoir réglementaire. En effet, à l’instar du CSA,
la CNIL formule essentiellement des délibérations interprétant des lois qu’elle doit mettre en
œuvre (principalement la loi informatique et libertés), ses décisions ont valeur réglementaire
et sont ainsi susceptibles d’un recours pour excès de pouvoir devant le Conseil d’Etat. Les
décisions réglementaires couvrent aussi le règlement intérieur de la CNIL, ou l’élaboration de
normes simplifiées pour faciliter la mise en place des traitements courants.
Le pouvoir de décision correspond en outre au pouvoir d’autorisation préalable des
traitements de données. L’article 25 I 19 de la loi informatique et libertés distingue huit
catégories de traitements soumis à autorisation :
18 Classification figurant dans de nombreux ouvrages, en particulier le Lamy Droit de l’informatique et des réseaux (édition 2004). 19Tous les articles cités sans précisions sont ceux de la loi du 6 janvier1978 telle que modifiée par la loi du 6 août 2004.
14
- Certains traitements automatisés ou non concernant des données dites sensibles (les
traitements statistiques, les traitements d’anonymisation et les traitements justifiés par
l’intérêt public.)
- Les traitements automatisés portant sur des données génétiques non mis en œuvre par
des médecins ou biologistes.
- Les traitements automatisés ou non portant sur des données relatives aux infractions,
condamnations ou mesures de sûreté (sauf ceux réalisés par des auxiliaires de justice
pour des besoins de défense).
- Les traitements automatisés susceptibles, du fait de leur nature, de leur portée ou de
leurs finalités d’exclure des personnes du bénéfice d’un droit, d’une prestation ou d’un
contrat en l’absence de toute disposition législative ou réglementaire (référence aux
listes noires20).
- Les traitements automatisés ayant pour objet l’interconnexion de fichiers relevant
d’une ou plusieurs personnes morales gérant un service public et dont les finalités
correspondent à des intérêts publics différents, ainsi que l’interconnexion de fichiers
relevant d’autres personnes et dont les finalités principales sont différentes (la CNIL
cherche à tout prix à éviter les créations de bases de données centrales).
- Les traitements portant sur des données parmi lesquelles figure le numéro
d’inscription des personnes au répertoire national d’identification des personnes
physiques (NIR) et ceux qui requièrent une consultation de ce répertoire.
- Les traitements automatisés de données comportant des appréciations sur les
difficultés sociales des personnes.
- Les traitements automatisés comportant des données biométriques nécessaires au
contrôle de l’identité des personnes.
Le régime de l’autorisation, jusqu’alors limité aux fichiers de recherche médicale et aux
traitements d’évaluation des pratiques, s’est ainsi largement étendu à tous les traitements « à
risque », c'est-à-dire, dont l’objet ou les finalités sont susceptibles de porter atteinte aux
libertés individuelles. Ceux-ci sont ainsi logiquement soumis à un contrôle encore plus
rigoureux de la CNIL.
20 Les listes noires sont les listes créées par les entreprises pour regrouper leurs clients mauvais payeurs. La CNIL pose un principe de sectorisation afin que ces listes ne « stigmatisent» les clients que dans les secteurs concernés sans leur porter préjudice dans d’autres domaines sans rapport avec le premier.
15
2. Le pouvoir de proposition
Le pouvoir de proposition de la CNIL est avant tout caractérisé par un pouvoir d’initiative
législative. Ce pouvoir ressort de l’article 1° du décret n° 78-774 du 17 juillet 1978 : « La
CNIL propose au Gouvernement toutes mesures législatives ou réglementaires de nature à
adapter la protection des libertés à l’évolution des procédés et techniques informatiques ».
Cette fonction de la CNIL a connu un exemple récent avec la transposition de la directive 95-
46 du 24 octobre 1995 : la CNIL a joué un rôle actif afin d’élaborer la loi du 6 août 2004,
c’était en effet la plus apte à accomplir ce travail21.
3. Le pouvoir de formuler des avis
Les avis de la CNIL sont des formalités préalables à la mise en œuvre d’un traitement de
données, comme pour l’autorisation, mais avec un impact moindre. Il existe deux types d’avis
de la CNIL : les demandes d’avis exigeant un projet de décret en Conseil d’Etat (articles 26
II, 27 I), et celles exigeant un projet d’arrêté (articles 26 I, 27 II) ou un projet de décision de
l’organe délibérant (article 27 II).
La procédure applicable est déterminée à la fois en fonction de la qualité juridique de
l’autorité publique responsable du traitement, de la finalité du traitement et de la nature des
données enregistrées.
Ainsi, l’article 26 II prévoit que « Ceux de ces traitements [intéressant la sûreté de l’Etat…]
qui portent sur des données mentionnées au I de l’article 8 (données à caractère politique,
philosophique… santé et vie sexuelle) sont autorisés par décret en Conseil d’État pris après
avis motivé et publié de la commission ; cet avis est publié avec le décret autorisant le
traitement. »
De même, l’article 27 I dispose que sont autorisés par décret en Conseil d’État, pris après avis
motivé et publié de la Commission nationale de l’informatique et des libertés :
« 1° Les traitements de données à caractère personnel mis en oeuvre pour le compte de
l’État, d’une personne morale de droit public ou d’une personne morale de droit privé gérant
21 18° rapport d’activité de la CNIL (1997), Doc.Fr 1998.
16
un service public, qui portent sur des données parmi lesquelles figure le numéro d’inscription
des personnes au répertoire national d’identification des personnes physiques ;
2° Les traitements de données à caractère personnel mis en oeuvre pour le compte de l’État
qui portent sur des données biométriques nécessaires à l’authentification ou au contrôle de
l’identité des personnes. »
Par contre, l’article 26-I prévoit que sont autorisés par arrêté du ou des ministres compétents,
pris après avis motivé et publié de la Commission nationale de l’informatique et des libertés,
les traitements de données à caractère personnel mis en oeuvre pour le compte de l’État et :
« 1° Qui intéressent la sûreté de l’État, la défense ou la sécurité publique ;
2° Ou qui ont pour objet la prévention, la recherche, la constatation ou la poursuite des
infractions pénales ou l’exécution des condamnations pénales ou des mesures de sûreté. »
De même, l’article 27 II prévoit que sont autorisés par arrêté ou, en cas de traitement opéré
pour le compte d’un établissement public ou d’une personne morale de droit privé gérant un
service public, par décision de l’organe délibérant chargé de leur organisation, pris après avis
motivé et publié de la Commission nationale de l’informatique et des libertés :
« 1° Les traitements mis en oeuvre par l’État ou les personnes morales mentionnées au I qui
requièrent une consultation du répertoire national d’identification des personnes physiques
sans inclure le numéro d’inscription à ce répertoire ;
2° Ceux des traitements mentionnés au I :
- qui ne comportent aucune des données mentionnées au I de l’article 8 (données à caractère
politique, philosophique…santé et vie sexuelle) ou à l’article 9 (infractions) ;
- qui ne donnent pas lieu à une interconnexion entre des traitements ou fichiers
correspondant à des intérêts publics différents ;
- et qui sont mis en oeuvre par des services ayant pour mission, soit de déterminer les
conditions d’ouverture ou l’étendue d’un droit des administrés, soit d’établir l’assiette, de
contrôler ou de recouvrer des impositions ou taxes de toute nature, soit d’établir des
statistiques ;
17
3° Les traitements relatifs au recensement de la population, en métropole et dans les
collectivités situées outre-mer ;
4° Les traitements mis en oeuvre par l’État ou les personnes morales mentionnées au I aux
fins de mettre à la disposition des usagers de l’administration un ou plusieurs téléservices de
l’administration électronique, si ces traitements portent sur des données parmi lesquelles
figurent le numéro d’inscription des personnes au répertoire national d’identification ou tout
autre identifiant des personnes physiques. »
La procédure d’avis motivé de la CNIL s’est ainsi largement développée, bien qu’elle soit
moins protectrice que le régime de l’autorisation (l’avis motivé n’est pas un avis liant ceux
qui consultent, ils peuvent dès lors l’ignorer). Le pouvoir de décision appartient au final à
d’autres organes que la CNIL, s’agissant de traitements proches de ceux soumis à
autorisation, mais intéressant ici l’Etat ou les établissements publics. Parmi ces traitements,
les plus dangereux, ceux qui comportent notamment des données de l’article 8 (données à
caractère politique, philosophique, origine raciale, santé, vie sexuelle…) sont soumis à un
décret du Conseil d’Etat. La procédure d’autorisation, au contraire, laisse de réelles
prérogatives de protection à la CNIL. Il existe ainsi une distorsion dans la protection puisque
l’article 26 II prévoit que des traitements intéressant la sûreté de l’Etat et qui portent sur des
données mentionnées au I de l’article 8 sont autorisés par décret en Conseil d’État pris après
avis motivé et publié de la commission. Or, les données dites sensibles dont la collecte est en
principe interdite, relèvent en tout cas normalement du régime d’autorisation de la CNIL
(article 25-I). Le fait que les traitements visés intéressent la sûreté de l’Etat ne les rend pas
moins dangereux et donc ne rend pas moins nécessaire une protection maximale des données
personnelles. Ce n’est malheureusement pas le cas puisque l’autorisation de la CNIL n’est
pas requise.
4. Le pouvoir de contrôle
La CNIL dispose en outre d’un pouvoir de contrôle, qui correspond à un pouvoir
d’investigation très développé, prévu à l’article 44 de la loi informatique et libertés. Les
membres de la CNIL peuvent notamment procéder à des contrôles sur place et se faire
communiquer tout document jugé utile, y compris les documents informatiques. S’opposer
18
aux investigations de la CNIL est pénalement sanctionné22. Ce pouvoir est mis en œuvre par
la CNIL elle-même afin de suivre l’application de ses délibérations, pour vérifier l’application
de certains traitements, ou, pour répondre aux plaintes ou réclamations qu’on peut lui
communiquer.
5. Le pouvoir d’information
Ce pouvoir d’investigation a pour corollaire le pouvoir d’information. Ce pouvoir consiste
pour la CNIL à s’informer dans l’exercice de sa mission, mais aussi à informer les autorités
publiques, ce qui relève plus d’un devoir que d’un pouvoir. La CNIL, aux termes de l’article
11-2°- e de la loi informatique et libertés « informe sans délai le procureur de la République,
conformément à l’article 40 du code de procédure pénale, des infractions dont elle a
connaissance ». Cette charge pesant sur la CNIL est aujourd’hui parfaitement intégrée, même
si jusque dans les années 80 la commission avait des réticences à transmettre au parquet ses
informations concernant les infractions commises.
La CNIL a aussi un devoir d’informer le public et les personnes intéressées sur les
traitements de données recensés. Cette information prend plusieurs formes, en premier lieu le
rapport annuel d’activité de la CNIL, mais aussi le site Internet de la CNIL23.
6. Le pouvoir de sanction
Le pouvoir de sanction de la CNIL s’est considérablement développé avec la nouvelle
loi puisque auparavant, elle pouvait simplement délivrer des avertissements aux organismes
en cause ou les dénoncer au parquet. L’ensemble des mesures coercitives et des sanctions est
prévu par les articles 45 à 49. La CNIL, en plus de l’avertissement, peut désormais, après une
mise en demeure infructueuse et à l’issue d’une procédure contradictoire, prononcer une
sanction pécuniaire, une injonction de cesser le traitement, ou encore retirer son autorisation
(pour les traitements soumis à une telle procédure).
22 Article 51 de la loi informatique et libertés : « est puni d’un an d’emprisonnement et de 15 000 euros d’amende le fait d’entraver l’action de la CNIL » 23 www. cnil.fr
19
En outre, en cas d’urgence et de violation des droits et libertés résultant de la mise en oeuvre
d’un traitement, la Commission peut décider l’interruption temporaire de celui-ci ou le
verrouillage de données (pendant trois mois) à l’exception de certains traitements de l’Etat et
en particulier des traitements dits de souveraineté intéressant la sûreté de l’Etat, la défense ou
la sécurité publique et ceux ayant pour objet la recherche d’infractions pénales ou l’exécution
des condamnations. Pour ces derniers, la CNIL a cependant la possibilité d’informer le
Premier ministre pour qu’il prenne, le cas échéant, les mesures permettant de faire cesser la
violation constatée.
Enfin, en cas d’atteinte grave et immédiate aux droits et libertés, le président de la CNIL peut
demander en référé au juge d’ordonner toute mesure de sécurité nécessaire à la sauvegarde de
ces droits et libertés.
Le montant des sanctions pécuniaires pouvant être infligées par la CNIL peut atteindre 150
000 € lors du premier manquement constaté, et 300 000 € ou 5% du chiffre d’affaire hors
taxes du dernier exercice s’il s’agit d’une entreprise dans la limite de 300 000 € (article 47
alinéa 2). Le montant de ces sanctions doit en outre être proportionné à la gravité des
manquements commis, et aux avantages tirés de ce manquement.
7. La mission de réflexion
La CNIL a enfin, pour beaucoup, une réelle mission de réflexion quand à l’utilisation de
l’informatique dans nos sociétés et quant à son évolution. On peut entrevoir cet objectif à
l’article 1° al 2 du décret n°78-774 du 6 janvier 1978 qui prévoit que la CNIL « se tient
informée des effets de l’utilisation de l’informatique sur le droit à la protection de la vie
privée, l’exercice des libertés et le fonctionnement des institutions démocratiques. »
La CNIL est donc un organe puissant, au caractère ambigu : qualifié parfois de juge, la
CNIL s’est pourtant permise une interprétation de la loi si étendue et si créatrice qu’elle ne
pourrait être compatible avec un quelconque caractère juridictionnel. Le pouvoir
réglementaire de la CNIL lui confère au contraire un aspect administratif certain, mais il ne
faut pas évincer le caractère indépendant de la commission. Les spécificités de cet organe ont
20
en tout cas prouvé son efficacité, et l’autorité créée par la loi de 1978 tient aujourd’hui une
place essentielle dans la protection des libertés individuelles, position renforcée par
l’harmonisation européenne. Cependant, la loi informatique et libertés ne peut se résumer à
l’action de la CNIL, la protection des données personnelles impliquant nécessairement des
droits et devoirs accordés aux personnes face aux traitements de données personnelles.
b) La détermination d’obligations à la charge du responsable du
traitement
Le responsable du traitement est toute personne, physique ou morale, publique ou privée
qui gère des données personnelles par le biais d’un traitement automatisé ou d’un fichier
manuel. La loi prévoit désormais une définition précise de cette personne en son article
3 : « Le responsable d'un traitement de données à caractère personnel est, sauf désignation
expresse par les dispositions législatives ou réglementaires relatives à ce traitement, la
personne, l'autorité publique, le service ou l'organisme qui détermine ses finalités et ses
moyens. » Dès lors la protection des libertés individuelles implique nécessairement des
devoirs pour celui qui gère ces données, qui en détermine les finalités, (c'est-à-dire les
objectifs du traitement), et les moyens (c'est-à-dire les modalités de mise en œuvre). Toutes
les obligations du responsable du traitement sont pénalement sanctionnées, en cas de
manquement, par les articles L 226-16 et suivants du Code pénal.
1. Le respect des principes relatifs à la qualité des données
Pour qu’un traitement de données personnelles soit valable, les données doivent être
collectées et traitées de manière loyale et licite (article 6 1°). « Licite » signifie conforme à la
loi informatique et libertés.
La notion de loyauté est plus délicate à appréhender et couvre d’autres notions. Il s’agit
d’abord du principe de finalité : les données doivent être collectées dans un but déterminé et
seulement dans ce but, elles ne peuvent être détournées pour satisfaire un autre objectif. En
21
outre, les données doivent être adéquates, pertinentes et non excessives au regard de cette
finalité, l’information réclamée doit correspondre au but recherché. Dans le même ordre
d’idée, les données doivent être exactes et mises à jour. Enfin, les données ne doivent être
conservées au delà de la durée nécessaire en vue d’accomplir la finalité du traitement, c’est ce
que la CNIL a appelé le « droit à l’oubli » de la cible du traitement. Les obligations du
responsable sont naturellement liées à l’appréhension du traitement par la personne
concernée.
