La protection des données à caractère personnel

La protection des données personnelles circulant dans et à partir de l’Union européenne Loi du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés modifiée par la loi du 6 août 2004 relative à la protection des personnes physiques à l’égard des traitements de données à caractère personnel.

Directive 95/46/CE du 24 octobre 1995 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et la libre circulation de ces données.

Une liberté de plus en plus souvent invoquée a pour objet la circulation de l’information.

Sa pertinence dans le domaine du commerce a sensiblement augmenté avec l’émergence des nouvelles technologies. La possibilité de diffuser à peu de frais des publicités non sollicitées par courrier électronique (spamming) et celle de faire des offre de ventes ciblées par la technique dite du push incitent les commerçants à utiliser des bases de données constituées à cet effet (data-mining et data-warehouses), d’autant plus pertinentes qu’elles s’appuient elles-mêmes sur des techniques de collecte de l’information particulièrement performantes, par exemple au moyen de cookies.

La libre circulation de l’information ne fait l’objet d’aucune disposition spécifique du traité CE. Elle se manifeste pourtant de plus en plus fréquemment en droit communautaire.

Certes, la liberté d’expression, du seul fait qu’elle est énoncée à l’article 10 de la Convention de sauvegarde des droits de l’homme et des libertés fondamentales, figure parmi les principes généraux du droit communautaire.

La directive du 24 octobre 1995, transposée par la loi du 6 août 2004 a pour objet essentiel d’assurer cette libre circulation, disposant que les Etats membres ne peuvent restreindre ni interdire la libre circulation des données à caractère personnel entre Etats membres pour certaines raisons.

Ces raisons sont celles tirées des libertés et droits fondamentaux des personnes physiques, notamment de leur vie privée, à l’égard du traitement des données à caractère personnel, dont, à titre de corollaire, elle impose aux Etats membres d’en assurer la protection.

Définition:

Selon la directive, on entend par « données à caractère personnel « toute « donnée-information « concernant une personne physique identifiée ou identifiable (personne concernée) est réputée identifiable une personne qui peut être identifiée, directement ou indirectement, notamment par référence à un numéro d’identification, ou à un ou plusieurs éléments spécifiques, propres à son identité physique, physiologique, psychique, économique, culturelle, ou sociale «.

Article 2 de la loi = « toute information relative à une personne physique identifiée ou identifiable , directement ou indirectement «, par référence à un numéro d’identification ou des éléments qui lui sont propres, identifiable= ensemble des moyens en vue et accessibles pour permettre son identification.

On considérera une donnée comme étant anonyme non pas seulement parce qu’il est absolument impossible de la rapporter à une personne physique, mais aussi parce que l’établissement possible du rapport exigerait la mise en oeuvre d’un ensemble de moyens techniques, financier, humains de manière déraisonnable = zone d’appréciation revenant en particulier au juge en cas de contentieux, et à la CNIL, le raisonnement à mener mêlant les aspects juridiques et techniques.

Les textes donnent un sens très extensif à la notion de données personelles correspondant exactement à la conception développée par la CNIL depuis 20 ans à partir du concept de « données nominatives «, ce concept présentait l’inconvénient d’induire une vision étroite.

N’a pas de caractère personnel l’information véritablement anonyme soit originellement (donnée statistique par ex) soit par l’usage d’un procédé quelconque suffisant pour ne plus permettre d’identifier la personne concernée.

A ‘iverse, à partir du moment où l’information donnée peut être rapportée de manière directe ou indirecte à une personne exclusivement physique identifiée ou identifiable, l’information-donnée acquiert le caractère de DP au sens des textes normatifs.

Ainsi, les données concernées sont celles ayant un caractère personnel, i.e. toute information concernant une personne physique identifiée ou identifiable=mais la directive ne s’applique pas aux données en tant que telles, mais à leur traitement(article 2 al 3 loi).

