CAIRN.INFO : Chercher, repérer, avancer.
Une Grenouille vit un bœuf
Qui lui sembla de belle taille.
Elle, qui n’était pas grosse en tout comme un œuf,
Envieuse, s’étend et s’enfle et se travaille,
Jean de la Fontaine

1 Le fil conducteur de ce numéro sonne comme le refrain d’une chanson : que reste-t-il de la loi de 1978 ? Si on se rapporte à cette source d’inspiration, on pourrait presque déceler dans cette question une pointe de nostalgie faisant référence à un passé révolu, une disparition progressive, une intensité qui s’estompe et que l’on se plaît à regretter… Ce serait, à coup sûr, faire un contre-sens que de s’apitoyer sur la loi « Informatique et libertés » dont le principal objet, la protection des données à caractère personnel des citoyens, n’a rien perdu de son intérêt et est au contraire, au cœur d’une vibrante actualité.

2 Il ne s’agit pas, dans les lignes qui suivent, d’opérer un bilan d’efficience comparé de l’état de l’art en 1978 et de la situation qui prévaut en 2018, soit quarante ans plus tard. La tâche serait immense et empièterait, de surcroît, sur les diverses contributions de la présente revue. On préférera s’en tenir à un constat plus banal qui est celui de l’extension continue du domaine de la lutte. La loi de 1978 et les intérêts qu’elle défendait n’ont rien perdu de leur acuité et la modification profonde de la société durant ces dernières années n’a fait que confirmer, dans des secteurs qui n’avaient pas nécessairement été envisagés à l’époque, l’intuition

3 du législateur d’une nécessité du renforcement de l’arsenal juridique de protection des citoyens dans leurs relations numériques. C’est d’ailleurs, la force symbolique de la loi de 1978, en dépit des évolutions qu’elle a traversées, comme en témoigne le souci du législateur de ne pas abroger la loi mais de la modifier, au besoin de la toiletter pour lui redonner davantage de cohérence. Ainsi, la prochaine entrée en vigueur du « paquet données » en mai 2018 ne sonne pas le glas de la loi de 1978 mais sa modernisation [1].

4 Le constat de départ était celui d’une dangerosité accrue des moyens informatiques pour les libertés du citoyen. La Deuxième guerre mondiale était toujours présente dans les esprits et, avec elle, la dérive du fichage des individus ayant conduit à des déportations ou autres sinistres finalités. L’émergence de l’informatique et l’accroissement exponentiel des possibilités de traitement de ces informations faisaient redouter l’avènement de la société de la surveillance annoncée par Georges Orwell. 2018, hélas, n’apporte nul démenti à ces inquiétudes. La technique ayant facilité la numérisation des informations, l’ensemble des données que l’on peut rattacher à un individu est désormais traduit dans une écriture unique, susceptible d’un traitement rapide et peu coûteux, d’une duplication à l’infini sans dégradation de qualité. Le développement des réseaux permet la multiplication des échanges économiques ou personnels d’informations, là encore pour un coût très faible. L’économie s’étant orientée vers les échanges intangibles, les données sont devenues des « actifs » dont la valeur patrimoniale suscite tous les appétits. Ainsi la corrélation des facteurs techniques, économiques et sociétaux a mis les données au cœur des échanges humains, à une échelle inédite. On parle de « Big » Data [2] - sans toujours bien identifier ce que recouvre le vocable – pour marquer ce changement de degré, voire de nature dans le traitement des données. Point n’est besoin de revenir sur la considération, assez partagée, de la mise en données ou « dataification » progressive de nos vies puisque nos interrelations se produisent toujours davantage via des réseaux d’informations transitant sous un format numérique. Dès lors, ce qui pose problème est l’extension infinie du champ des menaces qui pèsent sur l’individu du fait du traitement de « ses » données.

5 Ainsi, plus que jamais, l’existence d’un droit venant protéger les individus contre ce risque se justifie-telle, mais paradoxalement, plus que jamais, la multiplication des domaines d’intervention de ce droit en signe l’affaiblissement inexorable. C’est ce paradoxe que l’on souhaite mettre en lumière dans la présente contribution à travers ces deux dimensions antagonistes. D’une part, en effet, la loi de 1978 apparaît comme de plus en plus invasive dans la mesure où elle intervient nécessairement dans tous les domaines de la vie de l’individu – que ce soit dans ses activités sociales ou économiques – au fur et à mesure des évolutions technologiques ; ce faisant, elle rencontre d’autres règles qui ont une vocation parfois concurrente, parfois complémentaire, à régir des données qui peuvent également revêtir un caractère personnel au sens de la loi.

6 La protection des données à caractère personnel constitue un défi incontournable de ce début de vingt et unième siècle, les outils permettant une intrusion massive dans l’intimité et la surveillance des individus. La plasticité des concepts qui servent de fondement à la loi de 1978 assure l’adaptation à ces défis posés par la technologie (I.). Cette extension présente cependant quelques revers lorsqu’elle conduit à imposer l’application des règles relatives à la protection des données personnelles à des situations régies selon d’autres objectifs, la conciliation de logiques est alors difficile à mettre en œuvre (II.).

I. LA PLASTICITÉ DES CONCEPTS FONDATEURS

7 Si la loi de 1978 résiste, comme en témoigne le fait qu’elle a été de nombreuses fois révisées et qu’elle s’apprête à l’être à nouveau pour intégrer le « paquet » données, c’est qu’elle est porteuse de principes dont l’utilité ne s’est pas démentie mais aussi que le législateur, dans sa grande clairvoyance, n’a pas souhaité enfermer sa loi dans un état de la technologie qui l’aurait rapidement rendue obsolète. La loi de 1978 a donc opéré sa mue technologique grâce à la malléabilité des concepts qui assoient son application ; ainsi du tandem données (A) /traitement qui établit les bases de la protection des individus et dont l’étendue n’a cessé de croître à mesure que de nouvelles applications devenaient possibles (B).

A. La notion extensive de données à caractère personnel

8 La loi de 1978 avait établi dans les articles 3 et 4 les définitions fondatrices déterminant le régime juridique de la loi relative à l’informatique, aux fichiers et aux libertés. L’article 4, à dire vrai, ne mentionnait pas la notion de « données » personnelles mais s’intéressait aux informations nominatives envisagées comme « les informations qui permettent, sous quelque forme que ce soit, directement ou non, l’identification des personnes physiques auxquelles elles s’appliquent (…) ». Étaient ainsi visées, par exemple le nom, le numéro de téléphone, l’identité des parties à une instance mentionnée dans les banques de données de jurisprudence. De loin en loin, la notion a été étendue, non sans quelques contorsions, à des informations fort peu « nominatives » telles que les appels enregistrés par les autocommutateurs téléphoniques sur les lieux de travail [3] ou les cartes-mémoires dans les transports en commun [4].

9 C’est à l’occasion de la transposition de la directive de 1995 en droit français par la loi du 6 août 2004 que la loi de 1978 modifiée a intégré la notion de données à caractère personnel définie comme « toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, par référence à un numéro d’identification ou à un ou plusieurs éléments qui lui sont propres. Pour déterminer si une personne est identifiable, il convient de considérer l’ensemble des moyens en vue de permettre son identification dont dispose ou auxquels peut avoir accès le responsable du traitement ou toute autre personne. » Cette définition reprend presque à l’identique la définition de la directive, commune par conséquent à l’ensemble des États membres de l’Union. Ainsi, en même temps que la notion d’informations nominatives s’est étendue à celle, plus vaste, de données à caractère personnel, elle a également pris une coloration européenne permettant une unification du critère d’application au sein de l’Union. Elle a, de surcroît, permis d’adapter la notion au cadre technologique, appréhendant non seulement les informations textuelles mais encore la voix et l’image [5].

10 Plusieurs instances ont confirmé le caractère très accueillant de la notion laquelle, selon le G29 [6], vise à la fois des données objectives mais aussi des données subjectives résultant d’un avis ou d’une appréciation sur une personne. Surtout, elle est indifférente à la technologie employée pour procéder à l’identification des individus et appréhende de nouveaux outils numériques ayant cette aptitude [7]. Aussi la Cour de justice [8], suivie de la Cour de cassation [9] a estimé que la qualification pouvait être retenue quand bien même l’identification nécessiterait l’intervention d’un tiers comme dans le cas d’une adresse IP [10] dynamique, laquelle - en soi - ne se rapporte pas à une personne physique identifiée. Il en serait éventuellement ainsi des adresses MAC qui permettent d’identifier les objets connectés. Par conséquent, l’ensemble des transactions réalisées par internet mais encore l’ensemble des messages envoyés par nos objets connectés sont également susceptibles de rentrer dans le champ d’application de la loi.

11 En la matière, ce qui importe au premier chef, c’est que la donnée puisse, seule ou agrégée avec d’autres, permettre l’identification de la personne [11]. Cette identification peut être seulement indirecte, ce qui inclut dans le champ d’application du texte, des données telles que le numéro de sécurité sociale, les coordonnées bancaires, les informations fiscales [12], ou encore l’emplacement géographique. Ainsi, les données de géolocalisation sont susceptibles d’entrer dans le champ de la protection [13] ; par exemple, la CNIL [14] a considéré que l’adresse MAC des routeurs d’un réseau Wi-Fi, dès lors qu’elle est associée à des données de localisation, constituait une donnée à caractère personnel.