2. Le recueil du consentement au traitement donné par la personne concernée
Le consentement de la personne concernée n’était pas exigé aux termes de la loi
informatique et libertés initiale, mais, la directive 95-46 du 24 octobre 1995 a intégré cette
notion qui figure aujourd’hui dans l’article 7 de la loi informatique et libertés. Cette nouvelle
contrainte pour le responsable du traitement renforce bien sûr la protection, d’autant que le
consentement doit être explicite et éclairé. Le système de l’opt-in prévaut, c'est-à-dire que la
personne exprime sa volonté de faire partie du traitement, contrairement à l’opt-out où la
personne exprime son consentement pour sortir du traitement (donc postérieurement à la
collecte).
Cependant, l’article 7 prévoit une série de dérogations qui excluront la nécessité pour le
responsable du traitement de recueillir le consentement de la personne :
« 1° Le respect d’une obligation légale incombant au responsable du traitement ; »
Une obligation légale (visée par une loi comme un règlement) légitime le traitement et le
consentement de l’intéressé est dès lors inutile.
« 2° La sauvegarde de la vie de la personne concernée ; »
Il s’agit ici d’une dérogation propre aux traitements médicaux, le consentement peut
cependant être nécessaire dans certains cas prévus par des textes spécifiques, sachant que le
patient dispose d’un droit de refuser d’être soigné.
« 3° L’exécution d’une mission de service public dont est investi le responsable ou le
destinataire du traitement ; »
22
Le consentement n’est pas nécessaire quand le responsable du traitement ou le destinataire est
un organisme gérant une mission de service public, il dispose d’un régime exorbitant de droit
commun propre à ses finalités d’intérêt général.
« 4° L’exécution, soit d’un contrat auquel la personne concernée est partie, soit de mesures
précontractuelles prises à la demande de celle-ci ; »
La participation à un processus contractuel par la personne implique nécessairement son
consentement au traitement intégré dans ce contrat, en tout cas, son consentement suit le
régime du droit des contrats.
« 5° La réalisation de l’intérêt légitime poursuivi par le responsable du traitement ou par le
destinataire, sous réserve de ne pas méconnaître l’intérêt ou les droits et libertés
fondamentaux de la personne concernée. »
Cette dérogation est trop large, obscure et dangereuse par le même coup puisque tout
responsable de traitement peut démontrer un intérêt légitime et, s’il ne porte pas atteinte de
manière excessive aux libertés de la cible, il peut se passer de son consentement. Ce point est
susceptible de vider de son sens le principe du consentement posé par l’article 7.
L’information de la personne est nettement plus précise.
3. L’information de la personne concernée lors de la collecte des données.
Le responsable du traitement doit informer la personne dont les données sont recueillies
de plusieurs éléments prévus par l’article 32 de la loi informatique et libertés24 :
« 1° De l’identité du responsable du traitement et, le cas échéant, de celle de son représentant
2° De la finalité poursuivie par le traitement auquel les données sont destinées
3° Du caractère obligatoire ou facultatif des réponses
4° Des conséquences éventuelles, à son égard, d’un défaut de réponse;
5° Des destinataires ou catégories de destinataires des données;
6° Des droits qu’elle tient des dispositions de la section 2 du présent chapitre (droits des
personnes à l’égard des traitements de données)
7° Le cas échéant, des transferts de données à caractère personnel envisagés à destination
d’un État non membre de la Communauté européenne. 25»
24 Cette obligation est sanctionnée par une contravention de 5° classe (décret du 23 décembre 1974, art. 1°, 2°) 25 Le transfert de données à l’étranger est un point délicat qui sera abordé dans la deuxième partie,B, 2°, b.
23
Ces éléments sont clairs dans leur sens, mais la encore, l’information connaît des dérogations
pour les traitements intéressant la sûreté de l’Etat, la défense ou la sécurité publique, la
prévention, la recherche, la constatation ou la poursuite d’infractions pénales ou encore les
traitements de données nécessaires à la conservation ultérieure de données initialement
recueillies pour un autre objet, à des fins historiques, statistiques ou scientifiques (archives).
De même, si les données font l’objet à bref délai d’un procédé d’anonymisation, les
informations se limitent à l’identité du responsable et à la finalité du traitement.
La nouveauté apportée par la directive (et donc par sa loi de transposition) est la notion de
collecte indirecte. En effet, qu’en est-il de l’information de la personne concernée par les
données quand, à son insu, les informations sont cédées par le responsable à un tiers ? Ce cas
vise notamment les cessions de fichiers clients qui se sont largement développées depuis
1978. Le responsable du traitement qui collecte les données auprès d’un gestionnaire de
fichier (lui-même responsable de traitement), a alors le devoir de communiquer les
informations habituelles à la personne concernée dès l’enregistrement des données, ou, si la
communication à des tiers est envisagée, au plus tard lors de la première communication de
données26.
Le devoir d’information prend une réelle ampleur quand des données dites sensibles sont
collectées.
4. Le respect des obligations relatives aux traitements de données dites sensibles
Les données « sensibles », données concernant les opinions syndicales, religieuses,
politiques, ou faisant référence à l’origine ethnique, l’état de santé ou encore l’orientation
sexuelle (depuis la directive de 1995), relèvent d’un régime particulier justifié par le risque
élevé d’atteinte aux droits fondamentaux.
En principe, le traitement de ces données est interdit27, mais les exceptions sont nombreuses
aux termes de l’article 8 II.
26 Article 32 III de la loi informatique et libertés 27 Article 8 I
24
Si l’intéressé consent au traitement, il est légitimé, à condition que son consentement soit
exprès. Le traitement est aussi possible s’il est nécessaire à la sauvegarde de la vie humaine,
dans le cas où la personne concernée ne peut donner son consentement par suite d’une
incapacité juridique ou d’une impossibilité matérielle (il s’agit de traitements médicaux).
Les traitements mis en oeuvre par une association ou tout autre organisme à but non lucratif et
à caractère religieux, philosophique, politique ou syndical sont aussi possibles pour les
informations les concernant qui sont indispensables à leur gestion.
Les traitements nécessaires à la constatation, à l’exercice, ou à la défense d’un droit en justice
sont autorisés ainsi que le traitement d’informations manifestement rendues publiques par les
personnes concernées (qui sortent ainsi de la sphère privée).
Sont de même autorisés, les traitements nécessaires aux fins de la médecine préventive, des
diagnostics médicaux, de l’administration de soins ou de traitements, ou de la gestion de
services de santé, mis en oeuvre par un membre d’une profession de santé, ou par une autre
personne à laquelle s’impose en raison de ses fonctions l’obligation de secret professionnel
prévue par l’article 226-13 du Code pénal. Il faut ajouter à cette liste les traitements
nécessaires à la recherche dans le domaine de la santé.
Enfin, les traitements statistiques réalisés par l’Institut national de la statistique et des études
économiques (INSEE), ou l’un des services statistiques ministériels, sont possibles sur
autorisation de la CNIL.
Le recueil de ce type de données nécessite plus que tout des mesures de protection contre la
divulgation des informations.
5. L’obligation d’assurer la sécurité des traitements et des données et d’en préserver la
confidentialité
L’article 34 prévoit que « Le responsable du traitement est tenu de prendre toutes
précautions utiles, au regard de la nature des données et des risques présentés par le
traitement, pour préserver la sécurité des données et, notamment, empêcher qu’elles soient
déformées, endommagées, ou que des tiers non autorisés y aient accès. ».
25
L’obligation de sécurité implique un engagement technique de la part du responsable du
traitement. Le recours à des instruments comme le cryptage est souvent nécessaire pour
protéger les données personnelles.28 Cette obligation de sécurité s’étend depuis la directive
95-46 du 24 octobre 1995 aux sous-traitants avec lesquels le responsable du traitement peut
être amené à travailler. Ainsi, cette obligation implique que le responsable choisisse un sous-
traitant offrant des garanties suffisantes au regard des mesures de sécurité à prendre, et que
ces mesures soient explicitement prévues dans le contrat.29
De même, le responsable du traitement doit s’engager à ne pas divulguer les données traitées
à des tiers, sous peine d’être pénalement condamné30.
Cependant, avant toute chose, la première des obligations incombant au responsable du
traitement est la déclaration à la CNIL.
6. L’obligation de déclarer préalablement le traitement automatisé à la CNIL
L’obligation de déclarer les traitements automatisés résulte de l’article 22 de la loi. La
déclaration doit comporter l’engagement que le traitement satisfait aux exigences de la loi et
comporte des informations détaillées sur les caractéristiques du traitement. La déclaration se
fait par courrier traditionnel, dépôt, ou à présent par voie électronique. La CNIL renvoie un
récépissé qui permet la mise en œuvre du traitement.
Il existe une procédure de déclaration simplifiée31, pour les catégories de traitements les plus
courantes. Il s’agit des traitements insusceptibles de porter atteinte aux libertés individuelles
et à la vie privée. Pour ces traitements, la CNIL publie des normes types, des normes
simplifiées, qui précisent les finalités des traitements faisant l’objet d’une déclaration
simplifiée, les données et personnes concernées par ces traitements ainsi que leurs
destinataires, et la durée de conservation des données. Les traitements visés font l’objet d’une
procédure allégée par rapport à celle de droit commun32.
28 Ce point sera développé dans le 2° du B. 29 Article 35 de la loi informatique et libertés. 30 Article L 226-22 du Code pénal 31 Article 24 32 Les formulaires de déclaration figurent en ANNEXE.
26
Enfin, le responsable du traitement peut être dispensé de déclaration dans certains cas. Il
s’agit d’abord du cas où le responsable a désigné un correspondant à la protection des données
à caractère personnel, chargé d’assurer, d’une manière indépendante, le respect des
obligations prévues par la loi33. Il s’agit de la grande innovation de la loi de 2004, inspirée du
modèle allemand34. La CNIL monte à cet effet un véritable réseau de correspondants afin de
favoriser la collaboration entre elle et les entreprises. Ces dernières désignent un
correspondant parmi leurs salariés, qui devient le relais entre la CNIL et l’entreprise. Le
salarié, de par son rôle, devient quasiment protégé puisque son licenciement nécessite une
notification à la CNIL. La dispense de déclaration est cependant soumise à de nombreuses
conditions :
- l’exonération ne s’applique pas si un transfert de données vers des Etats non membres
de l’Union européenne est envisagé.
- la désignation d’un correspondant doit être notifiée à la CNIL et portée à la
connaissance des instances représentatives du personnel.
- le correspondant doit être une personne bénéficiant des qualifications requises pour
exercer ses missions.
- le correspondant doit tenir une liste des traitements effectués immédiatement
accessible à toute personne en faisant la demande (cela évite la création de fichiers
clandestins).
- le correspondant ne peut faire l’objet d’aucune sanction de la part de l’employeur du
fait de l’accomplissement des ses missions.
- Il peut saisir la CNIL des difficultés rencontrées dans l’exercice de ses missions.
- En cas de manquement à ses devoirs, le correspondant est déchargé de ses fonctions
sur demande ou après consultation de la CNIL.
- En cas de non respect des dispositions de la loi, le responsable du traitement doit
procéder aux formalités de déclaration.
La loi exclut en outre de la déclaration les traitements ayant pour seul objet la tenue d’un
registre destiné exclusivement à l’information du public, et les traitements mis en œuvre par
des associations ou organismes à but non lucratif et à caractère religieux, philosophique, 33 Article 22 III 34 Le détaché à la protection des données personnelles existe en Allemagne depuis la loi fédérale relative à la protection des données personnelles de 1977.
27
politique ou syndical35. Enfin, la commission peut définir par norme simplifiée, parmi les
catégories de traitements, celles qui, compte tenu de leurs finalités, de leurs destinataires ou
catégories de destinataires, des données à caractère personnel traitées, de la durée de
conservation de celles-ci et des catégories de personnes concernées, sont dispensées de
déclaration36.
Les obligations du responsable du traitement sont nécessaires pour garantir les droits
de la cible du traitement. C’est pourquoi, la loi informatique et libertés prévoit par symétrie un
ensemble de règles que la personne concernée par le traitement de données peut invoquer à
l’encontre du responsable.
c) La reconnaissance de droits au profit de la personne concernée par le
traitement
Pour la défense des droits et libertés de la personne concernée par le traitement, la loi
prévoit des droits adaptés au processus de gestion des données personnelles. Le non respect
de ces droits est sanctionné pénalement37. Ces droits sont le corollaire des obligations du
responsable du traitement puisque ce dernier doit permettre l’exercice de ceux-ci par la
personne concernée.
1. Les droits de s’informer et d’accéder aux données personnelles.
Le droit de s’informer est le droit d’obtenir des renseignements sur le traitement.
Qualifié de « Droit à la curiosité » par André Lucas, Jean Devèze et Jean Frayssinet38, ce
35 Article 22 II de la loi informatique et libertés 36 Article 24 II 37 L 226-18 du Code pénal 38 André Lucas, Jean Devèze et Jean Frayssinet « Droit de l’informatique et de l’Internet » Thémis Droit privé ; PUF 2001
28
droit est visé par l’article 39 de la loi informatique et libertés. Toute personne justifiant de son
identité peut ainsi savoir si un traitement recèle des informations personnelles la concernant,
et obtenir des informations sur les finalités du traitement et sur d’éventuels transferts de
données à l’étranger.
De ce droit à l’information, découle un droit d’accès et de copie des données concernant la
personne. Les informations copiées doivent être intelligibles et conformes à la réalité. Face à
un risque de dissimulation ou de disparition des données, le juge compétent peut ordonner (y
compris en référé) toute mesure de nature à éviter cette dissimulation ou cette disparition.
Une limite doit cependant être apportée à ce droit d’accès. Quand le traitement concerné a
trait aux intérêts de la puissance publique, notamment, quand il intéresse la sûreté de l’Etat, la
défense et la sécurité publique, la personne ne dispose que d’un droit d’accès dit indirect 39.
Dans ce cas, la demande est adressée à la CNIL qui désigne l’un de ses membres appartenant
ou ayant appartenu au Conseil d’État, à la Cour de cassation ou à la Cour des comptes, pour
mener les investigations utiles et faire procéder aux modifications nécessaires.
L’article 43 prévoit par contre que l’individu dispose d’un droit d’accès personnel aux
données médicales qui le concernent, mais il peut aussi le faire par l’intermédiaire d’un
médecin désigné à cet effet (cette solution était la seule en vigueur avant la loi de 2004).
Il faut enfin assimiler au droit à l’information le droit de connaître la logique que sous-tend le
traitement automatisé40. Ce principe vise en particulier les traitements automatisés utilisés
pour évaluer et profiler les performances du personnel ou des candidats à un poste (aussi
appelés les systèmes de scoring). La personne concernée dispose, dans son droit d’accès,
d’une possibilité de connaître les raisonnements employés dans le traitement et de les
contester. Ces systèmes sont en effet dangereux dans le sens où ils écartent l’identité humaine
au profit d’une quantification des performances, faisant parfois appel à des méthodes
contestables (numérologie, astrologie…).
Une fois l’accès aux données effectué, la cible dispose d’un droit de rectification.
2. Le droit de rectification des données personnelles.
39 Article 40 de la loi informatique et libertés 40 Article 39 I 5°
29
La personne physique justifiant de son identité peut rectifier, compléter, mettre à jour ou
effacer les données personnelles la concernant quand elles sont inexactes, incomplètes,
équivoques, périmées, ou quand leur collecte, conservation est interdite41. La personne peut
aussi demander à ce que les données soient verrouillées. Ces droits sont libres, peuvent être
exercés à tout moment, sans frais, et donnent un véritable pouvoir de contrôle de ses données
à l’individu. Le responsable du traitement doit justifier qu’il a procédé à ces rectifications, et,
en cas de litige, il supporte la charge de la preuve.
La loi nouvelle tient aussi compte des héritiers de l’individu, ceux-ci peuvent,
postérieurement à la mort de la cible du traitement, demander au responsable la mise à jour
des informations42.
Auparavant, la personne concernée par le traitement, peut, au moment de la collecte, exercer
son contrôle sur les données.
3. ) Le droit d’opposition au traitement
Toute personne physique peut s’opposer, pour des motifs légitimes, à ce que des
données à caractère personnel la concernant fassent l’objet d’un traitement43. Ce droit
s’exerce à tout moment, sans frais pour la personne concernée, qui peut s’opposer à ce que
ses données soient utilisées à des fins de prospection, notamment commerciales (précision de
la loi de 2004). Dans ce dernier cas, le droit d’opposition est discrétionnaire, les motifs
légitimes ne sont pas exigés, contrairement aux cas de traitements mis en œuvre dans le cadre
d’une mission de service public.
Ce droit constitue un véritable veto de la personne physique contre le responsable du
traitement.