Les traitements visés sont ceux portant sur des données à caractère personnel qui sont en tout ou partie automatisés. Relèvent également de la loi les traitements qui ne sont pas automatisés mais qui portent sur des données à caractère personnel contenues ou appelées à figurer dans un fichier, i.e. dans un ensemble structuré accessible selon des critères déterminés, que cet ensemble soit centralisé, décentralisé ou réparti de manière fonctionnelle ou géographique.

Définition du traitement (Article 2 al.3)= toute(s) opération(s) portant sur de telles données quelque soit le procédé utilisé et notamment collecte, conservation, adaptation etc. (voir liste) + déf fichiers de données à caractère personnel (al 4)= tt ensemble structuré et stable.

Rationae personnae, la loi s’applique au responsable du traitement, i.e. la personne qui en détermine les finalités et les moyens, quelle que soit sa nature juridique.

Rationae loci, le dispositif législatif s’apparente aux lois de police.

En effet, un Etat Membre applique en principe ses dispositions nationales de transposition de la directive aux traitements effectués dans des établissements situés sur son territoire.

Par ailleurs, il les applique également dans des cas où le responsable du traitement n’est pas établi sur son territoire, dès lors que le traitement met en oeuvre des moyens, automatisés ou non, situés sur le territoire dudit Etat membre, sauf si ces moyens ne sont utilisés qu’à des fins de transit sur le territoire de la Communauté.

Tous les types d’informations-données peuvent acquérir le caractère personnel, quel que soit le sens, l’utilité, l’usage, le volume, le support ou le mode de représentation.

Peu importe si l’information est a priori sensible ou non vis-à-vis de la protection des droits et libertés des personnes, si elle est protégée ou facilement accessible, voire publique, si elle concerne une personne mineure ou majeure.

La donnée acquiert le caractère personnalisé si le lien avec la personne concernée est direct(ex adresse qui suit le nom d’une personne ou des fichiers classiques, n° SS, de carte crédit, n° immatriculation du véhicule, adresse courrier électronique, sont des éléments d’identification) = rapport direct avec l’individu .

Par contre l’adresse IP d’un ordinateur connecté à Internet ou le fichier Log des connexions par le FAI rapporte à la machine connectée et non à l’utilisateur= a priori il ne s’agit pas de données personnelles.

Ce caractère direct ou indirect de l’identification s’apprécie au cas par cas (les données en apparence anonymes ou ayant très faibles éléments d’identification peuvent, en étant rapprochées entre elles, avec une probabilité suffisante, être rapportées à une personne qui devient identifiable=les données deviennent alors indirectement des données personnelles) = toute donnée-information caractéristique d’une personne physique identifiée ou identifiable est une donnée personnelle.

La distinction entre personnes physiques et personnes morales n’est pas toujours aisée (ex un fichier sur des sociétés (infogreffe, sociétés unipersonnelles…) contient des données aisément applicables aux responsables identifiés de ces sociétés, par ex quant à leur patrimoine, idem pour les associations loi 1901, CNIL= fichiers d’entreprise destiné à connaître le potentiel industriel, artisanal et commercial des communes d’implantation, a considéré qu’il convenait d’appliquer la loi de 1978 pour l’exercice du droit d’accès « aux personnes physiques, représentants légaux des entreprises, dès lors que le nom de ces personnes figure dans le fichier en tant que dirigeant, actionnaire ou associé «, bien qu’il s’agisse en principe d’informations relatives uniquement aux entreprisesDélibération de la CNIL du 3 juillet 1984, Affaire mairies d’Arcueil et autres.

Problématique =:Les personnes sont-elles propriétaires des données qui les concernent ? Quelles sont les mesures de protection des données personnelles prévues à l’égard des entreprises trop « curieuses « et susceptibles de créer des « dossiers « complets sur les individus à des fins marchandes (I) ? Enfin, quelle est la position et l’approche ainsi que les contre-pouvoirs adoptés par l’administration électronique (spectre de 1984) elle même susceptible de nous « ficher « (II)?