12 En réalité, hormis le refus d’élargissement du champ d’application de la loi aux personnes morales, le dispositif légal instauré en 1978 n’a eu de cesse de s’étendre à de nouvelles formes d’identification des individus et aux traces de leurs échanges numériques. La plupart des services de la société de l’information doivent, par conséquent, se soumettre à la réglementation des données à caractère personnel. La prochaine entrée en vigueur du RGPD ne modifie nullement la tendance, l’esprit du texte illustré notamment par ses considérants, s’inscrivant pleinement dans cet esprit puisqu’il estime que « pour déterminer si une personne physique est identifiable, il convient de prendre en considération l’ensemble des moyens raisonnablement susceptibles d’être utilisés par le responsable du traitement ou par toute autre personne pour identifier la personne physique directement ou indirectement. » La seule limite qui se manifeste tient à la référence au caractère raisonnable des moyens de traitement, lequel doit s’apprécier au regard de l’ensemble des facteurs objectifs, tels que le coût de l’identification et le temps nécessaire, en tenant compte à la fois des technologies disponibles au moment du traitement et de l’évolution de celles-ci [15]. Or, certains traitements qui étaient excessivement complexes et coûteux deviennent désormais suffisamment simples pour être rentables et permettre des identifications à partir de données pleines de « bruit ».

13 Ainsi la loi de 1978 satisfait pleinement au défi de l’évolution technologique en saisissant de manière très large l’ensemble des éléments qui permettent désormais d’une façon plus ou moins directe d’identifier un individu, à partir des signaux qu’il « émet » de manière souvent inconsciente lors des actions qu’il entreprend : naviguer sur internet, discuter sur les réseaux sociaux, mais encore ouvrir la porte de son réfrigérateur connecté ou s’arrêter lors d’une promenade devant la devanture d’un magasin. Cet élargissement du champ d’action de la loi est également lié à la souplesse d’une autre notion cadre de la loi de 1978, indissociable de celle de données : le traitement.

B. Les excroissances de notion de traitement

14 L’article 5 de la loi d’origine définissait, quant à lui, le traitement automatisé d’informations nominatives comme « tout ensemble d’opérations réalisées par des moyens automatiques, relatifs à la collecte, l’enregistrement, l’élaboration, la modification, la conservation et la destruction d’informations nominatives ainsi que tout ensemble d’opérations de même nature se rapportant à l’exploitation de fichiers ou bases de données et notamment les interconnexions ou rapprochements, consultations ou communications d’informations nominatives. »

15 La loi s’appliquait ainsi aux traitements automatisés de données à caractère personnel, ainsi qu’aux traitements non automatisés de données à caractère personnel contenues ou appelées à figurer dans des fichiers, à l’exception des traitements mis en œuvre pour l’exercice d’activités exclusivement personnelles. L’esprit de la disposition d’origine était déjà « d’embrasser » large [16]. Bien que la question fût, un temps, discutée, il apparaît que le caractère manuel du traitement ne constitue pas une exclusion du champ d’application de la protection dans la mesure, conformément au principe du haut degré de protection véhiculé dans la directive de 1995, mais simplement le signe d’un régime applicable différent.

16 La loi, modifiée en 2004, est allée dans le sens d’une extension des traitements retenus. Désormais, l’article 2 considère que « constitue un traitement de données à caractère personnel toute opération ou tout ensemble d’opérations portant sur de telles données, quel que soit le procédé utilisé, et notamment la collecte, l’enregistrement, l’organisation, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, ainsi que le verrouillage, l’effacement ou la destruction[17]. » Contrairement à la formulation d’origine qui semblait énumérer un nombre limité de méthodes de traitement relatives aux données, il est ici fait mention d’une énumération exemplative, par ailleurs extrêmement large. Ainsi, on vise explicitement les opérations telles que l’adaptation, l’utilisation ou encore la communication par transmission, diffusion ou toute autre forme de mise à disposition, sans d’ailleurs que ces dernières ne soient plus amplement décrites. Que signifie au juste « l’adaptation » d’une donnée à caractère personnel ?

17 Par ailleurs, il n’est plus fait de discrimination dans la définition des traitements entre ceux qui s’appliquaient aux « informations nominatives » et ceux qui concernaient les fichiers ou bases de données alors que la loi initiale visait les opérations se rapportant à « l’exploitation » de ces derniers. La rédaction actuelle de la loi dispose simplement que « Constitue un fichier de données à caractère personnel tout ensemble structuré et stable de données à caractère personnel accessibles selon des critères déterminés. ». La notion de fichier n’est désormais utile que pour intégrer dans le champ d’application de la loi, les traitements non automatisés. Ainsi que l’ensemble des données collectées soit ou non structuré n’a pas d’incidence sur les types de traitement retenus, sauf lorsqu’il s’agit d’un traitement non automatisé, auquel cas la condition que le traitement soit consigné dans un fichier demeure requise. C’est en ce sens que s’est prononcé le tribunal de commerce de Paris [18], à propos du service Google Suggest. Le tribunal a estimé, à cet égard, que l’apparition de certains termes associés à d’autres au sein de cette fonctionnalité présentait, dès lors qu’elle reposait sur un procédé automatisé, les caractéristiques d’un traitement de données à caractère personnel au sens de la loi modifiée du 6 janvier 1978, sans que – pour cette raison – il soit nécessaire de vérifier s’il s’agissait d’un fichier.

18 Cette évolution, d’ailleurs corroborée par le règlement, est heureuse puisque, précisément, les modes de collecte modernes des données par les procédés de Big Data ne passent pas nécessairement par la constitution de « fichiers » ou de bases de données répondant aux critères de structuration et de stabilité. C’est la raison pour laquelle la notion de fichier décrite dans le règlement européen s’est départie de l’exigence de stabilité [19], ce qui devrait conduire à modifier la loi française sur ce point. Il est, en effet, nécessaire que de telles opérations soient appréhendées dans le champ d’application de la loi afin de ne pas laisser les individus démunis contre ces « moulinettes » de données qui sont également susceptibles de conduire aux situations de profilage que la loi s’efforce de contenir. Le récent ajout, par la loi pour une République numérique venu modifier l’article 1er de la loi de 1978 [20] d’une référence au droit à l’autodétermination informationnelle [21] permet sans doute d’écarter toute interprétation trop restrictive du champ des traitements puisque le pouvoir de contrôle est conféré très largement sur « les usages » qui sont faits des données, permettant ainsi d’accompagner l’évolution des traitements à celle de la technique.

19 Au titre des exemples les plus marquants liés à l’utilisation des technologies récentes, constituent des traitements au sens de la loi : le fait d’identifier des adresses électroniques et de les utiliser pour de la publicité ciblée [22] ; le rapprochement entre les consultations de sites internet et les téléchargements effectués à partir de postes informatiques dont l’identité de leur utilisateur habituel [23] est connue ; le fait de collecter dans les documents publics de l’administration fiscale des données relatives aux revenus du travail et du capital ainsi qu’au patrimoine de personnes physiques et de les traiter en vue de leur publication [24], notamment sous la forme de disques CD-ROM, pour qu’elles soient utilisées à des fins commerciales ou dans un service de SMS ; la conservation des données de connexion par les fournisseurs de services de communications électroniques [25]. Entrent également dans le champ d’application de la loi certaines opérations de référencement dont celle consistant à mentionner sur une page internet, diverses personnes et à les identifier soit par leur nom, soit par d’autres moyens [26] ; la communication par transmission et diffusion des données lors de la consultation des outils de recherche associée tels que Google Suggest ; l’opération de crawl servant à répertorier une information dans un moteur de recherche s’analysant comme une extraction, un enregistrement et une organisation des données à caractère personnel et encore la restitution des résultats d’une requête communiquant ou mettant à disposition ces données à l’utilisateur du moteur [27].

20 On le voit, les cas d’application sont nombreux et couvrent des activités devenues essentielles dans l’économie de l’information telles que les activités de référencement, de préconisation, ou encore de géolocalisation. Pour autant, la notion de traitement n’est pas exempte de limites et toute opération informatique ne sera pas systématiquement considérée comme constitutive d’un traitement au sens de la loi [28].