41 Article 40 al 1 de la loi informatique et libertés. 42 Article 40 al 6 43 Article 38 al 1
30
La loi de 1978 constitue le socle de notre protection des données personnelles,
cependant, on ne peut évidemment pas ignorer les normes extérieures, d’autant que la loi
informatique et libertés ainsi présentée n’est plus celle de 1978 depuis la transposition des
innovations de la directive européenne de 1995. L’Union Européenne est donc la première des
sources internationales, mais les libertés informatiques sont aussi visées par d’autres textes
extérieurs à l’Union.
2°) L’impulsion de l’Union européenne et du Droit international
Les sources européennes sont celles qui ont le plus d’impact sur notre législation (a),
cependant d’autres textes sont à prendre en compte du fait des engagements de la France sur
la scène internationale (b).
a) Les modalités de protection communautaires
La principale directive européenne est celle de 1995, dont la plupart des dispositions ont
été évoquées à travers la nouvelle loi informatique et libertés. Cependant, il existe aussi une
directive traitant de la protection des données personnelles dans le secteur des
télécommunications, même si la première version de ce texte a été abrogée. Il faut d’ores et
déjà noter que la protection des données personnelles figure dans la Charte des Droits
fondamentaux de l’Union Européenne, adjointe au traité constitutionnel, en son article II-68.
1. La directive 95-46 du 24 octobre 1995
Le droit communautaire ne s’est intéressé que tardivement au problème de la protection
des données personnelles. C’est finalement sous l’impulsion des Etats membres, et
31
notamment de la France, avec le modèle de la loi de 1978, que l’Union a adopté la directive
95-46 du 24 octobre 1995, aujourd’hui transposée par la loi du 6 août 2004.
La directive exclut de son champ d’application les traitements de souveraineté, notamment
ceux touchant à la sécurité et à la défense de l’Etat. En dehors de ces hypothèses, le champ de
la directive est très proche de celui de la loi de 197844. Il tend cependant à faire disparaître la
distinction entre traitement automatisé et traitement non automatisé, comme le prouve la loi
de 2004 (avec la notion de traitement automatisé ou non45). La distinction est de toutes façons
appelée à disparaître pour des raisons techniques, l’informatique est presque toujours utilisée
désormais pour effectuer des traitements.
De la même façon, la directive met sur un pied d’égalité les traitements du secteur public et
les traitements du secteur privé. La loi de transposition garde toutefois une certaine inégalité
puisque les traitements de souveraineté (et donc publics) relèvent d’un régime assez strict,
c'est-à-dire un régime de demande d’avis de la CNIL, sans pour autant être soumis à une
autorisation46.
La transposition de la directive en France a nécessité une étude poussée des dispositions
prévues. Ce fut l’objet du rapport de M. Guy Braibant47, Président de section honoraire au
Conseil d’Etat, qui rendit son rapport le 3 mars 1998 au Premier ministre M. Jospin. Ce
rapport, comparant en profondeur la loi de 1978 et la directive, a de ce fait, fortement inspiré
l’avant-projet de loi de transposition.
La dimension communautaire de cette norme implique aussi la mise en place d’organes
spécialisés de dimension communautaire. La directive crée dès lors deux structures. La
première est le groupe de protection des personnes à l’égard du traitement de données à
caractère personnel. Ce groupe, instauré par l’article 29 de la directive (et pour cela souvent
surnommé « groupe de l’article 29 »), joue presque un rôle de « CNIL communautaire ». Il se
compose de représentants de chaque Etat membre et de membres d’autorités communautaires
(dont un de la Commission européenne). Il a pour première mission l’harmonisation des
44 Le contenu précis de la directive ne nécessite pas de développement particulier puisque les dispositions sont celles reprises dans la loi de transposition telle qu’étudiée dans le 1°). 45 Article 25 de la loi informatique et libertés, entre autres. 46 Les traitements « pour le compte de l’Etat » des articles 26 et 27 47 Rapport Braibant : Données personnelles et société de l’information, Doc.fr. 1998
32
transpositions nationales de la directive, il donne son avis à la Commission sur le niveau de
protection des pays de l’Union et des pays tiers, il conseille la Commission sur l’évolution de
la directive et le respect des libertés individuelles concernées à travers les projets de normes
européennes dans tous secteurs. Il donne aussi son avis sur l’élaboration des codes de
conduite48 en vue d’une harmonisation de ceux-ci. A l’instar de la CNIL, le groupe établit un
rapport annuel sur la protection des données personnelles dans l’Union Européenne et dans les
pays tiers. En outre, l’article 31 de la directive met en place une autre structure, un comité,
composé de représentants des Etats membres. Le comité assiste la Commission, par voie
d’avis, pour une meilleure application de la directive.
Par ailleurs, il faut souligner que les traitements effectués par les organes communautaires
eux-mêmes, n’échappent pas à la protection puisque le Parlement européen et le Conseil ont
adopté le règlement n° 45/2001 relatif à la protection des personnes physiques à l'égard du
traitement des données à caractère personnel par les institutions et organes communautaires
et à la libre circulation de ces données. Ce règlement institue une autorité de contrôle
indépendante, dénommée le contrôleur européen de la protection des données (CEPD),
chargée de surveiller le traitement par les institutions et organes communautaires de données
personnelles. En outre, chaque institution dispose d'un délégué à la protection des données qui
coopère avec le CEPD et l'informe en particulier de certaines opérations de traitement de
données « sensibles », telles que les données relatives à la santé ou à l'évaluation du
personnel49.
2. La directive secteur des télécommunications du 15 décembre 1997(abrogée)
La directive de 1997 était une application sectorielle de la protection des données
personnelles au secteur des télécommunications, elle ne visait pas simplement Internet, il
s’agissait avant tout d’une directive visant le secteur de la téléphonie. Cela concernait
notamment les problèmes liés aux annuaires téléphoniques, à la confidentialité des
télécommunications ou encore aux automates d’appel. Cette directive a cependant eu peu
d’écho, et, avant toute transposition, elle fut abrogée et remplacée par la directive vie privée 48 Voir 3°, les initiatives privées. 49 Par décision du Parlement européen et du Conseil en date du 22 décembre 2003, publiée au Journal officiel le 17 janvier 2004, M. Peter Johan Hustinx (ancien président de la Commission néerlandaise de protection des données) a été nommé CEPD et M. Joaquín Bayo Delgado contrôleur adjoint, pour une période de cinq ans, à la suite d'un appel public à candidatures.
33
et communications électroniques n°2002-58 du 12 juillet 2002. Cette dernière vise de
manière plus précise les problèmes liés à Internet.
b) Le développement des sources internationales
Il existe de nombreuses sources internationales, cependant, peu ont un réel impact sur
les droits nationaux.
1. La Convention pour la protection des personnes à l’égard du traitement des données
à caractère personnel du 28 janvier 1981.
La convention de 1981 est la convention 108 du Conseil de l’Europe, elle vise les droits
et libertés des personnes face au problème de la circulation des données. Elle est d’application
large puisqu’elle s’impose aux membres du Conseil de l’Europe de la même façon que la
Convention de sauvegarde des Droits de l’Homme et des Libertés fondamentales de 1950. La
convention 108 garantit le respect des droits et libertés fondamentaux de l’individu face au
traitement de ses données personnelles, manuel comme automatique, dans le secteur public
comme privé.
Son champ complète parfaitement celui de la loi de 1978. L’application des dispositions
de la Convention est facilitée par la mise en place d’un comité consultatif qui élabore des
propositions d’application et de modification du texte par le biais de protocoles additionnels.
2. Les autres sources internationales.
D’autres organisations internationales disposent d’un certain poids en matière de
protection des données personnelles.
Il s’agit en particulier de l’Organisation de Coopération et de Développement Economique
(OCDE), qui, par le biais de lignes directrices adoptées par recommandation le 23 septembre
1980, a fortement inspiré la directive 95-46 du 24 octobre 1995. Les lignes directrices
34
dégagent de grands principes internationaux. On retrouve ainsi des principes figurant dans la
loi de 1978 et dans celle de 2004 (collecte loyale et licite, consentement de la personne
concernée, transparence…).
L’Organisation des Nations Unies (ONU) a aussi adopté des lignes directrices par une
résolution du 14 décembre 1990, recouvrant un champ d’application similaire à celles de
l’OCDE, avec toutefois de plus grandes précisions sur les données dites sensibles.
Ces sources internationales n’ont pas de valeur contraignante, cependant, du fait de leur
impulsion sur le Droit communautaire, les principes posés se voient ainsi appliqués à travers
la directive de 1995.
La protection des données personnelles est l’objet de nombreuses législations, internes
comme externes. Toutefois, cet objectif de protection a aussi vu naître des initiatives privées,
générées plus ou moins spontanément par les acteurs de la vie économique, qui sont aussi les
responsables et les cibles des traitements de données.
3°) L’émergence progressive d’initiatives privées
La protection des données personnelles étant devenue un enjeu de taille, les organes
normatifs ne sont aujourd’hui plus les seuls à la prendre en considération.
En effet, de nombreuses pratiques ayant pour but d’améliorer cette protection et de rendre
plus transparents les traitements de données se sont développées.
35
Une impulsion provient de la directive de 1995, qui, en son chapitre V prévoit que les
organismes représentatifs privés peuvent élaborer des codes de conduite par secteur
professionnel pour assurer l’application de la directive et de la loi nationale.
Ce type de code de conduite vient s’ajouter aux codes déontologiques ou éthiques élaborés
par certaines entreprises ou certains secteurs professionnels pour assurer une protection
interne efficace des données personnelles, sous l’impulsion de la CNIL. C’est par exemple le
cas du « Code de déontologie des professionnels du marketing direct vis-à-vis de la protection
des données à caractère personnel » de 1993.
En outre, les entreprises et administrations ont presque toutes à ce jour une charte
informatique qui vise l’utilisation des ressources informatiques, mais aussi l’utilisation des
données personnelles par l’employeur comme par les employés.
La protection des données personnelles semble pour beaucoup assurée, face à un tel
arsenal législatif. Cela est en partie vrai. Avec la loi de 1978, on peut dire que le pari sur
l’avenir a été tenu, une loi sur une technique alors à ses premiers balbutiements s’est
appliquée pendant vingt-six ans. La loi de 2004 la met à jour, cependant, le grand danger de la
protection des données personnelles n’est presque pas évoqué. La loi informatique et libertés
se veut générale, refuse une application sectorielle de la protection des données personnelles à
Internet. Cependant, on ne peut ignorer qu’Internet comprend de grandes spécificités posant
de nouveaux problèmes, et tenant souvent la loi en échec. Les sources européennes tendent
cependant à combler ce vide.
36
B) Le développement lacunaire de modalités de protection
spécifiques à Internet
L’explosion d’Internet a largement pris de vitesse le législateur, la question de
l’application du Droit à Internet s’est alors posée : quel droit appliquer à un phénomène
technique qui peut nous dépasser ? L’enjeu était d’éviter qu’Internet ne devienne une zone de
non droit, le risque d’atteinte aux droits fondamentaux étant très élevé. Finalement, le
législateur n’a pas souhaité créer une nouvelle branche du droit spécifique à Internet, le réseau
est donc soumis au Droit commun, ce qui permet de lui appliquer tous les principes déjà
posés, sans risque d’oubli. Cependant, l’ignorance des spécificités d’Internet ne va pas sans
poser des problèmes d’adaptation du droit commun aux concepts abstraits qui permettent les
échanges et actions sur le web. Le droit ne pouvant complètement ignorer le phénomène, et la
loi de 1978 étant difficilement adaptable aux problèmes de données personnelles sur Internet,
il a fallu renforcer le cadre de la protection par des normes actualisées (1°). Toutefois, face à
Internet, le droit ne constitue pas le seul outil de protection des données personnelles, et la
protection contre la technique, par la technique, devient un nouvel enjeu (2°).
1°) La protection juridique actualisée
A l’instar du cadre de protection général, les sources sont surtout européennes (a) et
nationales (b), les premières traitant plus particulièrement du problème d’Internet.
37
a) L’antériorité des sources européennes
La loi de 1978 étant inadaptée, la protection des données personnelles sur Internet ne
pouvait résulter que d’une législation plus récente. C’est le cas de la directive 95-46 du 24
octobre 1995 et donc de la loi de transposition du 6 août 2004, qui tend à actualiser la
protection face à Internet. La directive reste générale, mais, elle prévoit indirectement
l’application de ses dispositions à Internet dans le sens où elle y fait référence, ou plus
précisément à l’utilisation de réseaux numériques. On retrouve d’ailleurs dans l’article 32 II
de la loi informatique et libertés des dispositions concernant les utilisateurs de réseaux de
communications électroniques.
Cependant, la grande avancée de cette directive en matière de réseaux numériques reste les
dispositions concernant le transfert de données personnelles vers les pays n’appartenant pas à
l’Union Européenne, que l’on retrouve aux articles 25 et suivants de la directive, et, au
chapitre XII de la loi de transposition.
En effet, si le transfert de données personnelles vers des pays tiers a toujours posé problème,
avec Internet, les flux de données ne sont plus arrêtés par les frontières, cela tend donc à
devenir un problème spécifique à Internet. Ainsi, le risque que des données personnelles
soient transférées vers des pays n’assurant pas une protection suffisante des données (comme
celle existant en Union Européenne), est immense. Le principe est dès lors l’interdiction des
transferts vers des pays n’assurant pas une protection suffisante. Toutefois, le principe est
écarté quand la personne concernée par le traitement consent au transfert, ou quand le
transfert est nécessaire, notamment pour l’exécution d’un contrat50.
Le droit européen cherche ainsi à combler des lacunes normatives relatives à Internet, et la
directive 95-46 n’est pas la seule en la matière, puisque la directive Vie privée et
communications électroniques du 12 juillet 2002 (abrogeant la directive du 15 décembre 1997
précitée) prévoit des dispositions concernant les cookies. Il est question d’informations
recueillies sur les ordinateurs des internautes par le biais de fichiers « mouchards » (les
cookies) déposés sur leurs disques durs, pour faciliter l’accès à un site, mais aussi pour
50 Les problèmes concrets posés par le transfert de données seront analysés en deuxième partie, B, 2°, b.
38
constituer des fichiers retraçant les habitudes et préférences des internautes. Le procédé étant
très discret, le consentement de l’intéressé est ainsi rarement obtenu, ce qui porte atteinte à ses
libertés individuelles. La directive de 2002 exige dès lors que l’internaute soit informé par le
responsable du traitement (qui est souvent le responsable du site, le webmaster) de
l’utilisation de cookies51, et qu’il puisse s’y opposer.
Face à ce problème spécifique d’Internet, le droit national cherche à s’adapter.
b) L’adaptation des sources nationales
Les cookies sont considérés comme des données à part entière, ils relèvent ainsi de la
loi informatique et libertés, comme toute donnée. Le régime applicable aux cookies est donc
la loi de 1978 telle que modifiée par la loi du 6 août 2004, transposant la directive 95-46. Or,
si elle fait référence à l’utilisation d’Internet, comme nous l’avons vu, cette loi ne vise pas
précisément les problèmes posés par le réseau. Il existe toutefois une disposition applicable
aux cookies à l’article 32-II sur le droit d’opposition :
« Toute personne utilisatrice des réseaux de communications électroniques doit être informée
de manière claire et complète par le responsable du traitement ou son représentant :
- de la finalité de toute action tendant à accéder, par voie de transmission électronique, à des
informations stockées dans son équipement terminal de connexion, ou à inscrire, par la même
voie, des informations dans son équipement terminal de connexion
- des moyens dont elle dispose pour s’y opposer.
Ces dispositions ne sont pas applicables si l’accès aux informations stockées dans
l’équipement terminal de l’utilisateur ou l’inscription d’informations dans l’équipement
terminal de l’utilisateur :
- soit a pour finalité exclusive de permettre ou faciliter la communication par voie
électronique
51 Le cas particulier des cookies sera développé en détail dans la deuxième partie, B, 1°,b.
39
- soit est strictement nécessaire à la fourniture d’un service de communication en ligne
à la demande expresse de l’utilisateur. »
Cette disposition prévoit ainsi que l’internaute doit être informé de l’utilisation de cookies sur
son ordinateur et des moyens de s’y opposer. Cependant, la disposition n’est pas applicable si
le fichier sert exclusivement à faciliter la navigation sur Internet. Ce n’est que rarement le cas
des cookies qui ont plus souvent des finalités commerciales.
A juste titre, la Loi pour la confiance dans l’Economie numérique (LCEN) du 21 juin 2004
s’intéresse à ce type de finalité. Cette loi a pour principal objectif la transposition de la
directive européenne 2000-31 du 8 juin 2000 sur le commerce électronique, mais elle
transpose aussi partiellement la directive 2002-58 du 12 juillet 2002 Vie privée et
communications électroniques précitée.
La LCEN vise le commerce électronique, et cherche en particulier à réguler la pratique du
spamming qui connaît de nombreux abus. Le mot spam lui-même n'existe pas sur le plan
juridique. Pendant longtemps, on a parlé d'envoi massif de messages non sollicités, et
aujourd'hui, on semble restreindre, sur le plan juridique au moins, la notion de spam à l'envoi
par courriers électroniques et autres formes électroniques de messages dits de prospection
commerciale.
La LCEN prévoit ainsi en son article 22: « Est interdite la prospection directe au moyen d’un
automate d’appel, d’un télécopieur ou d’un courrier électronique utilisant, sous quelque
forme que ce soit, les coordonnées d’une personne physique qui n’a pas exprimé son
consentement préalable à recevoir des prospections directes par ce moyen. ».
Une exception est cependant prévue : « Toutefois, la prospection directe par courrier
électronique est autorisée si les coordonnées du destinataire ont été recueillies directement
auprès de lui, dans le respect des dispositions de la loi n° 78-17 du 6 janvier 1978 relative à
l’informatique, aux fichiers et aux libertés, à l’occasion d’une vente ou d’une prestation de
services, si la prospection directe concerne des produits ou services analogues fournis par la
même personne physique ou morale, et si le destinataire se voit offrir, de manière expresse et
dénuée d’ambiguïté, la possibilité de s’opposer, sans frais, hormis ceux liés à la transmission
du refus, et de manière simple, à l’utilisation de ses coordonnées lorsque celles-ci sont
40
recueillies et chaque fois qu’un courrier électronique de prospection lui est adressé. »
Ainsi, mise à part cette exception qui renvoie à la loi informatique et libertés, la règle de l’opt-
in est consacrée, à l’exclusion de l’opt-out. C'est-à-dire, la prospection commerciale par spam
nécessite que la personne concernée y ai consenti (par une démarche active), et son
consentement ne s’exprime donc plus de manière négative pour arrêter la prospection déjà
enclenchée sans son accord.
En réalité, la LCEN renvoie aussi indirectement à la loi informatique et libertés dans ses
dispositions sur le spam. En effet, le spam, dans la plupart des cas, se fait à l’aide de cookies
préalablement déposés. En d’autres termes, la prospection est souvent la conséquence d’une
collecte discrète de données personnelles qui retracent les goûts et habitudes de la personne
concernée. Par exemple, des cookies seront déposés lors de la visite d’un site de voyage. Les
cookies serviront à constituer un fichier sur l’internaute qui recevra sous peu des emails
commerciaux proposant des voyages à des prix intéressants. Le problème est que les fichiers
ainsi constitués sont totalement opaques, et les échanges de fichiers fréquents, le spam reçu
aura parfois un rapport très lointain avec le site visité.
La lutte contre le spamming rejoint ainsi la lutte contre les collectes de données abusives sur
Internet, le spamming et les cookies ne répondant pas aux exigences de loyauté et de recueil
du consentement prévues par la loi informatique et libertés.
Certes, les textes spécifiques à Internet sont quasi-inexistants, le droit commun des données
personnelles s’y appliquant, cependant, des moyens de protection techniques viennent
compléter ce vide, en apportant une sécurisation des données, en particulier sur Internet.
41
2°) L’évolution de la protection technique : la cryptologie
La protection juridique est insuffisante pour garantir l’intégrité des données
personnelles. Elle peut alors inciter à recourir à d’autres moyens de protection, surtout quand
une sanction pénale est à la clef. En effet, l’article L 226-17 du Code pénal dispose : « Le fait
de procéder ou de faire procéder à un traitement automatisé d'informations nominatives sans
prendre toutes les précautions utiles pour préserver la sécurité de ces informations et
notamment empêcher qu'elles ne soient déformées, endommagées ou communiquées à des
tiers non autorisés est puni de cinq ans d'emprisonnement et de 300000 euros d'amende. »
Les précautions utiles dont il est question sont à rapprocher d’outils techniques tels que le
cryptage qui sont à la disposition des responsables du traitement, particulièrement face aux
dangers d’Internet. En effet, si le cryptage n’est pas une spécificité d’Internet, il a pris toute
son ampleur sur le réseau où l’utilisation de ces procédés est indispensable.
Le cryptage, ou plus généralement la cryptologie (la science du cryptage) a une origine
curieusement lointaine. Déjà en 500 avant JC, en Perse, le Prince Histié tatouait le crâne de
ses esclaves puis laissait leurs cheveux repousser avant de les envoyer porter des messages
confidentiels (la clef de décryptage était alors la tonte). Plus récemment, l’Allemagne nazie a
utilisé la première machine à crypter : L’Enigma. On s’aperçoit que la cryptologie est ainsi
née de la guerre, mais avec le développement de l’informatique, les systèmes de cryptage se
sont imposés pour protéger les données électroniques.
On reconnaît dès lors au cryptage plusieurs intérêts tels que l’authentification des
utilisateurs52 et le filtrage des accès par des codes, la préservation de la confidentialité, mais
surtout l’intégrité des données. En effet, coder l’accès à un fichier de données garantit la
bonne utilisation de ce fichier et préserve les données contenues de toute altération ou
détournement via Internet.
52 Le cryptage, via les codes secrets, permet d’authentifier une personne sur Internet, ce qui fait défaut au célèbre adage : « Sur Internet, on peut se faire passer pour son chien ».
42
Il existe ainsi de nombreux modes de cryptage plus ou moins complexes. Les systèmes de
double clef symétrique et de clefs publiques se sont très vite imposés (surtout avec le
développement du commerce électronique) en ce qu’ils permettent à un utilisateur de crypter
une information grâce à une clef privée (code personnel…) et à un autre (qui peut être
l’administrateur du réseau) de la décrypter grâce à une clef publique.
Le premier dispositif complet élaboré fut le Data Encryption Standard 1981 aujourd’hui
facilement cassable (piratable). Ce n’est pas le cas de l’International Data Encryption, plus
couramment appelé IDEA, utilisé dans de nombreux logiciels d’utilisation courante tels que
les compresseurs-décompresseurs de fichiers (notamment PKZIP).
Aujourd’hui, des systèmes plus complexes et donc plus efficaces sont utilisés sur Internet : les
protocoles de sécurisation, utilisés pour les paiements électroniques sécurisés, nouvel enjeu du
commerce électronique. En effet, pour payer sur Internet, des données personnelles sont
demandées pour l’opération, en particulier le numéro de carte de paiement (donnée
personnelle indirectement identifiante). Les deux principaux protocoles sont le SSL et le SET,
pour secure socket layer et secure electronic transaction.
Le SSL sécurise la session une fois ouverte, le SET sécurise l’envoi de données (par clef
privée).Le SSL est sans doute le moyen le plus fiable et le plus utilisé à l’heure actuelle53. Les
responsables de traitement qui se conforment à ce type de cryptage prévoient le plus souvent
une charte de confiance et de confidentialité à la disposition des personnes concernées.
L’utilisation des moyens de cryptage est cependant très encadrée, notamment par les décrets
et arrêtés de mars 199954. Normalement, le fournisseur de moyens de cryptage qui pouvait
être l’importateur du logiciel de cryptage devait faire une déclaration auprès du Service
Central de Sécurité des Systèmes d’Information (un des services du premier ministre : le
SCSSI). Toutefois, l’utilisateur final du cryptage (le commerçant électronique par exemple)
était dispensé de ces démarches administratives puisque l’utilisation de ces logiciels était
libre. Aujourd’hui, la loi n° 2004-575 du 21 juin 2004 pour la confiance dans l’économie
53 L’internaute le reconnaît grâce au petit cadenas jaune fermé en bas de son écran, et grâce à l’ HyperText Transfer Protocol (http) dans la ligne de commande, qui devient un http secured (https), soit un lien sécurisé. 54 Le plus important étant le décret n°99-199 du 17 mars 1999 définissant les catégories de moyens et de prestations de cryptologie pour lesquels la procédure de déclaration préalable est substituée à celle d’autorisation.
43
numérique (LCEN) pose un principe de libre utilisation, et l’importation n’est plus soumise
qu’exceptionnellement à déclaration.55
55 Article 30 III de la LCEN: « La fourniture, le transfert depuis un Etat membre de la Communauté européenne ou l’importation d’un moyen de cryptologie n’assurant pas exclusivement des fonctions d’authentification ou de contrôle d’intégrité sont soumis à une déclaration préalable auprès du Premier ministre( …) »
44
Les modalités de protection des données personnelles sont étendues et efficaces.
Cependant, la protection sur Internet, bien qu’étant un enjeu de taille, est peu traitée par les
textes, qui cherchent à garder une portée générale. L’application de ces modalités de
protection est dès lors très significative, si l’application aux problèmes classiques de données
personnelles reste délicate, elle est tout de même assez efficace tant les notions sont cernées
par les textes, et tant l’expérience de la protection porte ses fruits. On peut difficilement en
dire de même avec Internet qui reste un phénomène nouveau, assez abstrait, qui rend encore
plus difficile la protection des données personnelles, qui la rend en tout cas plus
expérimentale, et qui laisse planer bon nombre d’incertitudes.
45
II) La mise en oeuvre des moyens de protection des
données personnelles
Les moyens de protection des données personnelles connaissent une application à
double vitesse, selon qu’il s’agit d’un traitement de données sur Internet (B), ou de tout autre
traitement de données, même les plus délicats(A). En effet, les problèmes « on line » (sur
Internet), au contraire des problèmes « off line » (en dehors d’Internet), restent assez durs
d’approche.
A) L’adéquation des moyens de protection aux problèmes
« off line » posés par les données personnelles
L’enchevêtrement des règles juridiques les rend relativement complexes, mais elles
ont prouvé leur valeur pour protéger efficacement les données personnelles. La protection des
données personnelles est un travail de longue date, et, on peut aujourd’hui dire que le contrôle
des traitements courants se fait sans difficultés (1°), même si des problèmes délicats relatifs
aux données personnelles demeurent (2°). Ceux-ci sont de mieux en mieux cernés, mais
l’informatique est un secteur très actif, et de nouveaux risques ne cessent d’apparaître, sans
lien direct avec Internet (3°).
46
1°) Le contrôle efficace des traitements courants
Les administrations et entreprises font des traitements de données personnelles de
manière quotidienne, et la plupart ne posent pas problème. La CNIL a élaboré dans un souci
de simplification un ensemble de normes simplifiées56 visant les traitements les plus
courants : impôts locaux, gestions des personnels, certains fichiers clients, assurances… La
norme détaille les modalités du traitement visé, si le traitement que l’entreprise ou
l’administration souhaite mettre en place se révèle en exacte conformité avec la norme, il
suffit de déposer une déclaration de conformité à la norme simplifiée auprès de la CNIL.
Cela simplifie largement la procédure à suivre pour mettre en œuvre un traitement, cet
allégement est apprécié des entreprises pour qui les traitements sont nécessaires pour accroître
la productivité, mettre en place des systèmes d’information développés, et gérer le personnel.
Avec le développement des correspondants à la protection des données à caractère personnel
(article 22 III ), ces formalités devraient même disparaître.
Toutefois, dans de nombreux cas, la déclaration du traitement à la CNIL reste obligatoire, et
la déclaration normale doit parfois être remplie par le responsable du traitement. Les
formulaires sont disponibles auprès de la CNIL (y compris sur le site Internet), auprès des
préfectures et des chambres de commerce et d’Industrie. Dans la déclaration, le responsable
du traitement doit expliquer les finalités du traitement, et en déterminer l’objet ainsi que les
destinataires. En somme, la déclaration doit donner à la CNIL une idée assez précise des
dangers que l’opération présente57. Certains traitements sont en effet soumis pour cela à une
procédure particulière d’autorisation58.
Le responsable du traitement doit d’une manière générale veiller à accomplir ses obligations
relatives à la qualité des données récoltées, au recueil du consentement de la personne visée, à
l’information de la personne visée et à la sécurité du traitement. Ses obligations principales
56 Il en existe 47 à ce jour, le tableau des normes simplifiées figure sur le site de la CNIL: www.cnil.fr/index.php?id=1198 57 Voir formulaire en ANNEXE. 58 Article 25 de la loi informatique et libertés
47
découlent du respect des droits de la personne visée (information, accès, rectification,
suppression, opposition)59.
Cependant, si ce type de traitement ne pose pas de problème particulier, des situations plus
complexes existent, et malgré le travail de la CNIL depuis 1978 qui tend à maîtriser ces
difficultés, certains problèmes restent délicats.
2°) L’appréhension maîtrisée des problèmes complexes
Les problèmes que posent les données personnelles sont très divers et il est impossible
d’en établir une liste exhaustive. Parmi les plus anciens, se trouvent ceux qui ont trait à
l’existence même des fichiers, et à la crainte d’une mauvaise utilisation, notamment par l’Etat
des données personnelles. Il s’agit des problèmes liés aux traitements dits sensibles
comprenant des données à risque, ou, plus généralement, relatifs aux « vieux démons » des
libertés individuelles que sont le Numéro de sécurité sociale (NIR), ou encore les traitements
relatifs à la sécurité publique ou à la santé (a). D’autres problèmes, de nature différente,
reposent sur les risques présentés concrètement par certaines situations liées à l’entreprise. Il
s’agit en particulier des traitements relatifs au travail (b).
a) Les traitements dits sensibles
Les traitements considérés comme sensibles sont les traitements qui sont le plus
susceptibles de porter atteinte aux libertés individuelles. Ces traitements sont généralement
59 Voir la première partie, A, 1°, c.
48
ceux, déjà évoqués, qui recueillent des informations dites sensibles relatives aux opinions
syndicales, religieuses, politiques, ou faisant référence à l’origine ethnique, l’état de santé ou
encore l’orientation sexuelle (depuis la directive de 1995). En principe, le traitement de ces
données est interdit, mais il existe des exceptions60. Cependant, outre le problème notoire des
données sensibles de l’article 8, dont la dangerosité ne fait aucun doute, il existe des
traitements sensibles en tant que tels pour des raisons plus spécifiques. Ce sont des problèmes
parfois plus subtils que les traitements habituels de données sensibles, puisqu’on cherche plus
simplement à faire disparaître ces derniers.
1. Les traitements de données relatives aux infractions, aux condamnations pénales ou
aux mesures de sûreté.
Les traitements de données relatives aux infractions, aux condamnations pénales ou aux
mesures de sûreté sont prévus par l’article 9 de la loi informatique et libertés, qui dispose
qu’ils ne peuvent être mis en œuvre que par les juridictions, les autorités publiques et les
personnes morales gérant un service public, agissant dans le cadre de leurs attributions légales
ainsi que par les auxiliaires de justice, pour les stricts besoins de l’exercice des missions qui
leur sont confiées par la loi. La loi vise aussi une autre catégorie de responsable du traitement,
les sociétés de perception et de répartition des droits d’auteur61.
La CNIL soumet toutefois à son autorisation ce type de traitement, sauf quand il est mis en
œuvre par des auxiliaires de justice agissant dans le cadre de leur mission62. Le but est en effet
d’éviter la création de casiers judiciaires privés, qui, en cas de diffusion, stigmatiseraient les
personnes concernées dans tous les secteurs d’activité (recherche d’emploi, de logement…).
Le problème existe déjà avec les listes noires, regroupant les mauvais payeurs, mais les
données pénales sont bien plus lourdes de conséquence. C’est pourquoi, l’article L 226-19 du
Code pénal sanctionne, hors les cas prévus par la loi, la conservation ou la mise en mémoire
informatisée de données personnelles concernant les infractions, condamnations ou mesures
de sûreté.
60 Article 8 II de la loi informatique et libertés. 61 Ce cas particulier sera développé en B, 1°, c. 62 Article 25 I 3° de la loi informatique et libertés.
49
Il faut ajouter à l’étude des fichiers d’infraction celle des fichiers de police, qui sont souvent
des préalables aux fichiers d’infraction. Le recours croissant des services de police judiciaire à
la technique, notamment informatique, a nécessité l’adoption d’un cadre légal d’utilisation.