21 Ont ainsi été exclues de la qualification par la jurisprudence, outre les constatations visuelles et les accès manuels d’un agent assermenté concernant des données relatives à des infractions, des opérations de saisie de mails par l’Autorité de concurrence [29], pourtant relative à des échanges de certains salariés protégés ou encore la copie d’écran à des fins probatoires [30]. Surtout, la loi elle-même aménage des limites à l’emprise de la notion : tel est le cas des traitements à caractère personnel ou encore des copies provisoires transitoires. Sans entrer dans le détail de ces notions, il convient toutefois d’appeler l’attention sur le fait que de telles exclusions pourraient servir de cheval de Troyes à certains opérateurs cherchant à s’exonérer des obligations relatives à la protection des données à caractère personnel. En effet, l’interprétation de ces concepts pourrait, à l’instar de ce qui s’observe en droit d’auteur, à propos des copies privées et des copies transitoires provisoires [31], offrir des opportunités de services décentralisés permettant de « déporter » la responsabilité des traitements sur les individus eux-mêmes et non sur les services qui organisent l’inter-relation. En effet, même si le considérant 18 du règlement établit qu’il s’applique aux responsables de traitement ou aux sous-traitants qui fournissent les moyens de traiter des données à caractère personnel pour des activités personnelles ou domestiques, l’ingéniosité des opérateurs pourrait décaler la responsabilité y afférente sur d’autres personnes que celles qui en tirent bénéfice. [32]

22 La donnée à caractère personnel, en se répandant, rencontre d’autres régimes juridiques dont la finalité est autre que celle qui préside à la loi de 1978, sans que cette articulation n’ait toujours été clairement pensée.

II. L’ARTICULATION AVEC D’AUTRES PRINCIPES RÉGISSANT LES DONNÉES

23 La porosité de la notion de donnée à caractère personnel conjuguée à celle de traitement permet d’infiltrer les mécanismes de protection dans d’autres champs du droit ayant à traiter de données. Or, cette tendance invasive est de nature à susciter certaines « frictions » avec des règles dont les objectifs peuvent contrarier ceux du régime de la loi de 1978. On peut, entre autres, déceler deux tendances très opposées – celle de la fluidité et de l’ouverture d’une part (B), et celle reflétant des velléités de surveillance et de contrôle, d’autre part (A) – également susceptibles d’entrer en conflit avec les pouvoirs que la loi de 1978 confère aux individus sur le destin des données qui les concernent.

A. Extension de la protection des données à caractère personnel et libre circulation de la donnée

24 Au titre de la libre circulation, les visées peuvent être de nature différente selon l’activité des « responsables de traitement ». Alors que la fluidité (1.) apparaît comme une préoccupation majeure des opérateurs commerciaux gérant des flux de données, celle d’ouverture (2.) répond souvent à des logiques de partage guidées par l’intérêt général. Également ce double prisme correspond à des problématiques différentes : l’objectif de fluidité porte sur la nécessité de permettre la circulation d’un ensemble d’informations sans créer d’entrave par une protection excessive d’une partie des données contenues dans cet ensemble, la donnée à caractère personnel n’étant pas, en soi, l’objet de la transaction ; quant à l’objectif d’ouverture, il vise spécifiquement à « publiciser » les données personnelles à raison de l’intérêt même de leur diffusion en tant que telles.

1. Extension de la donnée et fluidité

25 Les données font toujours davantage l’objet de transactions, ce qui pousse les opérateurs à réclamer plus de souplesse dans la circulation des informations qu’ils traitent, quand bien même certaines d’entre elles seulement répondraient à la qualification de données à caractère personnel. Or, on a vu que des données a priori non visées par la protection pouvaient, par croisement, devenir « individualisantes », les capacités prodigieuses de traitement rendant plus aisées ces recoupements auparavant exagérément difficiles et coûteux. Le dispositif légal existant répond assez maladroitement à cette préoccupation tant elle est orthogonale avec la prétention de l’individu de pouvoir exercer les droits qui lui sont reconnus sur « ses » données, tels que le droit d’opposition, de rectification ou le droit d’effacement.

26 Il y a là comme une incompatibilité systémique entre un mécanisme qui absorbe de manière massive des informations relativement indifférenciées et dont l’agrégation et le croisement constituent la valeur économique et la prétention individuelle de la personne à suivre et contrôler certaines seulement de ces informations au sein de l’ensemble constitué [33]. Donnée isolée versus agrégat ; capacité d’individualisation versus Big data. Le problème tient ici à trouver des solutions visant à permettre aux opérateurs de tirer parti de la valeur que peut créer le rapprochement des données entre elles, pour proposer des produits ou services souvent nouveaux et plus proches des attentes du consommateur, sans que les intérêts de ce dernier ne prévalent sur ceux de l’individu qu’il est aussi. En d’autres termes, la patrimonialisation de la donnée ne doit pas se faire au détriment des droits et libertés garanties aux personnes.

27 La conciliation de ces deux logiques antagonistes est d’abord recherchée dans une invocation presque « magique » à divers procédés techniques censés assurer une liberté de circulation de la donnée tout en garantissant les droits de la personne. Il est, par exemple, renvoyé aux méthodes d’anonymisation des données ; en effet, dès lors que le lien d’identification ou de ré-identification entre la donnée et l’individu ne peut être opéré, celle-ci ne peut pas être qualifiée de données à caractère personnel et la loi de 1978 ou les textes européens n’ ont pas vocation à s’appliquer. Le considérant 26 du RGPD établit d’ailleurs qu’« il n’y a dès lors pas lieu d’appliquer les principes relatifs à la protection des données aux informations anonymes, à savoir les informations ne concernant pas une personne physique identifiée ou identifiable, ni aux données à caractère personnel rendues anonymes de telle manière que la personne concernée ne soit pas ou plus identifiable. Le présent règlement ne s’applique, par conséquent, pas au traitement de telles informations anonymes, y compris à des fins statistiques ou de recherche. » L’équation semble simple en théorie ; il suffirait de passer les données dans un système d’anonymisation pour obtenir l’équilibre recherché en soustrayant purement et simplement lesdites données de l’emprise de la loi – par une lecture a contrario de son champ d’application [34]. Ainsi la « contrainte » juridique serait purgée en amont, au sein même de l’architecture et la circulation serait libérée en aval.

28 Malheureusement, les choses sont plus compliquées en pratique et l’essentiel des experts [35] considère illusoire la possibilité d’une anonymisation « totale » des données, en dépit même des efforts que pourraient entreprendre les acteurs économiques. En effet, la difficulté tient à ce que l’anonymisation « amont » de la donnée par celui qui la collecte et la traite ne garantit nullement que, par recoupement, il ne soit néanmoins pas possible, en aval, de ré-identifier la personne en question.

29 Ce grief peut être généralisé à l’encontre de l’ensemble des techniques de privacy by design[36] qui sont actuellement promues comme la réponse à cette impossible équation. Certes, il est louable que les acteurs s’emparent le plus précocement possible de la question de la protection des données à caractère personnel dans l’architecture même des objets qu’ils produisent ou des services qu’ils prestent et prévoient l’ensemble des procédures qui permettent aux individus de recueillir l’information nécessaire à l’exercice de leurs droits – accountability - mais il est vain de penser que ces questions peuvent être résolues à travers des systèmes techniques d’anonymisation. Pas davantage l’instauration de systèmes de protection des données « par défaut [37] » ou du principe de minimisation ne sont de nature à juguler tout risque de ré-identification des données. En outre, la mise en place de tels mécanismes peut s’avérer extrêmement coûteuse et engendrer des ruptures concurrentielles favorisant les acteurs économiques puissants au détriment des plus petites structures.

30 De manière a priori plus convaincante, la garantie d’un meilleur équilibre entre les logiques de circulation et celle de protection peut être recherchée dans l’accompagnement par l’individu de la mobilité de ses données. Ainsi l’article 20 du RGPD s’attache à assurer la portabilité des données de façon à pouvoir migrer d’un service à un autre, sans être captif d’un environnement « propriétaire » ; si le dispositif apparaît comme un droit de l’individu à la portabilité, il constitue également un mécanisme de régulation concurrentielle permettant à l’individu de choisir entre des services, sans craindre une « appropriation » de ses données par les opérateurs qui les ont initialement collectées. Bien que satisfaisant en ce qu’il associe pleinement l’individu à la circulation de ses données, le système est cependant loin de pouvoir traiter de l’ensemble des frictions qu’entretiennent les logiques du traitement de masse opéré par des « plateformes » avec la protection des données personnelles.

31 Or, les questions demeurent ouvertes, notamment sur le point, très sensible, de la responsabilité des intermédiaires techniques dans le traitement des données. En effet, la loi française ne dit rien à ce sujet et le RGPD utilise une formule byzantine pour énoncer qu’il s’applique « sans préjudice de la directive 2000/31/CE, et notamment de ses articles 12 à 15 relatifs à la responsabilité des prestataires de services intermédiaires. » Partant, les questions relatives à la responsabilité sont susceptibles de se manifester autour de la qualification de traitement réalisé par ces prestataires au regard de la LCEN.

32 Certes, la cour d’appel de Montpellier [38] a, par deux fois, considéré que constituait un traitement de données à caractère personnel le fait, pour un hébergeur de blog, de stocker, organiser et diffuser les informations des personnes physiques y déposant leurs commentaires. On sait, par ailleurs, que les moteurs de recherche sont désormais sous le joug de la loi, notamment à travers la jurisprudence Costeja et ses suites. Les réseaux sociaux également ne peuvent échapper à raison de leur statut éventuel d’hébergeur à la responsabilité pour le traitement des données de leurs abonnés [39] même si ces derniers interviennent dans un cadre « personnel ». Pareillement, le Groupe de l’article 29 [40] se montre très exigeant à l’égard des opérateurs de télécommunications, estimant qu’ils sont responsables de traitement pour les données relatives au trafic et à la facturation, même si l’émetteur du message demeure le responsable de traitement à titre principal.