Les fichiers de police comprennent des données matériellement issues des scènes de crime,
telles que des empreintes digitales63. Ils centralisent également des informations relatives à
l’identité des suspects ou auteurs, au modus operandi des délinquants, au dommage subi ou
encore à l’identité de la victime. La loi du 18 mars 2003 sur la sécurité intérieure, modifie
substantiellement le régime juridique de deux fichiers importants : le Fichier National
Automatisé des Empreintes Génétiques (FNAEG) et le Système de Traitement des Infractions
Constatées (STIC). La loi du 9 mars 2004 a par ailleurs créé un fichier relatif aux auteurs
d'infractions sexuelles.
Le FNAEG64 est destiné à centraliser les empreintes génétiques de personnes condamnées ou
suspectées pour des faits visés à l'article 706-55 du Code de procédure pénale65, dont les
traces ont été relevées dans le cadre d’enquêtes judiciaires. L'empreinte génétique ne prouve
pas à elle seule l'identité de l'auteur d'un crime. L'information obtenue par les enquêteurs
constitue toutefois un élément déterminant pour l'orientation des recherches. Le STIC66 a pour
finalité l'exploitation des informations contenues dans les procédures établies par les services
de police, dans le cadre de leur mission de police judiciaire, à des fins de recherches
criminelles et de statistiques. Il contient des informations se rattachant à l'identité de
personnes, à l'encontre desquelles, ont été réunis des indices graves ou concordants laissant
présumer leur participation à la commission d'un crime, d'un délit ou d'une contravention de
5° classe. En outre, sont également enregistrées, des données personnelles concernant les
victimes.
Enfin, le fichier judiciaire national automatisé des auteurs d'infractions sexuelles67 regroupe
des données mentionnées au casier judiciaire. Afin de prévenir le renouvellement de certains
crimes et délits sexuels, et faciliter l'identification de leurs auteurs, ce traitement recueille,
conserve et communique aux personnes habilitées, les informations prévues à l'article 706-53-
2 du Code de procédure pénale (identité, domicile). Bien que validé par le Conseil
63 Fichier automatisé des empreintes digitales, crée par le décret n° 87-249 du 8 avril 1987. 64 Créé par la loi n°2001-1062 du 15 novembre 2001. Articles 706-53 et suivants Code de procédure pénale. 65 Infractions de nature sexuelle, meurtre, trafic de stupéfiants, crimes contre l'humanité, terrorisme,… 66 Créé par le décret n°2001-583 du 5 juillet 2001. 67 Articles 706-53-1 et suivants du Code de procédure pénale, insérés par la loi n°2004-204 du 9 mars 2004.
50
constitutionnel68, ce fichier a été dénoncé comme portant atteinte à la présomption
d'innocence, en ce qu'il comporte, par exemple, des informations sur des personnes non
encore définitivement condamnées, ou même acquittées ou relaxées pour de tels faits.
Les données relatives à des infractions, ou à des informations susceptibles d’être utilisées
dans une procédure pénale, sont particulièrement sensibles, d’autant que les traitements
restent très opaques. La CNIL travaille ainsi sur la simplification du droit d’accès aux fichiers
de police judiciaire, pour une plus grande transparence, afin de concilier libertés
informatiques et lutte contre la délinquance. Ces libertés sont aussi en balance avec les
activités médicales.
2. Les traitements à des fins médicales
Les traitements à des fins médicales sont très particuliers, ils sont mis en œuvre par des
personnes soumises au secret professionnel. Ce type de traitement relève des exceptions à
l’interdiction des traitements de données dites sensibles prévues à l’article 8.
Les données relatives à la santé sont évidemment sensibles puisqu’une discrimination sur
l’état de santé est aisément imaginable (surtout dans le cadre du travail). Cependant, on a
estimé que ces données pouvaient être utiles à des fins médicales tant que cela ne s’étendait
pas au delà du champ curatif. Les professionnels de la santé ont toujours eu accès à ce type
d’information, et leur confidentialité est normalement garantie par le Code de la santé
publique. L’utilisation de l’outil informatique a ainsi été vu comme un progrès de la science,
et donc, une amélioration des soins. Le problème demeure que l’informatisation d’un fichier
permet son développement, son échange, et ce, plus facilement qu’un fichier papier. Le fait
que des données privées aussi importantes que celles relatives à la santé fassent l’objet d’une
collecte et d’échanges par, à la fois une administration (les hôpitaux), et, des agents privés
(cabinets, laboratoires, cliniques…), peut difficilement rassurer les personnes concernées.
Cette question a connu d’ailleurs un renouveau récent avec le projet de carte vitale 2. La
première carte vitale n’était qu’une carte d’identité sociale, avec la vitale 2, sont accessibles
les données médicales personnelles des patients. Une telle concentration d'informations chez
68 Cons. Cons., 2 mars 2004, n°2004-492 DC, JO 10 mars 2004, p.4637.
51
les professionnels de la santé risquerait d’engendrer des dérives commerciales si les données
étaient transmises aux laboratoires, ou aux acteurs de l’industrie pharmaceutique. Face à ce
risque, la CNIL a déjà exigé dans une recommandation du 8 mars 2001 que "le principe de
l'interdiction de toute commercialisation de données de santé directement ou indirectement
nominatives soit posé par la loi". La loi du 13 août 2004 crée ainsi le dossier médical
personnel qui permet aux médecins l’accès en ligne, via la carte vitale, aux données médicales
des patients. Le consentement de ceux-ci est subordonné au remboursement intégral, c'est-à-
dire que seuls ceux qui consentent à l’accès à leurs données par le médecin peuvent bénéficier
du remboursement intégral. Les modalités d’application de cette loi sont encore à définir, et,
la CNIL devra se prononcer sur ces dernières.
Cette évolution est à mettre en parallèle avec la réforme du répertoire des bénéficiaires de la
Caisse Nationale d’Assurance Maladie des Travailleurs Salariés. La CNIL a d’ailleurs émis
un avis favorable, le 1° juillet 2004, à la création de la base d’identification nationale des
ayants droit : le référentiel individus national.
Le réel problème des données médicales est que l’intérêt légitime des traitements (le soin) les
rend dérogatoires face au droit commun des données sensibles. IL en va de même des
traitements intéressant l’Etat, ou d’intérêt public.
3. Les traitements intéressant l’Etat ou d’intérêt public.
Les traitements intéressant la sécurité publique ou la sûreté de l’Etat relèvent normalement
d’un régime d’autorisation par arrêté du ou des ministres compétents, pris après avis motivé et
publié de la CNIL69. Le formalisme peut sembler assez strict, cependant, il ne faut pas oublier
que les traitements peuvent porter sur des données sensibles de l’article 8.
A juste titre, parmi les exceptions à l’interdiction des données sensibles, la loi informatique et
libertés vise les traitements « justifiés par l’intérêt public », s’ils sont autorisés par la CNIL,
ou autorisés par décret en Conseil d’Etat après avis motivé et publié de la CNIL70. La
définition du traitement justifié par l’intérêt public n’est pas précisée. La notion d’intérêt
public est dès lors suffisamment large pour présenter un risque s’agissant de données
69 Article 26 I 1° de la loi informatique et libertés 70 Article 8 IV
52
sensibles. Toutefois, comme la procédure reste assez stricte, gageons que les risques sont
mieux encadrés71.
Cependant, l’encadrement des risques est surtout une question essentielle dans le cadre des
traitements utilisant des identifiants de portée générale
4. Les traitements utilisant des identifiants de portée générale
Les identifiants de portée générale sont la plupart du temps des numéros permettant de
recouper diverses informations relatives aux personnes. Cela permet un classement aisé, une
traçabilité exceptionnelle, un transfert d’informations efficace. Le numéro identifiant réifie les
personnes, en fait de véritables paramètres, et c’est précisément ce qui pose problème avec ce
type de procédés : ils assimilent un individu à un numéro, ce qui nécessairement porte atteinte
aux droits fondamentaux et à la dignité humaine.
L’usage des numéros identifiants effraie pourtant moins en France qu’ailleurs, ce qui
s’explique probablement par le développement historique important de l’administration
publique française. On ne peut toutefois ignorer que ces numéros posent un vrai problème de
fond. Dans nos sociétés, tout le monde a un numéro de téléphone, un numéro de carte
bancaire… Mais le plus inquiétant de ces numéros est sans conteste le NIR 72, plus connu sous
le nom de « numéro de sécurité sociale ». Le NIR est sans conteste un numéro pas comme les
autres73. Ce numéro subit avant tout une très mauvaise réputation qui s’explique par son
histoire. Il fut en effet créé sous le régime de Vichy, et sa grande fiabilité servit à déceler les
juifs des non juifs. En 1974, le NIR devait servir, en tant qu’identifiant unique, à raccorder
des fichiers administratifs informatisés dans un plan d’ensemble dit SAFARI (Système
Automatisé pour les Fichiers Administratifs et le Répertoire des Individus), et, cet événement
fut pour beaucoup à l’origine de la loi de 1978. Normalement le NIR a un but social exclusif,
cependant son rôle s’est étendu à la gestion du personnel, au secteur de la santé, à la lutte
contre le chômage etc., ce qui fait qu’il n’est plus aujourd’hui seulement utilisé pour
l’interconnexion de fichiers du secteur public, il est aussi utilisé dans le secteur privé. 71 Par analogie avec le Droit des contrats : le formalisme est gage de sécurité 72 NIR signifie numéro d’inscription au répertoire national des personnes physiques, ce répertoire est géré par l’INSEE. Le NIR révèle le sexe, l’année et le mois de naissance, le département et la commune de naissance, et le numéro d’ordre du registre d’état civil. 73 « Le NIR, un numéro pas comme les autres » est un dossier de la CNIL consacré au NIR, qui figure au chapitre 2 du 20° rapport d’activité de la CNIL (en 2000), page 61.
53
La CNIL soumet alors logiquement à son autorisation les traitements portant sur des données
parmi lesquelles figure le NIR, ou qui requièrent une consultation du répertoire
d’identification des personnes physiques74. Cependant, il suffit d’un décret en Conseil d’État,
pris après avis motivé et publié de la CNIL, pour autoriser les traitements mis en oeuvre pour
le compte de l’État, d’une personne morale de droit public, ou d’une personne morale de droit
privé gérant un service public, qui portent sur des données parmi lesquelles figure le NIR75.
De plus, on autorise par arrêté (ou par décision de l’organe délibérant de la personne morale)
pris après avis motivé et publié de la CNIL les traitements mis en oeuvre par l’État, ou les
personnes morales gérant une mission de service public, qui requièrent une consultation du
répertoire national d’identification des personnes physiques sans inclure le numéro
d’inscription à ce répertoire76.
Le régime du NIR peut donc sembler relativement souple par rapport aux dangers qu’il
implique pour les libertés individuelles, l’administration ou les personnes privées gérant une
mission de service public échappent en effet au formalisme de l’autorisation par la CNIL. Ce
régime s’explique par des enjeux d’administration des individus que le NIR rend plus aisée.
Il faut se méfier d’une telle utilisation du NIR qui pourrait un jour aboutir à un système à la
suédoise, Etat dans lequel chaque individu a un numéro d’identification, un matricule, pour
toutes sortes d’usages : entrée sur le territoire, paiement par carte, location de chambre d’hôtel
etc77. Il est en tout cas certain qu’en France, ce type de donnée personnelle indirecte posera
toujours des problèmes de conscience puisqu’on a effectivement pu toucher du doigt, sous
Vichy, ce qu’une mauvaise utilisation de ce numéro pouvait donner.
Si le problème des traitements ayant pour fin la recherche dans le domaine de la santé est sans
doute moins effrayant, il n’en reste pas moins épineux.
74 Article 25 I 6° de la loi informatique et libertés. 75 Article 27 I 1° 76 Article 27 II 1° de la loi informatique et libertés. 77 La Suède est pourtant un pilier dans la protection des données personnelles. Il est étonnant que la Datainspektion tolère ce matricule.
54
5. Les traitements ayant pour fin la recherche dans le domaine de la santé
Ce type de traitement correspond à la situation où un médecin a transmis des données sur
la santé d’un patient (donc des données sensibles), à un chercheur. Ces traitements sont
longtemps restés illégaux, puisque contraires au secret professionnel qui incombe aux
médecins. Cependant, la CNIL a incité le législateur à instituer des règles claires conciliant
libertés individuelles et progrès de la recherche, ce dernier intérêt impliquant surtout des
enjeux économiques pour l’industrie pharmaceutique. La loi n°94-548 du 1° juillet 1994 a
finalement été votée. Elle ajoute un chapitre au sein de la loi de 1978, il prévoit la mise en
œuvre de traitements automatisés de données nominatives ayant pour fin la recherche dans le
domaine de la santé78. L’automatisation ne semble plus être une exigence avec la loi de 2004,
si l’on en croit l’intitulé du chapitre. C’est de toute façon une question sans grande portée
puisque la mise en œuvre de ce type de traitement rend aujourd’hui presque indispensable
l’automatisation.
Les traitements ainsi créés sont cédés aux chercheurs autorisés (par la CNIL) sous réserve,
dans la plupart des cas, que les données soient anonymisées par codage.
La réelle protection des personnes concernées par ce type de traitement relève du grand
formalisme grevant leur mise en œuvre. Les traitements font l’objet d’une autorisation de la
CNIL, après avis d’un comité consultatif auprès du ministre chargé de la recherche. Les
personnes concernées disposent en outre de droits similaires à ceux relatifs aux traitements de
droit commun (information, opposition….).
Il faut noter que les traitements relatifs à la santé ont connu une seconde évolution en 1999.
6. Les traitements de données de santé à caractère personnel à des fins d'évaluation ou
d'analyse des pratiques ou des activités de soins et de prévention
Ce type de traitement a été ajouté à la loi informatique et libertés par la loi n°99-641 du 27
juillet 1999, portant création d’une couverture maladie universelle79. Il s’agit de l’utilisation
par le biais des médias des données du Programme de Médicalisation des Systèmes
78 Chapitre IX de la loi informatique et libertés définitive. 79 Il s’agit du chapitre X de la loi informatique et libertés définitive.
55
d’Information (PMSI), à des fins d’évaluation, d’analyse et de critiques des activités de soins
et de prévention. Le problème était que les données utilisées par les médias pouvaient
indirectement désigner une personne identifiable, l’anonymat n’étant pas préservé.
Ces données doivent dorénavant, conformément à l’article 63, être recueillies sous forme de
statistiques agrégées de telle sorte que les personnes concernées ne puissent être identifiées.
L’intervention des médias pose une autre question, relative à la liberté d’expression.
7. Les traitements touchant à la liberté d’expression
Ces traitements relèvent d’un conflit entre protection des données personnelles et liberté
d’expression. La priorité semble aller vers cette dernière liberté. Si l’on reprend l’article 67,
les formalités et obligations de la loi informatique et libertés ne s’appliquent pas aux
traitements de données personnelles mis en œuvre à des fins d’expression littéraire et
artistique ou de journalisme professionnel.
Cette deuxième situation est supposée présenter moins de risque dans la mesure où les
journalistes suivent une ligne déontologique (bien que non codifiée). Cependant, l’élaboration
d’un code de conduite spécifique à la protection des données personnelles dans ce secteur
serait plus sûre pour assurer le respect des droits de la personne concernée.
La dispense de déclaration du traitement à des fins journalistiques reste, quant à elle,
subordonnée à la désignation d’un correspondant à la protection des données appartenant à un
organisme de la presse écrite ou audiovisuelle, chargé de tenir un registre des traitements mis
en œuvre. D’une manière générale, ces traitements sont considérés comme sensibles dans la
mesure où ils échappent pour la plupart à la loi informatique et libertés, mais, les dangers
présentés ne sont pas trop grands. Les atteintes aux libertés résultant des activités
journalistiques relèvent plus souvent du Droit au respect de la vie privée.
56
Les traitements dits sensibles sont assez bien cernés par la loi informatique et libertés,
cependant, ils ne sont pas les seuls écueils dans la protection des données personnelles,
certains contextes tels que le monde du travail rendent en effet la protection plus ardue.
b) Les problèmes de données personnelles liés au travail
Le travail est une sphère particulière où les données personnelles peuvent jouer un rôle
important, un rôle dangereux pour les libertés individuelles. En effet, les objectifs d’un
employeur peuvent l’amener à traiter des données personnelles, que ce soit pour contrôler ses
salariés, pour les évaluer, ou encore pour sécuriser les accès à certaines zones de l’entreprise.
Normalement, les entreprises se dotent de chartes informatiques pour prévoir les modalités de
constitution d’éventuels traitements de données. En tout état de cause, ces traitements sont
soumis à la loi informatique et libertés.
Les traitements sur le lieu du travail sont souvent associés à la mise en place d’un réseau
intranet pour faciliter les échanges d’informations. A juste titre, les informations peuvent
servir plusieurs objectifs.
1. Données personnelles et gestion du personnel
Le principal objectif est souvent la gestion des ressources humaines et l’évaluation du
personnel et des candidats à un poste (les traitements de scoring). La loi informatique et
libertés n’est alors plus suffisante pour régir ces cas particuliers, mais le Droit du travail la
complète. L’article L 121-7 du Code du travail dispose : « Le salarié est informé des
méthodes et techniques d’évaluation professionnelles mises en œuvre à son égard. Les
résultats obtenus doivent rester confidentiels. Les méthodes et techniques d’aide au
recrutement ou d’évaluation des salariés et des candidats à un emploi doivent être
pertinentes au regard de la finalité poursuivie. »
57
Cela pose un principe d’information des salariés quant aux techniques utilisées. Ces
techniques doivent être pertinentes, c'est-à-dire non excessives, proportionnelles, aux objectifs
poursuivis. Ces exigences sont à rapprocher de la loi informatique et libertés qui impose que
les personnes concernées doivent être informées de l’existence du traitement, de ses finalités,
de ses caractéristiques et qu’elles doivent avoir accès aux informations les concernant.
De même, l’article L 121-8 dispose : « Aucune information concernant personnellement un
salarié ou un candidat à un emploi ne peut être collectée par un dispositif qui n’a pas été
porté préalablement à la connaissance du salarié ou du candidat à un emploi ».
Cet article fait directement référence à la collecte des données personnelles dans l’entreprise
dans un but de gestion du personnel ou de recrutement, collecte subordonnée à l’information
des personnes concernées.
Mais même si la collecte se fait de manière loyale, et avec le consentement du salarié, certains
traitements sont susceptibles d’abus.
2. Données personnelles biométriques
Des abus peuvent facilement résulter des traitements ayant un objectif de sécurité. Il s’agit
notamment des traitements de données biométriques servant à réguler l’accès à certains
secteurs, certains postes de l’entreprise. Ces données contiennent des indications sur la
morphologie, les empreintes digitales ou encore l’empreinte optique. Les données
biométriques sont des données « sensibles » puisqu’elles peuvent aisément servir de base à
une discrimination. C’est pourquoi, la collecte de ce type d’informations est soumise à une
autorisation préalable de la CNIL80.
3. Données personnelles et sécurité du réseau interne
La mise en place de traitements relatifs aux salariés nécessite de la part de l’employeur la
mise en place de mesures destinées à garantir la sécurité des traitements et l’intégrité des
80 Article 25 I 8° de la loi informatique et libertés.
58
données, notamment grâce à la cryptologie, mais aussi grâce à la surveillance du réseau
intranet, et ce, afin d’éviter les intrusions dans les fichiers81.
Or, ces mesures de sécurité ont précisément pour objet de conserver la trace des flux
d’informations, directement ou indirectement nominatives, afin de mieux prévenir les risques
et de repérer l’origine des problèmes. Ces mesures permettant d’obtenir des indications ou des
preuves sur l’activité des salariés, elles doivent là encore respecter quelques principes : le
principe de proportionnalité, l’information préalable des salariés sur tout dispositif de collecte
de données les concernant personnellement82, et la consultation du comité d’entreprise pour
toute introduction de nouvelles technologies (y compris biométriques)83.
Le principe de proportionnalité se résume comme suit : « Nul ne peut apporter aux droits des
personnes et aux libertés individuelles et collectives de restrictions qui ne seraient pas
proportionnées au but recherché », article L 120-2 du Code du travail.
L’obligation d’information préalable résultant de l’article L 121-8 du Code du travail a déjà
été exposée plus haut, et la consultation du comité d’entreprise relevant de l’article L 432-2-1
prévoit que le comité d’entreprise doit être « informé et consulté, préalablement à la décision
de mise en oeuvre dans l’entreprise, sur les moyens ou les techniques permettant un contrôle
de l’activité des salariés ».
Ainsi, pour protéger les données traitées, il faut paradoxalement recourir à des mesures
techniques de sécurité qui comprennent elles-mêmes des traitements (puisqu’elles instaurent
une surveillance), et qui suivent dès lors le même régime. Les mesures, une fois mises en
place, sont souvent prises par le biais d’un administrateur de réseau. Celui-ci veille à assurer
le fonctionnement normal et la sécurité des réseaux et systèmes, et, dans cet objectif exclusif,
peut ainsi accéder à l'ensemble des informations relatives aux utilisateurs. Tenus au secret
professionnel, les administrateurs de réseaux et systèmes ne doivent pas divulguer les
81 Ce type de menace a connu un exemple récent : Le 21 avril 2005, Yoshitaka Takemura, collaborateur de NTT DoCoMo, un des premiers opérateurs de téléphonie mobile japonais, a été arrêté pour avoir détourné à travers son poste les données personnelles de 24 600 clients. Son action avait pour but de démontrer les failles du système. Son « sacrifice » commence à porter ses fruits dans les entreprises japonaises qui sécurisent peu à peu les collectes de données. Une loi informatique et libertés japonaise est auparavant entrée en vigueur le 1° avril 2005. (La protection des données personnelles mobilise les décideurs japonais, Le Monde, 5 mai 2005 p. 20) 82 Article L 121-8 du Code du travail 83 Article L 432-2 du Code du travail
59
informations qu'ils sont amenés à connaître dans le cadre de leurs fonctions. Divers procédés
techniques peuvent ensuite garantir la sécurité du réseau intranet84.
Les problèmes récurrents relatifs aux traitements de données sont assez bien maîtrisés,
quoique délicats. Ces situations, bien que connues, sont à surveiller du fait de leur évolution
constante, sans compter que de nouveaux problèmes apparaissent sans discontinuité, et
menacent ainsi la protection des données personnelles.
3°) La nécessaire adaptation de la protection aux problèmes émergents
La liste des embûches et problèmes dans la protection des données personnelles est
loin d’être exhaustive, et l’actualité apporte de nouveaux écueils, bien que sans lien avec
Internet (qui reste la première cause de soucis).
Ainsi, la biométrie connaît un renouveau, les Etats semblent de plus en plus opter pour
des pièces d’identité biométriques. Ce nouvel enjeu répond au climat particulier dans lequel
évoluent les pays occidentaux depuis les attentats du 11 septembre 2001. L’Union
Européenne travaille déjà sur la mise en place d’un passeport européen biométrique
uniformisé, pour répondre aux exigences des Etats-Unis (à travers l’Organisation
Internationale de l’Aviation Civile) relatives à l’entrée sur leur territoire85. C’est l’objet de la
84 Parmi les plus fréquents : les fichiers de journalisation : ils permettent d’identifier et d’enregistrer toutes les connexions ou tentatives de connexion à un système automatisé d'informations. Ils ont pour finalité de garantir une utilisation normale des ressources des systèmes d'information mais ils peuvent être associés à des traitements d'informations qui revêtent un caractère sensible pour l'entreprise ou l'administration concernée. Ils constituent une mesure de sécurité généralement préconisée par la CNIL. En tant que tels, lorsqu'ils sont associés à un traitement automatisé d'informations nominatives, ces fichiers de journalisation (proxys, caches, firewalls…) n'ont pas à faire l'objet de déclaration auprès de la CNIL. 85 La lutte contre le terrorisme a aussi poussé les Etats- Unis à adopter le 19 novembre 2001 The aviation and transportation Security Act qui oblige les compagnies aériennes à communiquer aux services de douanes et de sécurité les données de leurs systèmes automatiques de réservations et de contrôle des départs : Passenger name record (PNR). Ces données sont diverses et ont notamment trait à l’agence de voyage, l’itinéraire, les personnes
60
proposition de règlement de la Commission qui prévoit la mise en place d’un passeport avec
photographie numérisée et empreintes digitales.
La France est aujourd’hui directement concernée par ce type de données puisque, après le
projet de visa biométrique, aujourd’hui en suspens86, le programme Identité nationale
électronique et sécurisée (INES) a été approuvé, lundi 11 avril 2005, par le premier ministre
Jean-Pierre Raffarin, au cours d’une réunion interministérielle. Piloté par le ministère de
l’intérieur, l’avant-projet de loi instituant cette réforme de la gestion de l’identité nationale
sera adressé à la CNIL, qui devra rendre un avis consultatif. Si le calendrier est tenu, le texte
pourrait être adopté fin juin 2005 en conseil des ministres avant le débat législatif. Les
Français se doteraient alors d’une carte d’identité biométrique (et payante) avec photo
numérisée, empreintes digitales, et éventuellement l’iris de l’oeil.
Dans toute l’Europe, des projets de ce type sont en cours ou ont déjà abouti, comme en
Belgique. La carte d’identité électronique belge est en cours de distribution, et tous les
ressortissants de ce pays devraient en posséder une d’ici à fin 2006. Obligatoire et payante,
elle comporte un module de signature électronique, mais ne contient toutefois aucune donnée
biométrique. La mise en circulation de la carte d’identité électronique italienne a, quant à elle,
commencé en 2004, et environ un demi million d’unités ont été distribuées. L’enregistrement
des empreintes digitales est facultatif, mais la puce contient le groupe sanguin et le numéro
fiscal du porteur. La carte permet l’authentification sur Internet, fonction à laquelle de
nombreux services ont été associés : paiement des impôts et des amendes, relation avec les
hôpitaux publics, demande d’aides sociales, etc. Enfin, le projet britannique de carte d’identité
électronique a fait l’objet d’une loi, adoptée fin décembre 2004. Si elle voit le jour, la future
carte britannique sera obligatoire, payante et pourrait intégrer plusieurs données biométriques
(iris de l’oeil, empreintes digitales et photo numérisée). Cependant, l’hostilité rencontrée par
ce projet est telle, qu’il est pour l’heure suspendu. Les Anglais n’ont en effet même pas été
habitués à la carte d’identité classique, introduite en 1939, puis retirée en 1952 avant même sa
généralisation. concernées, les contacts à terre, les hôtels, mais aussi la santé ou les habitudes alimentaires. La commission Européenne a adopté le 16 décembre 2003 une communication informant les USA que ces dispositions s’opposaient aux législations européennes en matière de données personnelles. Après d’âpres négociations, l’Union Européenne et les Etats-Unis ont enfin signé un accord le 17 mai 2004 visant à légaliser les transferts PNR. Cependant, des traitements de même type existent dans d’autres pays tels que l’Australie. 86 La loi du 26 novembre 2003 relative à l’immigration prévoit le traitement de la photo et des empreintes digitales des demandeurs de titres de séjours et de visas. La création d’une base de données nationale est encore en projet puisqu’elle devra prendre en compte les réserves exprimées par la CNIL le 5 octobre 2004.
61
Les Anglais ont peut-être été plus marqués par les écrits d’Orwell, et la peur que Londres ne
devienne la capitale de l’Oceania, allégorie de l’Etat policier. Car c’est bien le risque que
présente l’utilisation de la biométrie : un fichage excessif dans un but de sécurité face à la
menace terroriste conduirait fatalement à une grave atteinte à la vie privée et à une restriction
des libertés ( et notamment celle d’aller et venir).
Sur le projet de carte d’identité biométrique française, La CNIL se contentera de rendre un
simple avis motivé87, ce qui peut sembler bien peu eu égard aux risques présentés88.
Par contre, dans un tout autre domaine, la CNIL a réagi vivement face à la mise en place du
pass Navigo. Il s’agit d’une carte électronique de transport qui remplacera la carte orange de
la RATP (Régie Autonome des Transports Parisiens) d’ici à fin 2005. La CNIL ne reproche
pas la généralisation de ces cartes électroniques mais le fait qu'elles permettent de tracer tous
les déplacements de leurs propriétaires grâce à la technologie RFID, et que le maintien de
l'anonymat est une option, payante, facturée 5 euros supplémentaires par mois. Il s’agit d’une
forme d’opt-out payante, certes, liberticide, mais encore, injuste.
La CNIL a ainsi adopté une recommandation le 16 septembre 2003. En préambule, le texte
relève que «les traitements automatisés mis en œuvre pour assurer le bon fonctionnement de
ces titres billettiques créent un risque sérieux en matière de protection des données
personnelles. En effet, les déplacements des personnes utilisant ces cartes peuvent être
reconstitués et ne sont plus anonymes, ce qui est de nature à porter atteinte tant à la liberté,
fondamentale et constitutionnelle, d'aller et venir, qu'au droit à la vie privée qui constitue
également un principe de valeur constitutionnelle».
En outre, la CNIL précise : «les traitements appliqués aux données relatives aux
déplacements des personnes devraient donc être anonymisés, à l'exception de ce qui relève de
la gestion de la lutte contre la fraude. En toute hypothèse, il est hautement souhaitable que la
87 Article 27 I 2° de la loi informatique et libertés. 88 François Giquel, Conseiller Maître à la Cour des comptes, explique à ce propos : « Le débat sur la biométrie ne doit pas être clos trop vite, comme si la biométrie était une solution de facilité : certaines décisions apparemment techniques, apparemment dictées par les nécessités du moment, peuvent engager durablement et gravement l’avenir ». CNIL, 25°rapport d’activité (2004), Doc. fr., p.94 http://www.ladocumentationfrancaise.fr/brp/notices/054000256.shtml
62
possibilité de circuler de façon anonyme, au moyen d'un titre billettique ou non, soit
maintenue».
La protection des données personnelles est donc un enjeu en constante évolution, de
nombreux facteurs, tels que la sécurité publique, générant sans cesse de nouveaux problèmes.
Cependant, le premier de ces facteurs est sans doute le progrès technique, le développement
de l’utilisation d’Internet a apporté a lui seul une kyrielle de difficultés dans la protection des
données, et aujourd’hui, cette protection reste incertaine.
B) La délicate application des moyens de protection aux
problèmes « on line »
Internet a littéralement bouleversé la protection des données personnelles, sans que cela se
ressente vraiment dans les textes89. En effet, les tentatives de protection des données via une
consignation de celles-ci à l’intérieur des frontières sont devenues irréalistes à l’heure du web.
Internet étant un vecteur de diffusion rapide d’informations à l’échelle mondiale, on ne peut
l’utiliser sans qu’il existe un risque de propagation des données personnelles. Internet
comprend alors un paradoxe surprenant : d’un côté, il s’agit d’un système de haute
technologie permettant une parfaite traçabilité des utilisateurs (ce qui est un grand danger
d’Internet). D’un autre côté, le haut niveau technique n’empêche pas le risque de perte de
contrôle des données y circulant, quant à leurs destinataires, et quant à leurs utilisations (ce
89 Voir la première partie, B.
63
qui est un danger encore plus grand). Il y a ainsi deux grands risques (paradoxaux) dont la
portée doit être réduite pour la protection des données personnelles, cette protection va donc
consister à tenter d’éviter les collectes abusives de données sur le réseau (1°), et à contrôler
les diffusions de données sur le réseau (2°).
1°) Les difficultés liées à la collecte des données sur Internet
Internet a vu naître de nouvelles méthodes de collectes d’informations. Les nouveaux moyens
techniques permettent la collecte de données de manière rapide, efficace, mais aussi discrète
puisque souvent l’internaute ne s’en aperçoit pas.
Certaines informations sont quand même recueillies avec le consentement de l’internaute,
mais il ne se rend pas toujours compte de leur portée. En effet, un internaute peut être amené à
remplir des formulaires dont les objectifs sont précisés, dans ce cas, il en saisit toute la portée.
Mais, des informations peuvent aussi être collectées et utilisées à partir de conversations dans
des forums de discussions ou dans des « chats »90. Les données peuvent alors être très
personnelles, notamment en ce qui concerne les forums adjoints aux logiciels de peer to peer
qui permettent l’échange de photos ou vidéos. Même si les informations sont diffusées en
connaissance de cause, leur utilisation, notamment commerciale, n’est que rarement imaginée
(a).
D’autres informations sont recueillies beaucoup plus insidieusement, à l’insu de l’internaute,
afin de l’identifier et de connaître ses habitudes. C’est le cas des fameux cookies (b). Mais
90 Un « chat », de l’anglais to chat qui signifie « bavarder », est un forum de discussion en direct, en simultané, contrairement aux forums « classiques » qui fonctionnent via un système d’annonces diffusées, auxquelles les internautes répondent, ou qu’ils commentent.