33 Toutefois, hormis les questions relatives à l’application géographique de la législation, la mise en œuvre de la loi de 1978 pose la question du critère déclenchant l’éventuelle responsabilité de ces prestataires. Dans l’arrêt Costeja, la CJUE a jugé que la société Google était un responsable de traitement [41] dans l’exploitation du moteur de recherche pour les opérations de recherche, d’indexation et de stockage temporaire et que ces traitements s’ajoutaient à ceux opérés par les éditeurs des sites qui étaient également des responsables de traitement au titre de la diffusion des données à caractère personnel, procédant à une analyse « segmentée » des actes réalisés [42].

34 Toutefois la discussion autour du pouvoir de décision et de la connaissance du prestataire sur le contenu d’origine qu’il contribue à véhiculer demeure une source de fragilité éventuelle ; ainsi de la question des hébergeurs, responsables à titre secondaire du maintien en ligne de données à caractère personnel figurant sur des forums de discussions, mais pas nécessairement à titre primaire, du fait du traitement seulement « technique » des données réalisées, sans parler de l’argument de la liberté d’expression [43] qui peut être brandi par ces opérateurs.

35 Si, en effet, la source initiale de diffusion des données est difficile à appréhender, il est essentiel que ceux qui contribuent à en assurer la visibilité et, donc, participent à cette propagation puissent être sollicités pour limiter les effets négatifs qu’elle engendre pour la personne concernée, quand bien même ils ne seraient pas « responsables » à titre principal du message véhiculé. Il ne suffit pas, là encore, de traiter le mal en amont, il faut pouvoir agir contre ses extensions avec autant d’efficacité et de rapidité que nécessaire, eu égard à l’effet de caisse de résonnance que de telles intermédiations occasionnent. Or, il est à craindre que le mécanisme de responsabilité des intermédiaires issu de la directive e-commerce que revendiquent certaines plateformes ne vienne compliquer à l’excès la mise en œuvre des droits conférés par la loi de 1978 aux individus ; l’exemple du droit d’auteur est, à cet égard, parlant, les titulaires de droits se plaignant amèrement de la difficulté, du coût et de l’inefficacité relative des procédures de notification.

36 Dès lors, même si le paquet « données à caractère personnel » s’est efforcé d’appréhender ces besoins de conciliation entre la protection de l’individu et la circulation du capital informationnel, notamment en supprimant pour les opérateurs les obligations de déclaration préalable pour y préférer un mécanisme de responsabilité ex post, il y parvient de manière assez peu concluante, tant il est schizophrène de demander aux opérateurs de mettre en place eux-mêmes les moyens susceptibles d’aller à l’encontre de leur intérêt de court terme. Certes, l’alourdissement substantiel des pouvoirs de la CNIL pour prononcer des amendes, la mobilisation de l’action de groupe et les effets de réputation face à un public de plus en plus conscient des difficultés que posent les traitements des données peuvent conduire, progressivement, à établir une culture « responsable » de la donnée personnelle mais le pari est audacieux et les forces centrifuges nombreuses.

37 L’autre aspiration à la circulation, liée au souci « d’ouverture » des données est, elle aussi, abordée de manière seulement parcellaire.

2. Extension de la protection des données à caractère personnel et ouverture

38 L’autre logique susceptible de s’opposer à l’exercice des droits conférés par la loi du 6 janvier 1978 est relative à la politique d’ouverture des données, autrement appelée, en bon français, « open data ». Le sentiment se répand, au sein de l’État, comme d’ailleurs de la société civile, qu’un meilleur accès à l’information est source de richesse et d’innovation et que, dès lors, il convient d’organiser des modalités de mise en partage de ces données, soit de manière autoritaire, soit de manière volontaire. L’État, tout particulièrement, se montre soucieux de réguler la politique de diffusion des données publiques et ceci depuis la mise en place, - également en 1978, mais cette fois le 17 juillet - de la loi dite « CADA ». Or, nombre de données publiques contiennent elles-mêmes des données à caractère personnel, comme les listes électorales, les fichiers recensant les bénéficiaires de prestations, le cadastre, ce qui devrait conduire à articuler ex ante les deux préoccupations. Bien qu’un protocole soit intervenu entre la CNIL et la CADA (Commission d’accès aux documents administratif), cette combinaison est loin d’être aboutie [44], comme en témoigne d’ailleurs le projet enterré de fusion des deux autorités administratives.

39 La complexité s’est même aggravée depuis quelques années, en raison de la propagation conjointe des données à caractère personnel et d’une impulsion politique favorisant une plus grande ouverture des données publiques [45]. En effet, l’État, mais aussi l’Union européenne [46] , se sont engagés dans une stratégie de diffusion des données publiques et de valorisation des données d’intérêt général susceptible d’entrer en contradiction avec les droits reconnus aux individus au titre de la loi de 1978.

40 Initiée par la création d’une mission Etalab [47] chargée de la création d’un portail unique interministériel des données publiques, data.gouv.fr, et de la coordination de la politique d’ouverture des données des administrations de l’État, la politique d’Open Data a trouvé son point d’orgue dans la loi pour une République numérique adoptée le 7 octobre 2016 dont l’exposé des motifs fait figurer, parmi ses objectifs, de « renforcer et élargir l’ouverture des données publiques ». Or l’articulation entre ces deux aspirations - l’ouverture des données publiques, d’une part et la protection des données à caractère personnel, d’autre part – n’est, opérée, que de façon très approximative, sans que les modalités pratiques de mise en œuvre de la conciliation ne soient clairement prévues. Pourtant, les objectifs poursuivis peuvent être antithétiques, tant la diffusion des données publiques répond parfois à des aspirations très éloignées du respect de la vie privée des individus que ces données publiques sont susceptibles de révéler. Ainsi, par exemple [48], de la politique relative à la mise à disposition du public des décisions de justice, laquelle est porteuse de multiples promesses dont celle, très légitime, de l’amélioration de l’accès au droit et à la justice, qui entrent frontalement en conflit avec les envies de discrétion de certains justiciables. Cette conciliation est notamment délicate parce que les solutions d’anonymisation en amont ne sont pas satisfaisantes et que l’objectif d’accessibilité au droit suppose d’éventuels re-traitements de paquets de données afin d’en obtenir des informations utiles, traitements souvent opérés par des acteurs privés.

41 La mission [49] confiée à monsieur le professeur Cadiet à propos de l’Open Data des décisions de justice prévu aux articles 20 et 21 de la loi du 7 octobre 2016 souligne très précisément les difficultés d’articulation de ces deux politiques. Cet auteur relève, par exemple, que la loi renvoie en grande partie au pouvoir réglementaire cette charge de l’articulation, « le seul élément apporté (par la loi) est d’ordre méthodologique en ce que les articles imposent de réaliser, avant la diffusion des décisions, une analyse du risque de réidentification des personnes. Les articles 20 et 21 n’indiquent cependant pas expressément les conséquences juridiques ou techniques qui devraient être tirées des résultats de cette analyse. »

42 Comme l’établit clairement ledit rapport, il paraît nécessaire de toiletter la loi du 6 janvier 1978 pour remplir les objectifs assignés à l’Open data en ce domaine, la mission préconisant notamment (recommandation n° 17, p. 41) de modifier les dispositions des articles 8 et 9 afin de permettre la réutilisation des décisions de justice diffusées dans le cadre de l’Open data : « L’interdiction de traitement de données sensibles ne devrait pas s’appliquer à la réutilisation de ces décisions, à condition, notamment, que ces traitements n’aient ni pour objet ni pour effet la réidentification des personnes concernées. La possibilité de traiter des données relatives aux infractions devrait être ouverte aux réutilisateurs sous la même réserve et sans préjudice d’autres garanties. » Ce souci de garantie contre la ré-identification est louable, mais il est sans doute extrêmement difficile d’aboutir à un résultat opératoire si l’on souhaite à la fois disposer des données utiles et assurer l’absence de ré-identification.

43 Il semble d’autant plus illusoire qu’il s’étend aux « réutilisateurs [50] », la mission souhaitant généraliser le principe d’une interdiction, dans le cadre de la réutilisation, de porter atteinte aux mesures de protection mises en œuvre au stade de la diffusion. En effet, la loi pour une République numérique a pour objet que tout document communicable puisse faire l’objet, non seulement d’une diffusion, mais également d’une libre réutilisation. Ainsi, la réutilisation d’informations publiques est appréhendée comme la suite logique du droit d’accès aux documents administratifs. Partant, il est logique que la protection conférée aux données en amont soit répercutée sur ceux qui opèrent les traitements en aval, lesquels doivent s’interdire de contourner les protections opérées par ceux dont ils tiennent les données. Mais encore une fois, le problème n’est pas celui-ci puisque la ré-identification résulte précisément du croisement de données et le fait que les protections opérées en amont aient été respectées ne signe pas l’impossibilité de ré-identification, comme d’ailleurs le non-respect de ces dernières ne signifie pas nécessairement non plus que la réutilisation permettra cette ré-identification. On le voit, le problème semble difficilement soluble et les avancées législatives en ce domaine encore bien insuffisantes pour parvenir à un équilibre satisfaisant entre ces aspirations opposées.