64
l’identifiant suprême reste quand même l’adresse IP91 de l’internaute, dont l’utilisation a
connu une nouvelle évolution avec la loi du 6 août 2004 (c).
a)Le commerce électronique
Le potentiel présenté par Internet a vite été perçu par les entrepreneurs, et le commerce
électronique s’est très vite développé. Bien que le cadre général de la vente à distance, prévu
par les articles L-121-16 et suivants du Code de la consommation, lui soit applicable (dans
les relations avec des consommateurs), les nouveautés techniques ont nécessité une adaptation
législative, avec en particulier la Loi pour la Confiance dans l’Economie Numérique (LCEN)
du 21 juin 2004, déjà évoquée92. La mise en conformité des sites de commerce électronique
avec la loi informatique et libertés ne s’est pas faite sans mal puisqu’une enquête de la CNIL
révélait en 2000 que sur 100 grands sites de commerce analysés, 55% n’avaient même pas été
déclarés93 !
La première des difficultés liées au commerce électronique dans les relations B To C
(Business To Consumer) reste le paiement en ligne : le paiement sur Internet est encore
souvent réalisé par chèque, les consommateurs, frileux à l’égard de ce nouveau mode de
shopping sont rassurés par le chèque dont le détournement leur semble plus rare. Mais
l’objectif étant le paiement par carte (plus rapide), la collecte du numéro de carte bancaire
devient essentielle. Alors, l’utilisation d’un système de paiement en ligne rend nécessaire la
sécurisation du paiement par un moyen cryptologique. La collecte de toute donnée
personnelle est ainsi en adéquation avec les exigences légales de sécurité dès lors que le site
de commerce électronique est sécurisé pour le paiement, par un mécanisme SSL94 par
exemple. En effet, le cryptage amoindrit les risques d’intrusion et d’atteinte à l’intégrité des
données collectées.
91 L’adresse IP est un numéro propre à chaque ordinateur permettant de l’identifier sur un réseau et notamment sur Internet. L’adresse IP est une donnée indirectement nominative dans le sens où sa connaissance permet de localiser l’ordinateur, et donc son utilisateur. 92 Voir la première partie, B, 1°, b. 93 Une enquête de la CNIL sur les sites de commerce en ligne : Où sont passées mes données ? Libération, 14 avril 2000, p. 28. 94 Voir la première partie, B, 2°.
65
Cependant, la sécurisation ne suffit pas à rendre un site de commerce électronique conforme à
la loi informatique et libertés. Le site doit évidemment être déclaré à la CNIL par la
déclaration prévue à cet effet95, cela peut se faire par voie électronique. En outre, si le site
comporte un formulaire adressé à l’utilisateur, ce qui est souvent le cas, il doit préciser
pourquoi certaines données sont recueillies, et, seules les informations de base (nom, prénom,
adresse) doivent être des champs à remplir obligatoirement pour passer commande (ils sont
généralement marqués d’un astérisque), les autres champs dépendant du bon vouloir du client.
Les données doivent en effet être proportionnelles à la finalité du traitement, seules les
informations nécessaires au contrat doivent être recueillies. Une option (une case à cocher)
doit être prévue pour s’opposer à ce que l’ensemble des données soient transmises à des tiers
(des partenaires commerciaux).
Le site doit aussi préciser que le client, conformément à la loi informatique et libertés, peut
accéder à ses données, les modifier, les rectifier ou les supprimer.
Le site de commerce électronique doit enfin, comme tout site Internet, informer l’internaute
quant à l’utilisation de cookies. Les sites de commerce électronique sont de plus en plus
fiables, et la plupart des problèmes sont maîtrisés, à part, sans doute, celui des cookies.
b) Les cookies
Les cookies sont des témoins de connexion, des mouchards déposés sur le disque dur
d’un internaute, par le gestionnaire d’un site, sous forme de fichiers demeurant après la
déconnexion, enregistrant des données sur les caractéristiques techniques de l’ordinateur, les
logiciels installés et utilisés, les sites et pages consultés. Lors de la connexion suivante, les
données des cookies sont ramenées vers le créateur qui peut les exploiter, par voie de spam,
par exemple. Les fournisseurs d’accès Internet utilisent aussi ces outils, et il est arrivé que
certains (Géocities aux Etats-Unis) revendent les informations recueillies, via les cookies, sur
leurs abonnés à des entreprises de marketing. 95 Voir ANNEXE II
66
La particularité du cookie est son caractère permanent, sauf suppression volontaire par
l’internaute (averti). Ce n’est pas le cas des serveurs proxys, aussi utilisés par les fournisseurs
d’accès, qui ne sont pas visés par la loi informatique et libertés parce qu’ils sont temporaires
et ont un objectif exclusivement technique, à savoir la rapidité de la navigation.
Les cookies, au contraire, doivent, comme tout traitement, être subordonnés au consentement
de la personne concernée (opt-in), l’introduction clandestine de cookies étant pénalement
sanctionnée96. Le responsable du traitement doit informer les personnes de l’objet de la
collecte et de la faculté dont elles disposent de s’y opposer.
En pratique, le recueil du consentement est très rare, d’autant que les logiciels de navigation
sur le réseau sont par défaut configurés pour laisser entrer les cookies. Il est possible de les
reconfigurer pour détecter et/ou bloquer ceux-ci, mais il se trouve que le refus pénalise la
navigation, voire, empêche l’internaute d’accéder au site. Accepter le cookie parce qu’il est
nécessaire pour entrer sur le site, est-ce exprimer un consentement libre ?
Cette pratique est intolérable, et porte atteinte à une sorte de liberté virtuelle d’aller et venir.
Cependant, il est pour l’instant difficile de s’y opposer, comme il est difficile de rentrer dans
un grand magasin sans tolérer l’inspection d’un vigile, qui n’est pourtant pas officier de police
judiciaire97. Il existe toutefois une différence de taille, les cookies n’ont aucune ambition
sécuritaire, leur objectif « officiel » est bien de faciliter la navigation de l’internaute.
Pourquoi, dès lors, lui refuser la liberté de naviguer péniblement ? La réponse est que
l’objectif « officiel » du cookie est de loin le moins intéressant pour le responsable du
traitement, car il est non exploitable commercialement. Il est d’ailleurs bien subtil, pour le
profane, de savoir si le cookie est déposé de bonne foi pour faciliter sa navigation ou s’il sera
utilisé à d’autres fins.
96L’article L 323 du Code pénal sanctionne l’accès indu à un système. 97 Les libertés individuelles sont parfois de courte portée : il est légitime de ne pas présenter un sac au vigile d’un magasin pour préserver sa vie privée. Pour autant, l’agent de sécurité soumis à des ordres stricts n’autorisera légitimement pas l’individu, dès lors suspect, à entrer dans le magasin. De même, on peut refuser un cookie, cependant l’accès au site est pénalisé.
67
Les cookies ne sont pas les seuls témoins de connexion, les applets Java98 se sont aussi
développées, et celles-ci permettant l’activation d’un programme à distance par un site, sans
nécessairement l’accord de l’internaute, elles constituent un excellent moyen de pistage. Les
cas les plus graves de pistage demeurent toutefois les fameux mouchards d’Intel et de
Microsoft, ces affaires inquiétantes restent malgré tout non élucidées99.
Si les témoins de connexion sont des mouchards permettant de recueillir des données
personnelles, ils ne sont pas en tant que tels des identifiants, mais simplement des outils pour
collecter des identifiants. Ce n’est pas le cas de l’adresse IP.
c) Les Fichiers d’infractions dans la nouvelle loi et l’adresse IP
Le problème classique des traitements de données dites sensibles déjà évoqué connaît
une nouvelle évolution face à Internet dans une de ses catégories: les traitements de données
relatives aux infractions, aux condamnations pénales ou aux mesures de sûreté. Auparavant,
la loi de 1978 prévoyait en son article 30 : « Sauf dispositions législatives contraires, les
juridictions et autorités publiques agissant dans le cadre de leurs attributions légales, ainsi
que, sur avis conforme de la commission nationale, les personnes morales gérant un service
public, peuvent seules procéder au traitement automatisé des informations nominatives
concernant les infractions, condamnations ou mesures de sûreté. ».
Les nouvelles dispositions en la matière sont contenues dans l’article 9, qui prévoit la liste des
personnes pouvant procéder au traitement (automatisé ou non) d’informations relatives aux
infractions, condamnations et mesures de sûreté. Ce type de traitement fait cependant l’objet
98 Programme exécuté à la demande d’un site par le navigateur d’un internaute : le Java est un programme installé sur le navigateur, et les sites utilisant un langage Java (une méthode de programmation) lancent une « applet » (une activation du programme) à distance, pour « traduire » le contenu du site afin qu’il soit lisible par l’internaute. 99 Intel avait annoncé en 1999 que le processeur Pentium III serait équipé en série d’un numéro d’identification implanté lors de la fabrication pour faciliter le commerce électronique et lutter contre les fraudes. Face aux protestations, Intel a promis de désactiver l’identifiant, utilisable que si l’utilisateur le souhaitait. Cependant, beaucoup ont argué que des logiciels permettaient l’activation de l’identifiant à distance. De même, Microsoft avait intégré à Windows 98 le Global Unique Identifer (GUI) permettant d’identifier l’utilisateur à travers les documents créés.
68
d’une autorisation préalable de la CNIL, sauf quand il est mis en œuvre par des auxiliaires de
justice agissant dans le cadre de leur mission100.
Le premier alinéa de l’article 9 réserve le traitement aux juridictions, autorités publiques et
personnes morales gérant un service public, agissant dans le cadre de leurs attributions
légales, comme précédemment.
Le second alinéa ouvre cette faculté aux auxiliaires de justice agissant pour les stricts besoins
de l'exercice de leurs missions légalement définies.
Le troisième alinéa, qui visait les personnes morales victimes d’infractions, a été déclaré
contraire à la Constitution par le Conseil constitutionnel dans sa décision n°2004-499 DC du
29 juillet 2004. En effet, cet alinéa visait: « les personnes morales victimes d’infractions ou
agissant pour le compte desdites victimes pour les stricts besoins de la prévention contre la
fraude ainsi que de la réparation du préjudice subi, dans les conditions prévues par la loi. ».
Le conseil constitutionnel a considéré que : « le législateur ne pouvait pas non plus se
contenter, ainsi que le prévoit la disposition critiquée éclairée par les débats parlementaires,
de poser une règle de principe et d'en renvoyer intégralement les modalités d'application à
des lois futures ; que, par suite, le 3° du nouvel article 9 de la loi du 6 janvier 1978 est
entaché d'incompétence négative ». En effet, comment prévoir une disposition si floue
renvoyant les modalités de son exercice à des « lois d’application » ? Ce type de traitement
ayant de lourdes conséquences sur le plan des droits fondamentaux, il ne peut être mis en
place sans que les limites en soient pleinement encadrées.
Pourtant, le quatrième et dernier alinéa est demeuré valide. Il prévoit (par renvoi au Code de
la propriété intellectuelle) que les sociétés de perception et de répartition des droits d’auteur et
des droits des artistes-interprètes, producteurs de phonogrammes et de vidéogrammes ainsi
que les organismes de défense professionnelle, peuvent procéder à de tels traitements dans le
cadre des atteintes aux droits d'auteur, aux droits voisins et droits des producteurs de bases de
données tels que définis aux livres I, II et III du Code de la propriété intellectuelle.
100 Article 25 I 3° de la loi informatique et libertés.
69
Cette disposition a pour objet de lutter contre le développement des actes de contrefaçons via
l’utilisation sur Internet des systèmes d’échanges de fichiers peer to peer101. Il s’agit
finalement, pour les sociétés gérant des droits de propriété littéraire et artistique (comme la
SACEM) de constituer de véritables listes noires en relevant les adresses IP des personnes
téléchargeant les biens culturels concernés, afin d’agir en justice avec ce mode de preuve à
l’appui.
Pour Jean-Eric Schoettl102, Conseiller d’Etat, cette nouveauté est bienvenue pour contrer les
dégâts causés par les téléchargements abusifs, d’autant que les ayants droit ont besoin de ce
mode de preuve pour agir, et ont besoin de mutualiser leurs efforts pour mettre en place ce
mode de preuve. Les risques seraient limités dans le sens où les adresses IP recueillies ne
deviendraient nominatives que dans le cadre d’une procédure judiciaire, et après
rapprochement des adresses avec les données directement nominatives conservées par les
fournisseurs d’accès. De plus, les traitements resteraient soumis à une autorisation préalable
de la CNIL.
Malgré ces garanties, on peut reprocher à la disposition son caractère conjoncturel ; en effet, il
est dommage de constater qu’un traitement de données sensibles (fichier d’infractions
constatées) soit ainsi créé par des personnes privées agissant dans un intérêt privé. Les
infractions nécessitant le recours à la force publique, elles ne devraient être constatées, de
surcroît par une collecte discrétionnaire d’adresses IP indirectement nominatives, par des
personnes privées extrajudiciaires. La disposition est en réalité le fruit de soucis du législateur
qui cherche à lutter contre la contrefaçon électronique. Sans doute dépassé par le phénomène
des téléchargements, le législateur a réagi avec cette disposition qui s’inscrit dans un vaste
programme de lutte. Mais l’objectif de protection des droits d’auteur est-il suffisant pour
permettre ce type d’atteinte aux libertés individuelles ? Il faut espérer que les listes seront
constituées selon des critères objectifs afin d’engager les poursuites contre les contrefacteurs,
en prenant en compte les délits d’habitude, qui sont les plus néfastes. La grande fréquentation
des systèmes de peer to peer rend cependant souvent aléatoire la sélection de ces derniers103.
101 Logiciels déjà évoqués en introduction, note n°5. 102 La refonte de la loi sur l'informatique, les fichiers et les libertés devant le Conseil constitutionnel, Les petites affiches, 11 août 2004 (160), pp. 8-19 Jean-Éric Schoettl. 103 La popularité du peer to peer amène la justice à faire des exemples, tous les contrefacteurs ne pouvant être punis. La condamnation de six internautes par le Tribunal Correctionnel de Vannes le 29 avril 2004 avait avant tout un objectif de dissuasion : les contrefaçons des prévenus, bien que réelles, restaient dérisoires comparées aux flux quotidiens des réseaux peer to peer.
70
Le peer to peer est bien la preuve qu’il est difficile de contrôler les flux de fichiers sur
Internet, et si les Droits d’auteur en pâtissent, c’est aussi le cas des données personnelles
diffusées sur le réseau.
2°) Les difficultés liées à la diffusion des données sur Internet
La grande particularité d’Internet n’est peut-être pas le problème de la collecte des
données, puisque si les méthodes sont différentes, le fond du problème n’est pas vraiment
nouveau. Les risques liés à la collecte sur Internet sont a priori les mêmes que ceux des
collectes hors réseau, c’est la façon dont les informations sont récupérées qui pose problème.
Cependant, une fois collectées, les données sont confrontées à un nouveau risque, propre au
web. En effet, le contrôle de la diffusion des données sur un réseau planétaire est un réel
enjeu. Les moyens de diffusion sont vastes, que ce soit par les forums, les sites, ou par l’outil
spécifique qu’est le courrier électronique (a), le risque que les données soient transférées vers
un Etat n’accordant pas une protection suffisante des données est considérable (b).
a)Le courrier électronique
Le courrier électronique104, plutôt considéré comme une donnée confidentielle que
comme une donnée personnelle, est source de problèmes. En effet, en dehors des dangers
techniques (virus…) et des risques de spamming déjà évoqués, l’email peut être vecteur de
données personnelles, et en tout cas de données relevant de la vie privée. C’est pourquoi
104 L’email, aussi appelé courriel, et même mèl.
71
l’article 1° de la loi 91-646 du 10 juillet 1991 dispose à ce propos que « le secret des
correspondances émises par la voie des télécommunications est garanti par la loi », et
l’article L 226-15 du Code pénal punit la violation du secret des correspondances d’un an de
prison et de 45 000€ d’amende.