44 Pas davantage que la conciliation circulation/protection des données à caractère personnel n’est aboutie, celle de la conciliation protection/contrôle n’est assurée.

B. Extension de la protection des données à caractère personnel et contrôle par des tiers

45 On dira, ici, quelques mots seulement d’une problématique extrêmement complexe et qui se décline, à nouveau, selon deux options très différentes : la surveillance, en premier lieu, et la prétention à l’exclusivité, en second lieu. La volonté de contrôle des données peut d’abord recouvrir des objectifs de surveillance des individus, notamment liés à des politiques de lutte contre la criminalité, le terrorisme, les atteintes à la sûreté de l’État (1). Elle ressortit également d’ambitions moins régaliennes visant à assurer à un opérateur une exclusivité sur les données traitées et d’en tirer une valeur accrue (2).

1. Extension de la donnée et surveillance

46 La protection des données à caractère personnel est potentiellement menacée par les procédures de surveillance et de contrôle des individus légitimées par des considérations de maintien de l’ordre public ou de sécurité publique. On connaît depuis longtemps cette problématique avec les fichiers de sécurité [51] ; les écoutes [52], la vidéosurveillance ou la vidéoprotection.

47 Le développement des moyens de communication et la numérisation de nos relations ont accru la potentialité de surveillance des individus, notamment via l’interception des communications téléphoniques ou des métadonnées, et la géolocalisation [53]. De nouvelles techniques d’investigation judiciaire sont nées avec les dernières évolutions technologiques ou se sont adaptées à l’ère numérique. Le législateur a, à plusieurs reprises, souhaité améliorer les moyens d’enquête des services de police et de justice afin de les adapter à la lutte contre la cyberdélinquance et la cybercriminalité, à travers les lois anti-terroristes ou « renseignement ».

48 Par exemple, face au développement du cloud computing, au recours accru aux tablettes et autres smartphones a été autorisée la perquisition de données stockées à distance ou sur des terminaux mobiles à partir d’un système informatique implanté dans les services de police ou les unités de gendarmerie. On peut également mentionner l’article L. 851-3 du Code de la sécurité intérieure qui autorise l’exploitation, par les opérateurs de communications électroniques et les fournisseurs de services, des informations et documents traités par leurs réseaux afin de détecter des connexions susceptibles de révéler une menace terroriste (détection de « signaux faibles » par la pose de « boîtes noires » chez les opérateurs).

49 Il n’est pas question de rentrer ici dans le détail de l’ensemble des textes qui ont participé à ce mouvement de surveillance digitale mais de s’interroger sur la conciliation opérée avec la protection des données à caractère personnel. En effet, la préoccupation de l’État dans une perspective de contrôle est une logique d’efficacité qui a souvent conduit les textes à permettre aux autorités (et à leurs sous-traitants privés) d’accéder, de traiter, de conserver de manière très – trop ?- généreuse les données les plus larges – données de connexion, données de localisation, métadonnées, lesquelles sont susceptibles de rencontrer la qualification de données à caractère personnel. La loi de 1978 ne répond pas véritablement à ces enjeux qui ont été arbitrés par d’autres lois. C’est essentiellement la jurisprudence qui a procédé à une mise en perspective des objectifs poursuivis au titre de la surveillance et de la protection des données à caractère personnel érigé en modalité d’exercice des droits fondamentaux.

50 À plusieurs occasions, les plus hautes juridictions sont venues corriger cette approche expansionniste pour établir un meilleur équilibre entre objectif de surveillance et libertés individuelles. Ainsi, si le Conseil constitutionnel [54], le 24 juillet 2015, a estimé que la procédure de réquisition administrative des données de connexion détenues et traitées par les opérateurs de communications électroniques ne contrevenait pas à la protection de la vie privée en raison des garanties qui l’accompagnent, il avait jugé, la veille, qu’« en ne définissant dans la loi ni les conditions d’exploitation, de conservation et de destruction des renseignements collectés (…), ni celles du contrôle par la commission nationale de contrôle des techniques de renseignement des autorisations délivrées (…) et de leurs conditions de mise en œuvre, le législateur n’a pas déterminé les règles concernant les garanties fondamentales accordées aux citoyens pour l’exercice des libertés publiques[55] ». Il a ainsi invalidé, entre autres, l’article L. 821-6 du Code de la sécurité intérieure qui instituait une procédure dérogatoire d’installation, d’utilisation et d’exploitation des appareils ou dispositifs techniques de localisation en temps réel d’une personne, d’un véhicule ou d’un objet, d’identification d’un équipement terminal ou du numéro d’abonnement ainsi que de localisation de cet équipement ou d’interception des correspondances émises ou reçues par cet équipement en cas « d’urgence opérationnelle », qui permettait de déroger à la délivrance préalable d’une autorisation par le Premier ministre, Le Conseil constitutionnel a jugé qu’il s’agissait là d’« une atteinte manifestement disproportionnée au droit au respect de la vie privée et au secret des correspondances ».

51 Surtout, la Cour de justice dans son spectaculaire arrêt Digital Rights Ireland[56], en invalidant la directive 2006/24/CE du 15 mars 2006 sur la conservation de données générées ou traitées dans le cadre de la fourniture de services de communications électroniques accessibles au public ou de réseaux publics de communications, a jugé que les règles communautaires régissant la conservation des métadonnées (champ des données concernées, durée) constituaient une ingérence particulièrement grave dans les droits fondamentaux au respect de la vie privée et à la protection des données à caractère personnel protégés par les articles 7 et 8 de la Charte des droits fondamentaux de l’Union européenne.

52 Elle a considéré que si elle était justifiée par des buts d’intérêt général, à savoir la lutte contre le terrorisme et la criminalité organisée, cette ingérence était disproportionnée en couvrant « de manière généralisée toute personne et tous les moyens de communication électronique ainsi que l’ensemble des données relatives au trafic sans qu’aucune différenciation, limitation ni exception ne soient opérées en fonction de l’objectif de lutte contre les infractions graves », en ne prévoyant « aucun critère objectif permettant de délimiter l’accès des autorités nationales compétentes aux données et leur utilisation ultérieure » et en fixant une durée de conservation, sans tenir compte de l’utilité de la conservation par rapport aux objectifs poursuivis.

53 La censure ex post, par la jurisprudence, de dispositions légales, permet de sauvegarder la ratio legis de la loi de 1978, notamment par le jeu des droits fondamentaux. On ne peut toutefois se réjouir de cette intervention a posteriori corrigeant les excès du législateur. Aussi, ne peut-on que faire corps avec la recommandation formulée par la Commission de réflexion et de propositions sur le droit et les libertés à l’âge du numérique dans son rapport, selon laquelle il serait préférable, d’écarter toute exploitation systématique de données personnelles rendues disponibles sur les réseaux et leur croisement avec d’autres informations ou le recours massif et indiscriminé à des technologies intrusives, pour internaliser, en amont des principes de minimisation de traitement. Toutefois, la constitutionnalisation d’un tel principe de « proportionnalité » des traitements des données serait préférable à son insertion dans la loi de 1978, afin d’éviter qu’il ne soit méconnu par d’autres lois se réclamant de l’intérêt supérieur de la sécurité et de l’ordre public.

2. Extension de la donnée et exclusivité

54 La dernière déclinaison des chevauchements de logiques afférentes aux données dont tout ou partie peuvent être qualifiées de données à caractère personnel tient à la prétention d’exclusivité dont se réclament certains opérateurs en quête d’une valorisation de leur capital informationnel. Sans entrer ici dans les délices du débat relatif à la « propriété » des données à caractère personnel de ceux qu’elle concerne [57], il convient toutefois de se faire l’écho des éventuelles revendications propriétaires rivales sur des objets, ensembles, susceptibles de contenir des données à caractère personnel. On pense ici à la propriété intellectuelle mais aussi aux développements qui entourent le « free flow of data » et à l’idée qui germine d’une propriété des données [58] au bénéfice de leur « producteur » [59].

55 S’agissant de la propriété intellectuelle, les conflits avec le droit des données à caractère personnel se sont, jusqu’à présent, essentiellement manifestés à l’occasion de la lutte contre la contrefaçon, l’enjeu étant pour les titulaires de droit d’identifier les contrefacteurs sur internet à travers les adresses IP [60]. Telle n’est pas la perspective à laquelle pourrait ici se rattacher la discussion autour de la revendication « propriétaire » des données. En réalité, elle est double ; il s’agit d’une part des hypothèses dans lesquelles les données à caractère personnel pourraient être, par ailleurs, des objets de propriété intellectuelle ; d’autre part, des situations, plus nombreuses, dans lesquelles un objet de propriété intellectuelle contient des données à caractère personnel.

56 Dans le premier cas, on assisterait à une superposition des notions d’œuvres ou de prestations avec celle de données à caractère personnel. Cette hypothèse n’est pas purement théorique, dans la mesure où une œuvre, ou une prestation d’un artiste interprète par exemple, est rattachée à l’identité de leurs créateurs et peuvent, de ce fait, s’analyser en des données à caractère personnel. Ces situations peuvent recouvrir des œuvres des beaux-arts mais sont particulièrement pertinentes s’agissant des contributions qui témoignent d’une opinion de ceux qui les émettent – articles de journaux, posts de blog, avis de consommateurs – dont la valeur en tant qu’œuvre protégée est parfois discutable mais dont celle d’identification des préférences de la personne qui les écrit est grande. Dans le cas où l’œuvre parle de l’auteur, le cumul de protections empêche la contrariété et il sera loisible à l’auteur d’exiger des tiers qu’ils respectent à la fois le droit de propriété intellectuelle et la protection des données à caractère personnel à l’aide d’outils contractuels, par exemple.

57 Mais il se peut également qu’une œuvre intègre des éléments d’identification de tiers et dans ce cas, le conflit est possible ; notamment lorsqu’un auteur énonce à propos d’une autre personne, une information qui permet de l’identifier. Alors deux logiques antagonistes s’opposent ; celle de l’auteur et de sa volonté de diffuser son œuvre et celle de la personne et de sa volonté de restreindre, le cas échéant, cette diffusion. En réalité, l’arbitrage sera souvent opéré, non pas en relation avec le droit d’auteur mais avec la liberté d’expression, permettant de déterminer si, par exemple, l’intérêt public au traitement journalistique de l’information prime sur l’intérêt de l’individu à contrôler cette même information. Il se peut, toutefois que l’auteur revendique son droit d’auteur pour procéder librement à la reproduction ou à la diffusion de son œuvre, laquelle peut par ailleurs s’analyser en un traitement de données à caractère personnel de tiers. Cette situation va se produire également dans le cas de l’exploitation d’une base de données. Le droit sui generis sur les bases de données confère au producteur un quasi-droit exclusif sur le contenu quantitativement ou qualitativement substantiel du contenu de la base. Il y a donc ici une approche antagoniste entre une revendication propriétaire et une aspiration au contrôle ou à la rétention de certaines données personnelles.

58 Dans ce cas, il conviendrait d’envisager comment concilier l’intérêt patrimonial de l’auteur d’exploiter son œuvre ou le producteur, sa base de données, librement, qui suppose qu’il puisse librement céder ses droits à des tiers pour qu’ils procèdent à des exploitations et l’intervention de l’individu dont les données sont contenues dans l’œuvre ou la base. En théorie, le premier doit évidemment respecter les droits du second mais la mise en œuvre est, là encore, extrêmement, diffuse dans les textes et demeure un impensé.

59 Cette situation de superposition de logiques antagonistes risque de s’accroitre si la Commission poursuit le projet de consacrer un droit de « propriété » du producteur sur les flux de données. Certes, les discussions tournent autour de la propriété de données « non-personnelles », le périmètre étant défini précisément au regard du traitement statistique de données générées par des machines mais, comme il a été démontré, ni l’origine mécanique des données, ni le caractère massif des données traitées n’offre de garantie absolue contre la possibilité d’une ré-identification des personnes. Ainsi, il est à craindre que la création d’un tel droit n’occasionne quelques difficultés supplémentaires du point de vue du droit des données personnelles.

60 Pour conclure, on s’aperçoit que l’extension du domaine de la donnée à caractère personnel percute de plein fouet de nombreuses règles qui visent à établir d’autres régulations des données en général, ou s’allie difficilement avec des modèles d’affaires ancrés dans d’autres logiques. Les diverses lois omettent souvent de prendre en compte ab initio les contraintes liées à la protection des données à caractère personnel. Quand elles le font, les arbitrages réalisés sont souvent approximatifs et ne permettent qu’imparfaitement de répondre aux tensions occasionnées par des logiques contradictoires. En somme, à l’instar de la grenouille qui voulait devenir aussi grosse qu’un bœuf, le dispositif est menacé d’éclatement [61] s’il n’est pas repensé de manière plus transversale. Le chantier est gigantesque mais il est essentiel de le mener, à la fois pour la protection de nos libertés fondamentales et pour entrer, sereins, dans la société digitale.