Le risque de violation du secret des correspondances connaît surtout des exemples dans le
monde du travail. Le principal risque pour un salarié est que l’employeur se serve de ses
correspondances privées pour rassembler des motifs de licenciement. Ce fût le cas dans l’arrêt
du 2 octobre 2001 de la Chambre sociale de la Cour de cassation Nikon105. Dans cet arrêt, la
Cour se fonde sur l’article 9 du Code civil, sur l’article 8 de la Convention Européenne des
Droits de l’Homme et sur l’article L 120-2 du Code du travail (sur les libertés individuelles du
salarié) pour affirmer que ce type de comportement est contraire au Droit au respect de la vie
privée : « Le salarié a droit, même au temps et au lieu de travail, au respect de sa vie privée ;
celle-ci implique en particulier le secret de ses correspondances ; l’employeur ne peut dès
lors, sans violation de cette liberté fondamentale, prendre connaissance des messages
personnels émis par le salarié ou reçus par lui grâce à un outil informatique mis à sa
disposition pour son travail, et ceci même au cas où l’employeur aurait interdit une
utilisation non professionnelle de l’ordinateur. ».
Cette solution est à nuancer en matière de courrier électronique professionnel, c'est-à-dire
sans vocation personnelle, confidentielle. Un email d’entreprise, attaché plus à une fonction
qu’à une personne doit-il être protégé comme une correspondance privée ? L’enjeu est
d’abord un enjeu de sécurité, certaines fonctions dans l’entreprise pouvant nécessiter un accès
au courrier par l’administrateur de réseau. L’enjeu est aussi fonctionnel, doit-on bloquer la
messagerie d’un cadre qui a quitté l’entreprise, temporairement (congé, maladie…) ou
définitivement, ou, au contraire, doit-on permettre à son remplaçant l’accès à cette messagerie
professionnelle ? L’utilisation d’une messagerie privée permet sans doute d’éviter de manière
efficace les risques d’atteinte à la vie privée par le biais de la messagerie professionnelle.
C’est à coup sûr ce qu’a compris la Cour d’appel de Paris106 en apportant ces premiers
éléments de réponse : « Il est dans la fonction des administrateurs de réseaux d’assurer le
fonctionnement normal de ceux-ci ainsi que leur sécurité, ce qui entraîne, entre autres, qu’ils
105 Cass.soc, 2 octobre 2001 Nikon : Dalloz .2001 jurisprudence p. 3148 note P.Y. Gautier 106 CA Paris 17 décembre 2001 JCP éd E 2002 II, n° 10087 note Devèze et Vivant.
72
aient accès aux messageries et à leur contenu, ne serait-ce que pour les débloquer ou éviter
des démarches hostiles ».
Ainsi, le champ de la vie privée pour les emails reçus à son travail reste encore à délimiter de
façon claire. Mais l’atteinte à la vie privée peut aussi se faire par voie de diffusion de données
personnelles sur le réseau global, l’email ayant une portée mondiale, il peut s’avérer difficile
de pister ses propres données.
b) Les transferts de données à l’étranger
La question du transfert de données à l’étranger n’est pas nouvelle, elle était déjà
caractérisée dans des situations telles que, notamment, les restructurations d’entreprises
transfrontalières107. Cette question a pourtant changé de visage avec le développement
d’Internet.
En effet, ce phénomène a facilité les flux transfrontaliers de données personnelles. L’article
68 al 1 de la loi informatique et libertés transposant les disposition de la directive 95-46 du 24
octobre 1995 prévoit que : « Le responsable d’un traitement ne peut transférer des données à
caractère personnel vers un État n’appartenant pas à la Communauté européenne que si cet
État assure un niveau de protection suffisant de la vie privée et des libertés et droits
fondamentaux des personnes à l’égard du traitement dont ces données font l’objet ou peuvent
faire l’objet ». Les transferts de données personnelles ne sont ainsi possibles que vers des
Etats ayant des dispositions protectrices similaires à la loi informatique et libertés. Cela
regroupe l’ensemble de l’Union Européenne, le Canada, l’Argentine, Guernesey, la Suisse et
depuis peu l’Ile de man108.
107 Les restructurations entre entreprises de nationalités différentes posent toujours la question du transfert de données : si la simple prise de contrôle ne semble pas poser de problème, en cas de fusion, des documents tels que les fichiers du personnel ne risquent-ils pas de changer de territoire, et donc, de législation ? 108 La décision de la Commission 2004/411/CE du 28.04.2004 constate le niveau de protection adéquat des données à caractère personnel dans l’Île de Man. Le Japon, qui s’est doté d’une loi informatique et libertés entrée en vigueur le 1° avril 2005 sera peut-être le prochain sur la liste.
73
Des exceptions sont toutefois prévues par l’article 69 si la personne concernée a consenti au
transfert, mais aussi dans certaines conditions :
- Le transfert est nécessaire à la sauvegarde de la vie de cette personne (télémédecine).
- Le transfert est nécessaire à la sauvegarde de l’intérêt public.
- Il est nécessaire au respect d’obligations permettant d’assurer la constatation,
l’exercice, ou la défense d’un droit en justice.
- Il est nécessaire à la consultation, dans des conditions régulières, d’un registre public
qui, en vertu de dispositions législatives ou réglementaires, est destiné à l’information
du public et est ouvert à la consultation de celui-ci ou de toute personne justifiant d’un
intérêt légitime (cela vise le cas des annuaires publics).
- Il est nécessaire à l’exécution d’un contrat entre le responsable du traitement et
l’intéressé, ou de mesures précontractuelles prises à la demande de celui-ci (condition
nécessaire au commerce électronique).
- Il est nécessaire à la conclusion ou à l’exécution d’un contrat conclu ou à conclure,
dans l’intérêt de la personne concernée, entre le responsable du traitement et un tiers
(cette condition est aussi nécessaire au commerce électronique).
Il peut également être fait exception à l’interdiction prévue à l’article 68 lorsque le traitement
garantit un niveau de protection suffisant de la vie privée ainsi que des libertés et droits
fondamentaux des personnes, notamment en raison des clauses contractuelles ou règles
internes dont il fait l’objet. Cela vise le jeu de clauses élaboré par la Commission Européenne.
Les Etats membres se conforment à la position de la Commission quant aux Etats à écarter de
la protection suffisante, mais le transfert vers ces Etats est possible si le contrat prévoyant le
traitement de données reprend les clauses contractuelles types européennes offrant une
protection similaire aux législations européennes. La Commission européenne a ainsi adopté
le 27 décembre 2004 un nouvel ensemble de clauses contractuelles types, offrant ainsi une
alternative aux clauses antérieurement émises par la Commission le 25 juin 2001109.
De même, les Etats-Unis, pays où la protection n’est pas suffisante, ont fait l’objet d’un
accord dit safe harbor avec l’Union Européenne, adopté par une décision de la Commission
du 26 juillet 2000. Cet accord n’a qu’une portée limitée aux Etats-Unis, puisqu’il est signé par
la Federal Trade Commission (FTC) qui n’est compétente que dans le domaine commercial, à
109 Le jeu de clauses figure sur le site de l’Union Européenne : www.europa.eu.int
74
l’exception des banques et du secteur financier. La FTC tient une liste des sociétés
américaines qui ont souhaité s’inscrire et respecter l’accord. Ainsi, toute organisation
commerciale adhérant au safe harbor doit informer les personnes concernées des raisons de
l’utilisation des données personnelles, au sens de la directive de 1995, celles-ci doivent être
fiables, et l’organisation doit informer les personnes concernées de la façon de la contacter
pour toute demande de plainte, ainsi que de la façon de contacter les tiers à qui les données
sont communiquées. Un droit d’opposition s’exerce pour cette communication, le
consentement est exigé pour les données sensibles et l’obligation de sécurité est reconnue,
comme les droits d’accès, de rectification, modification et suppression. Le safe harbor n’a pas
connu un grand succès puisqu’à ce jour, seule une quarantaine d’entreprises y ont adhéré.
Pour les autres, les transferts sont soumis au Droit commun de la directive.
Il faut noter qu’une incertitude plane sur la notion de transfert de données personnelles, qui
n’est pas concrètement définie par la directive. Cela peut se comprendre, il s’agit d’une notion
très vaste, et les transferts font partie intégrante de l’utilisation d’Internet. En effet, qu’est-ce
qu’un transfert sur Internet ? Comment caractériser le flux ? Un email est-il nécessaire ou la
simple mise en ligne constitue-t-elle un transfert ? La CJCE nous apporte des éléments de
réponse à cette question dans l’arrêt du 6 novembre 2003, affaire C-101/01, Bodil
Lindqvist110.
Dans cet arrêt, une internaute de Suède publie sur un site Internet des informations pour des
paroissiens, mais présentant aussi des indications quant à leur identité (nom, prénom,
domicile, téléphone, loisirs, situation familiale et même des indications de santé). Elle est
alors condamnée pour non déclaration du site à la Datainspektion (équivalent de la CNIL), et
pour ne pas avoir obtenu l’autorisation des intéressés en recueillant des données sensibles
(médicales), et en transférant ces données vers des pays tiers. La question préjudicielle qui se
posait à la Cour était: « Si une personne insère en Suède, à l’aide d’un ordinateur des données
à caractère personnel sur une page d’accueil qui est stockée sur un serveur en Suède _de
sorte que les données à caractère personnel deviennent accessibles à des ressortissants de
pays tiers_ cela constitue-t-il un transfert de données vers un pays tiers au sens de la
directive ? »
110Mise en ligne de données personnelles et transfert de données à l’étranger, Fabrice Naftalski et Florence Raynal, Revue Lamy Droit des affaires Janvier 2004, chronique p. 15.
75
La CJCE considère que ces opérations « ne constituent pas en elles-mêmes un transfert vers
un pays tiers de données ». Elle s’appuie sur deux arguments :
Dans un premier temps, la transmission des informations se fait vers un prestataire qui
héberge le site, et non directement à des personnes, elles doivent donc faire la démarche
d’accéder aux données.
De surcroît, s’il existait un transfert vers un pays tiers de données chaque fois que des données
à caractère personnel étaient chargées sur une page Internet, ce transfert serait nécessairement
un transfert vers tous les pays tiers où existent les moyens nécessaires pour accéder à Internet,
c'est-à-dire qu’il suffirait qu’un seul pays tiers n’assure pas un niveau de protection adéquat
pour que les Etats-membres soient obligés d’empêcher toute mise sur Internet de données à
caractère personnel.
En effet, une telle définition du transfert serait totalement ingérable. Il est donc plus sûr
d’attacher le transfert à une démarche passive des destinataires des données, c'est-à-dire que le
transfert a lieu quand le destinataire n’a à accomplir aucune démarche pour recevoir les
données depuis son pays (et au contraire le « diffuseur » accomplit une démarche active vers
le pays tiers, par exemple par email). Il demeure toutefois que l’hébergeur du site Internet doit
être localisé dans un Etat membre, sans quoi le transfert vers un pays tiers est constaté lors de
la mise en ligne.
Malgré ces éléments, il est évident que la notion de transfert n’est pas près d’être clairement
définie, l’instantanéité d’Internet étant susceptible de qualifier tout acte de transfert. Les
réelles finalités du diffuseur des données devront être examinées au cas par cas afin
d’appréhender l’« élément intentionnel » de la numérisation : un transfert ou une simple mise
en ligne à portée locale ?
76
CONCLUSION
Force est de constater, que, la protection sur Internet est loin d’être garantie tant
l’application de textes généraux à ce phénomène technique est délicate, et laisse planer des
incertitudes. Cela revèle les difficultés que peut éprouver le législateur à s’adapter aux
évolutions de la société. Et, le progrès technique est sans doute la plus complexe de ces
évolutions. Il est difficile de légiférer en terrain inconnu, et il est néfaste de trop légiférer, de
créer des normes trop spécifiques en contribuant à l’inflation législative, quand de grands
principes dégagés par des lois générales suffisent.
Pourtant, on ne peut ignorer qu’avec Internet, le traitement de données change de visage, et
devient plus opaque. La loi du 6 août 2004 n’échappe pas à la critique, puisque les difficultés
posées par Internet proviennent surtout d’un manque de définitions et de précisions
appropriées, et cette loi aurait pu être l’occasion de les établir. Quand y a-t-il transfert de
données sur Internet ? Comment respecter le consentement de l’internaute lors de l’insertion
des cookies, sans pénaliser la navigation ? Ne faut-il pas tout simplement supprimer les
cookies au profit de fichiers plus transparents ?
Au contraire, la nouvelle loi élargit le champ des fichiers d’infractions, en autorisant les
sociétés gérant des droits de propriété littéraire et artistique à relever les adresses IP des
internautes. Certes, l’enjeu est louable, cependant, la mesure reste une atteinte aux libertés
individuelles. Ce type de mesure révèle un dilemme propre à Internet : la liberté d’expression
sur le réseau peut-elle porter atteinte aux droits de la création ? Cela confronte notamment
peer to peer et droits d’auteur. De même, la liberté d’expression et de création sur Internet
peut-elle porter atteinte à la protection des données personnelles ? Cette fois, cela confronte
création d’un site Internet, d’un forum et respect des données personnelles. Il est évident que
beaucoup d’Internautes sont des responsables de traitement sans le savoir.
On s’aperçoit vite que toute la protection des données personnelles est un jeu d’équilibre entre
différents intérêts, différentes libertés : respect des données personnelles et progrès de la
médecine, respect des données personnelles et lutte contre la délinquance etc. Mais il existe
surtout un nouveau dilemme, une confrontation de taille entre la recherche de la sécurité et la
77
protection des données personnelles. Il suffit de prendre en compte les exemples récents
relatifs aux cartes d’identité biométriques, ou aux mesures de sécurité draconiennes prises aux
Etats-Unis pour l’entrée sur leur territoire111 pour s’apercevoir que lutte contre le terrorisme et
respect des données personnelles ne font pas bon ménage.
La protection devra pourtant s’en accommoder, comme elle s’accommodera d’Internet, car le
jeu en vaut la chandelle. Le plus dur a sans doute été accompli dès 1978, quand le Droit a pris
conscience de la nécessité de protéger les libertés informatiques comme des droits
fondamentaux, afin que l’Homme ne soit pas victime de la machine. Mais il faut garder en
tête que l’informatique n’est que l’outil, le facteur aggravant, le premier danger pour les
données personnelles, comme les dilemmes de la protection le prouvent, reste bien l’Homme :
HOMO HOMINI LUPUS
111 Voir note de bas de page n° 85.
87
BIBLIOGRAPHIE
I) OUVRAGES ET RAPPORTS
A) OUVRAGES ET RAPPORTS GENERAUX
- GALLOUEDEC-GENUYS et M. MAISL, Le secret des fichiers, Cujas 1976
- DEVEZE Jean, FRAYSSINET Jean, LUCAS André,
Droit de l’informatique et de l’Internet Thémis Droit privé PUF Droit 2001
- VIVANT Michel, RAPP Lucien, GUIBAL Michel, WARUSFEL Bertrand, BILON
Jean-Louis, VERCKEN Gilles, Lamy Droit de l’informatique et des réseaux Editions
Lamy 2004
- Rapport BRAIBANT : Données personnelles et société de l’information, Doc.fr. 1998
- CNIL, Rapports d’activité annuels, Doc. Fr.
B) OUVRAGES ET RAPPORTS RELATIFS A INTERNET
- FENOLL-TROUSSEAU M-P et HAAS G., Internet et protection des données
personnelles, Litec, 2000.
- LEPAGE Agathe, Libertés et Droits fondamentaux à l’épreuve de l’Internet,
Droit@Litec Editions du Juris-Classeur 2002
88
II) ARTICLES ET ETUDES
- MAISL Herbert, La maîtrise d’une interdépendance, JCP I 2891 Janvier-Juin 1978
- SCHOETTL Jean-Eric La refonte de la loi sur l'informatique, les fichiers et les
libertés devant le Conseil constitutionnel, Les petites affiches, 11 août 2004 (160), pp.
8-19
- NAFTALSKI Fabrice, RAYNAL Florence, Mise en ligne de données personnelles et
transfert de données à l’étranger, Revue Lamy Droit des affaires, Janvier 2004,
chronique p. 15
- FRAYSSINET Jean, Contre l’excessive distinction entre fichier et dossier, le pas en
avant du Tribunal correctionnel de Paris, Cahiers Lamy Droit de l’informatique et des
réseaux, janvier 1990 p.5
- Une enquête de la CNIL sur les sites de commerce en ligne : Où sont passées mes
données ? Libération, 14 avril 2000, p. 28
- La protection des données personnelles mobilise les décideurs japonais, Le Monde,
5 mai 2005 p. 20
III) SITES INTERNET
A) SITES OFFICIELS ET INSTITUTIONNELS
www.cnil.fr et notamment :
http://www.cnil.fr/fileadmin/documents/approfondir/textes/CNIL-78-17_definitive- annotee.pdf
http://www.ladocumentationfrancaise.fr/brp/notices/054000256.shtml