61 Est-ce assez ? dites-moi ; n’y suis-je point encore ?

62 Nenni. – M’y voici donc ? – Point du tout. – M’y voilà ?

63 - Vous n’en approchez point. « La chétive pécore

64 S’enfla si bien qu’elle creva. »

Notes

  • [1]
    Voir le projet de loi n° 490 déposé par le gouvernement à l’Assemblée nationale le 13 décembre 2017 prévoyant en son article 20 une habilitation à prendre par ordonnance pour procéder :
    1° A la réécriture de l’ensemble de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés afin d’apporter les corrections formelles et les adaptations nécessaires à la simplification et à la cohérence ainsi qu’à la simplicité de la mise en œuvre par les personnes concernées des dispositions qui mettent le droit national en conformité avec le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 et transposent la directive (UE) 2016/680 du Parlement européen et du Conseil du 27 avril 2016, telles que résultant de la présente loi ;
    2° Pour mettre en cohérence avec ces changements l’ensemble de la législation applicable à la protection des données à caractère personnel, apporter les modifications qui seraient rendues nécessaires pour assurer le respect de la hiérarchie des normes et la cohérence rédactionnelle des textes, harmoniser l’état du droit, remédier aux éventuelles erreurs et omissions résultant de la présente loi, et abroger les dispositions devenues sans objet.
  • [2]
    Voir G. Babinet, Big Data, Penser le monde et l’homme autrement, Le Passeur, 2015 qui définit le concept autour de l’existence d’une masse de données traitées par une architecture distribuée tout en rappelant l’approche des trois V : Volume, Vélocité, Variété, ultérieurement complétée par les deux V de Valeur et de Véracité.
  • [3]
    CNIL, 5e rapport d’activité, 1983-1984, Documentation française, 1985.
  • [4]
    CNIL, 7e rapport d’activité, 1986, Documentation française, 1987.
  • [5]
    CJUE, 11 déc. 2014, aff. C-212/13, František Ryneš c/ Úřad pro ochranu osobních údajů.
  • [6]
    Groupe de l’article 29, avis n° 4/2007, 20 juin 2007, WP 136, p. 7.
  • [7]
    Voir, par exemple considérant 30 du RGPD : « Les personnes physiques peuvent se voir associer, par les appareils, applications, outils et protocoles qu’elles utilisent, des identifiants en ligne tels que des adresses IP et des témoins de connexion (« cookies ») ou d’autres identifiants, par exemple des étiquettes d’identification par radiofréquence. Ces identifiants peuvent laisser des traces qui, notamment lorsqu’elles sont combinées aux identifiants uniques et à d’autres informations reçues par les serveurs, peuvent servir à créer des profils de personnes physiques et à identifier ces personnes. »
  • [8]
    CJUE, 19 octobre 2016, aff. C-582/14, Breyer c/ Bundesrepublik Deutschland.
  • [9]
    C. Cass. 1re civ., 3 nov. 2016, nº 15-22.595.
  • [10]
    B. Pautrot, « Adresse IP : victoire du relativisme sur les dogmatismes quant à la qualification de données à caractère personnel », RLDI nº 134, 1er février 2017.
  • [11]
    CJCE, 20 mai 2003, aff. C-465/00, C-138/01 et C-139/01, Österreicher Rundfunk, point 64, CCE, 2003, act. 124, note. R. Munoz ; CJUE, 30 mai 2013, aff. C-342/12, Worten ; Europe 2013, comm. 291, note J. Dupont-Lassalle.
  • [12]
    CJCE, 16 déc. 2008, aff. C-73/07, Satakunnan Markkinapörssi Oy et a. ; CJUE, 1er oct. 2015, aff. C-201/14, Smaranda Bara et a., AJDA 2015 p. 2257, chron. E. Broussy, H. Cassagnabère et C. Gänser ; CCE, 2016, comm. 7, note A. Debet ; Gaz. cnes, 21 mars 2016, p. 62, note P. Salen et R. Perray.
  • [13]
    CNIL, délibération n° 2006-067, 16 mars 2006 ; Norme simplifiée n° 51 ; CNIL, délibération n° 2010-096, 8 avr. 2010 ; Cass. soc., 3 nov. 2011, n° 10-18.036, Sté Moreau incendies c/ Decaen ; JCP G 2011, act. 1284, obs. N. Dedessus-Le-Moustier ; JCP S 2012, n° 6, 1054, obs. G. Loiseau ; CCE, 2012, comm. 32, obs. A. Lepage.
  • [14]
    CNIL, délibération n° 2011-035, 17 mars 2011, CCE, 2012, étude 1, A. Debet.
  • [15]
    Règlement 2016/679 du 27 avr. 2016, ci-après RGPD considérant n° 26 ; voir à propos de l’adresse IP, CJUE, 19 octobre 2016, aff. C-582/14, Breyer c/ Bundesrepublik Deutschland points 45 et 46 « Il convient cependant de déterminer si la possibilité de combiner une adresse IP dynamique avec lesdites informations supplémentaires détenues par ce fournisseur d’accès à Internet constitue un moyen susceptible d’être raisonnablement mis en œuvre pour identifier la personne concernée. (...) tel ne serait pas le cas si l’identification de la personne concernée était interdite par la loi ou irréalisable en pratique, par exemple en raison du fait qu’elle impliquerait un effort démesuré en termes de temps, de coût et de main-d’œuvre, de sorte que le risque d’une identification paraît en réalité insignifiant. »
  • [16]
    J. Frayssinet, « La protection des données personnelles », in A. Lucas, J. Devèze et J. Frayssinet, Droit de l’informatique et de l’internet : PUF, 2001, n° 122 : « l’accumulation de termes montre la volonté de donner un sens large au mot traitement ». Aucun seuil minimal n’étant requis par la loi, la moindre opération effectuée sur des données personnelles même si elles ne concernent qu’un seul individu entre dans son champ d’application, v. Cass. crim., 8 septembre 2015 ; Gaz. Pal. 3 nov. 2015, n° 307, p. 32, E. Dreyer, St. Detraz ; Dr. pén. 2015, chron. 10, obs. A. Lepage ; CCE, 2016, comm. 18, obs. A. Debet ; CCE, 2016, étude 10, J. Uzan-Naulin et R. Perray.
  • [17]
    Le RGPD ajoute à cette énumération la « limitation » entendue comme « le marquage de données à caractère personnel conservées, en vue de limiter leur traitement futur » ; article 4 paragraphe 3.
  • [18]
    T. com. Paris, 1re ch., 28 janv. 2014, M. X. c/ Google Inc. et Google France ; RLDI avr. 2014, n° 103, n° 3438, p. 57, obs. L. Costes ; RLDI juin 2014, n° 3494, p. 36, note M. Combe.
  • [19]
    RGPD : article 4 paragraphe 6 : « fichier », tout ensemble structuré de données à caractère personnel accessibles selon des critères déterminés, que cet ensemble soit centralisé, décentralisé ou réparti de manière fonctionnelle ou géographique.
  • [20]
    « Toute personne dispose du droit de décider et de contrôler les usages qui sont faits des données à caractère personnel la concernant, dans les conditions fixées par la présente loi ».
  • [21]
    Selon l’expression utilisée dans le rapport du Conseil d’Etat ; CE, Étude annuelle 2014. Le numérique et les droits fondamentaux : Doc.fr. 2014, coll. Les rapports du Conseil d’État, p. 264 s.
  • [22]
    Cass. crim., 14 mars 2006 ; RLDI 2006, n° 16, n° 471, note J. Le Clainche ; RLDI 2006, n° 17, n° 498, note P. Belloir ; CCE, . 2006, comm. 131, A. Lepage.
  • [23]
    CE, 11 mai 2015, n° 375669, Société Renault Trucks ; RLDI juin 2015, n° 3774, p. 34, obs. L. Costes ; LPA juill. 2015, n° 137, p. 4, obs. M.-C. Rouault ; CCE, 2015, comm. 84, note A. Debet.
  • [24]
    CJCE, 16 déc. 2008, aff. C-73/07, Satakunnan Markkinapörssi Oy et a., point 37.
  • [25]
    CJUE, 8 avr. 2014, aff. C-293/12 et C-594/12, Digital Rights Ireland Ltd, point 29 ; Gaz. Pal. 17 avr. 2014, n° 107, p. 3, obs. C. Kleitz ; RLDI mai 2014, n° 104, n° 3426, p. 36, note E. Derieux ; D. 2014, p. 1355, note C. Castets-Renard.
  • [26]
    CJCE, 6 nov. 2003, aff. C-101/01, Linqvist, point 27 ; Rev. Lamy dr. civ. janv. 2004, p. 29, note G. Marraud des Grottes ; CCE, . 2004, comm. 46, note R. Munoz ; D. 2004, p. 470 ; D. 2004, p. 1062, obs. Burgogue-Larsen ; Rev. sc. crim. 2004, p. 712, obs. L. Idot.
  • [27]
    CJUE, 13 mai 2014, aff. C-131/12, Google Spain SL, Google Inc. c/ AEPD et Mario Costeja González ; JCP G 2014, 629, obs. F. Picod ; JCP E 2014, n° 24, 1326, note M. Griguer ; JCP E 2014, n° 24, 1327, note G. Busseuil ; Gaz. Pal. 19 juin 2014, n° 170, p. 3, obs. C. Kleitz ; D. 2014, p. 1477, note V.-L. Bénabou et J. Rochfeld ; D. 2014, p. 1481, note N. Martial-Braz et J. Rochfeld ; JCP G 2014, n° 26, 768, note L. Marino ; RLDI juill. 2014, n° 3535, p. 68, note C. Castets-Renard ; RLDI juill. 2014, n° 3536, p. 76, note D. Forest ; RLDI juill. 2014, n° 3537, p. 87, note A. Casanova ; CCE, 2014, étude 13, A. Debet ; Gaz. Pal. 12 sept. 2014, n° 183, p. 9, note G. Demalafosse ; RLDI août-sept. 2014, n° 107, n° 3550, p. 32, note O. Pignatari ; RLDI août-sept. 2014, n° 107, n° 3569, p. 92, note J. Le Clainche ; RLDI nov. 2014, n° 109, n° 3609, p. 35, note P. Salen et R. Perray ; CCE, 2015, étude 10, J.-M. Bruguière.
  • [28]
    Cass. crim., 6 juill. 1994 ; Expertises 1994, p. 317, note A. Weber ; CNIL, 15e rapport d’activité, 1994, p. 467 à propos de l’édition sur support papier d’une liste de malades d’un hôpital.
  • [29]
    Cass. crim., 30 nov. 2011 ; Dr. pén. 2012, comm. 10, 2e esp., obs. J.-H. Robert ; LPA 17 avr. 2012, n° 77, p. 4, note M.-E. Boursier-Mauderly.
  • [30]
    CE, 14 déc. 2015, n° 380847, M. B.
  • [31]
    Article 4 de la loi de 1978 modifiée en 2004 : « Les dispositions de la présente loi ne sont pas applicables aux copies temporaires qui sont faites dans le cadre des activités techniques de transmission et de fourniture d’accès à un réseau numérique, en vue du stockage automatique, intermédiaire et transitoire des données et à seule fin de permettre à d’autres destinataires du service le meilleur accès possible aux informations transmises ».
  • [32]
    CJUE, 11 déc. 2014, aff. C-212/13, František Ryneš c/ Úřad pro ochranu osobních údajů, point 33. V. Fasc. 274-10, R. Peray : Pour l’heure, et d’après la Cour de justice de l’Union européenne, le régime dérogatoire en cas de traitement à des fins d’activités exclusivement personnelles ou domestiques ne s’applique en tous les cas pas à un système de caméras, donnant lieu à un enregistrement vidéo des personnes stocké dans un dispositif d’enregistrement continu tel qu’un disque dur, dans la mesure où – bien qu’installé par un particulier – il « s’étend, même partiellement, à l’espace public et, de ce fait, est dirigé vers l’extérieur de la sphère privée ».
  • [33]
    V.-L. Benabou, J. Rochfeld, A qui profite le clic ? Ed. O. Jacob, 2015.
  • [34]
    Voir le projet de loi modifiant l’article 8 de la loi : 5° Au III, la première phrase est remplacée par la phrase suivante : « Ne sont également pas soumises à l’interdiction prévue au I les données à caractère personnel mentionnées au I qui sont appelées à faire l’objet, à bref délai, d’un procédé d’anonymisation préalablement reconnu conforme aux dispositions de la présente loi par la Commission nationale de l’informatique et des libertés. »
  • [35]
    Y.-A. de Montjoye, L. Radaelli, V. Kumar Singh et A. Pentland, « Unique in the shopping mall : on the reidentifiability of credit card metadata », Science, 30 janvier 2015 : Une étude réalisée par des chercheurs du Massachusetts Institute of Technology a par exemple mis en évidence, dans le cadre d’un travail réalisé sur les transactions des cartes bancaires d’1,1 million de personnes ne comportant aucun élément d’identification, que quatre données spatio-temporelles (coordonnées géographiques, dates, heures) permettaient à elles seules de réidentifier 90 % des individus.
  • [36]
    Ph. Pucheral, A. Rallet, F. Rochelandet, C. Zolynski, « La Privacy by design : une fausse bonne solution aux problèmes de protection des données personnelles soulevés par l’Open data et les objets connectés ? » Legicom 2016/1, n° 56.
  • [37]
    Article 25 du RGPD.
  • [38]
    CA Montpellier, 5e ch., sect. A, 15 déc. 2011, n° 11/02945, Jean-Marc D. c/ JFG Networks : RLDI janv. 2012, n° 78, n° 2644, p. 59, note L. Costes ; CCE, 2012, comm. 41, note A. Debet ; CA Montpellier, 3e ch. B, 22 mars 2017, n° 15-17.729, M. X. c/ Overblog.
  • [39]
    CNIL, Délib. n° 2017-006, 27 avr. 2017, prononçant une sanction pécuniaire à l’encontre des sociétés Facebook Inc. et Facebook Ireland.
  • [40]
    Avis n° 1/2010, 16 févr. 2010, sur les notions de « responsable du traitement » et de « sous-traitant » [WP 169].
  • [41]
    V.-L. Benabou et J. Rochfeld, « Les moteurs de recherche, maîtres ou esclaves du droit à l’oubli numérique ? », D. 2014, p. 1476.
  • [42]
    N. Mettalinos, « E-réputation, Vers une garantie du pseudonymat sur les forums de discussion ? », CCE, n° 5, Mai 2017, comm. 48.
  • [43]
    Voir article 85 RGPD et, récemment, Cass. 1re civ., 12 mai 2016, n° 15-17.729, M. Stéphane et Pascal X. c/ Les Échos ; CCE, 2016, comm. 6, N. Mettalinos ; Légipresse 2016, n° 341, p. 479, note N. Verly ; RLDI 129/2016, p. 9, note P. Mouron ; CCE, 2016, Fiche pratique 14, P. Sergeant ; Expertise des systèmes d’information, juill. 2016, n° 415, p. 267, note Ch. de Reuzy et K. Rihahi.
  • [44]
    CE, 19 mai 1983, n° 40680, Bertin ; Dr. adm. 1983, comm. 223 ; D. 1983, jurispr. p. 546, note H. Maisl et C. Wiener ; RDP 1983, p. 1086, concl. R. Denoix de Saint-Marc.
  • [45]
    V. N. Colin et H. Verdier, L’âge de la multitude. Entreprendre et gouverner après la révolution numérique, Armand Colin, 2015 (2e édition).
  • [46]
    V. article 86 du RDPD et déclaration du Conseil de l’Union européenne du 9 octobre, RLDI, Nº 142, 1er novembre 2017 : « Les informations du secteur public constituent une source importante de connaissance et d’innovation dans le secteur privé et contribuent à la création de services numériques plus performants au bénéfice des citoyens et des entreprises partout en Europe. »
  • [47]
    Décret n° 2011-194 du 21 février 2011 portant création d’une mission « Etalab ».
  • [48]
    On pourrait également mentionner la politique d’ouverture des archives ayant fait l’objet d’une récente consécration constitutionnelle, Décision n° 2017-655 QPC du 15 septembre 2017 ; le Conseil constitutionnel ayant jugé que l’article 15 de la Déclaration de 1789, selon lequel « La société a le droit de demander compte à tout agent public de son administration », garantit « le droit d’accès aux documents d’archives publiques » ; v. précédemment, la jurisprudence relative à « Notrefamille.com » ; TAClermont-Ferrand, 13 juill. 2011, n° 1001584 : AJDA 2012, p. 375, note D. Connil ; contra CAALyon, 4 juill. 2012, n° 11LY02325 et n° 11LY2326 ; Gaz. Pal. 13 sept. 2012, n° 257, p. 28 ; JCP A 2012, n° 40, 2318, note J.-M. Bruguière et CE, SSR., 14 septembre 2015, refusant de déférer une question prioritaire de constitutionnalité au Conseil constitutionnel.
  • [49]
    http://www.justice.gouv.fr/publication/open_data_rapport.pdf : L’open data des décisions de justice, mission d’étude et de préfiguration sur l’ouverture au public des décisions de justice, rapport sous la direction de Loïc Cadiet, remis à madame la garde des Sceaux en novembre 2017.
  • [50]
    V. Caveat de la CNIL, la CADA, la DILA et ETALAB publié conjointement en 2015 qui indique en particulier aux réutilisateurs que lorsque les données personnelles contenues dans une information publique « ont, préalablement à leur diffusion, fait l’objet d’une anonymisation totale ou partielle [il s’agit ici de pseudonymisation], conformément à des dispositions légales ou aux recommandations de la CNIL, la réutilisation ne peut avoir pour objet ou pour effet de réidentifier les personnes concernées. »
  • [51]
    CNIL, Rapport d’activité 2012, TAJ : un nouveau fichier d’antécédents pour remplacer le STIC et le JUDEX, pp. 22 - 23. Sur la vidéosurveillance et la vidéoprotection, voir : CNIL, Rapport d’activité 2012, Vidéosurveillance / vidéoprotection : les bonnes pratiques pour des systèmes plus respectueux de la vie privée, pp. 40 - 41 et Rapport d’activité 2013, Vidéoprotection : bilan de trois ans de contrôles.
  • [52]
    CEDH, 6 septembre 1978, Klass et autres c. Allemagne ; CEDH, 24 avril 1990, Kruslin c. France, n° 11801/85 ; la CEDH estime que « les écoutes et autres formes d’interception des entretiens téléphoniques représentent une atteinte grave au respect de la vie privée et de la correspondance. Partant, elles doivent se fonder sur une « loi » d’une précision particulière. L’existence de règles claires et détaillées en la matière apparaît indispensable, d ’ autant que les procédés techniques utilisables ne cessent de se perfectionner ».
  • [53]
    Voir sur l’ensemble de ces questions : Numériques et libertés, un nouvel âge démocratique, Rapport d’information déposé par la Commission de réflexion et de propositions sur le droit et les libertés à l’âge du numérique, http://www.assemblee-nationale.fr/14/rapports/r3119.asp ; particulièrement p. 151 à 171.
  • [54]
    Décision n° 2015-478 QPC du 24 juillet 2015, Accès administratif aux données de connexion.
  • [55]
    Décision n° 2015-713 DC du 23 juillet 2015, Loi relative au renseignement, considérants 76 à 79.
  • [56]
    CJUE, 8 avril 2014, Digital Rights Ireland et Seitlinger, C-293/12 et C-594/12.
  • [57]
    V. Notamment, V. Peugeot, « Données personnelles : sortir des injonctions contradictoires », 2014, https://vecam.org/archives/article1289.html ; Rapport du CNNUM sur la neutralité des plateformes, 2014, https://cnnumerique.fr/files/2017-09/CNNum_Rapport_Neutralite_des_plateformes.pdf ; J. Rochfeld, « Contre l’hypothèse de la qualification des données en tant que biens », in Les biens numériques, PUF, 2015, pp. 214-228 ; Les géants de l’internet et l’appropriation des données personnelles : plaidoyer contre la reconnaissance de leur « propriété », in L’effectivité du droit face à la puissance des géants de l’Internet, M. Behar-Touchais (dir.), IRJS-éditions, 2015, pp. 73-87 ; N. Purtova, Property Rights in Personal Data. A European Perspective, Kluwer Law International 2012.
  • [58]
    B. Hugenholtz, “Data Property : Unwelcome Guest in the House of IP”, https://www.ivir.nl/publicaties/download/Data_property_Muenster.pdf ; T. Hoeren, “Big Data and the Ownership in Data : Recent Developments in Europe”, European Intellectual Property Review 2014, p. 751-754 ; A. De Franceschi & M. Lehmann, “Data as tradable commodity and new measures for their protection”, Italian Law Journal 2015, p. 51-72 ; H. Zech, “A Legal Framework for a Data Economy in the European Digital Single Market : Rights to Use Data”, Journal of Intellectual Property Law & Practice, 2016 ; p. 460-470.
  • [59]
    Commission européenne, Building A European Data Economy, Communication de la Commission au Parlement européen, au Conseil et au Comité économique et social et au Comité des régions, 10 janvier 2017, COM (2017) 9 final et Document de travail de la Commission européenne, European Commission, « free flow of data and emerging issues of the European data economy », Bruxelles, 10 janvier 2017, SWD (2017) 2 final.
  • [60]
    V.-L. Benabou, « Droit d’auteur versus vie privée (et vice versa) », Propriétés Intellectuelles, n° 16, 2005, p. 269-276.
  • [61]
    Voir G. Babinet, Big Data, penser le monde et l’homme autrement. Le Passeur, 2015 citant Fremont Rider qui évoquait dès 1944 le phénomène d’explosion des données.
Valérie Laure Benabou
Professeur à l’Université d’Aix-Marseille
Cette publication est la plus récente de l'auteur sur Cairn.info.
Mis en ligne sur Cairn.info le 12/06/2018
https://doi.org/10.3917/legi.059.0003
Pour citer cet article
Distribution électronique Cairn.info pour Victoires éditions © Victoires éditions. Tous droits réservés pour tous pays. Il est interdit, sauf accord préalable et écrit de l’éditeur, de reproduire (notamment par photocopie) partiellement ou totalement le présent article, de le stocker dans une banque de données ou de le communiquer au public sous quelque forme et de quelque manière que ce soit.
keyboard_arrow_up
Chargement
Chargement en cours.
Veuillez patienter...