I- LA PROTECTION DES DONNEES PERSONNELLES DANS LA LOI DU 6 AOUT 2004 TRANSPOSANT LA DIRECTIVE DU 24 OCTOBRE 1995

Le responsable du traitement : (art. 3 I) sauf désignation expresse par dispositions législatives et réglementaires relatives à ce traitement, la personne, l’autorité publique, le service ou l’organisme qui détermine ses finalités et ses moyens.

Le destinataire du traitement : (article 3 II) toute personne habilitée à recevoir communication des ces données personnelles autre que la personne concernée, le responsable , le sous-traitant et les personnes qui en raison de leurs fonctions sont chargées de traiter les données (autorités légalement habilitées=lors mission particulières ou exercice d’un droit de communication= pas destinataires)

1) Protection et transfert des données personnelles au sein des Etats membres

A- le principe de finalité

Les trois composantes principales du régime de protection institué par la loi du 6 août 2004 transposant la directive, s’attachent aux conditions relatives au traitement des données, aux droits de la personne concernée et aussi, de manière quelque peu inhabituelle, au transfert des données vers des pays tiers.

-Conditions licéité relatives aux données =article 6 loi pose un certain nombre de conditions pour le traitement des données à caractère personnel qu’il appartient au responsable du traitement de respecter.

Les données doivent être traitées loyalement et licitement(al.1). Elles doivent être exactes, complètes et mises à jour (mesures appropriées pour effacer ou rectifier) si nécessaire (al.4), tout en ‘tant conservées sous une forme permettant l’identification des personnes concernées que pendant une durée n’excédant pas celle nécessaire à la réalisation des finalités pour lesquelles elles sont collectées ou pour lesquelles elles seront traitées ultérieurement (al.5).

-Principe de finalité =Mais surtout les données doivent obéir à un principe de finalité particulièrement important pour la protection de la vie privée (al.2).

Il en résulte qu’elles doivent être collectées pour des finalités déterminées, explicites et légitimes, à l’égard desquels elles doivent être adéquates, pertinentes et non-excessives(al.3).

La directive pose les conditions auxquelles le traitement des données est légitime. Il ne s’agit pas de garantir une quelconque liberté participant au fonctionnement du marché intérieur, mais bien de protéger les intérêts de la personne concernée, puisque les dispositions nationales doivent prévoir que le traitement ne peut intervenir que si ces conditions sont remplies.

Cette légitimité est acquise lorsque la personne concernée a indubitablement donné son consentement (article 7). Dans tous les autres cas, la nécessité du traitement doit être démontrée, que ce soit pour l’exécution de mesures précontractuelles prises à la demande de la personne concernée (al.4), pour le respect d’une obligation légale(al.1), pour la sauvegarde de l’intérêt vital de la personne concernée (al.2) ou pour l’exécution d’une mission d’intérêt public ou relevant d’une autorité publique (al.3).

La nécessité peut enfin résulter d’un intérêt légitime, mais seulement à condition que ne prévalent pas l’intérêt et les droits et libertés fondamentales de la personne concernée, qui appellent protection (al.5).

En pratique, par exemple, l’utilisation de données à caractère personnel pour évaluer le pouvoir d’achat des intéressés afin de les inclure dans une prospection commerciale ne devrait être possible qu’avec leur accord préalable, faute qu’une telle finalité relève des cas particuliers visés à la directive.

-Données à caractère sensible : cas particulier (article 8)

Le traitement doit en principe être interdit lorsque les données ont un caractère sensible parce qu’elles révèlent l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques, l’appartenance syndicale, ainsi que lorsqu’elles sont relatives à la santé et à la vie sexuelle (art.8 I)

+ Liste au II de certaines données qui échappent à l’interdiction= consentement exprès, incapacité juridique ou impossibilité matérielle, traitements mis en oeuvre par une association à but non lucratif et à caractère religieux, philosophique, politique ou syndical, rendues publiques, droit de justice, médecine préventive, traitements statistiques, recherche dans le domaine de la santé.

Ces hypothèses ne devraient normalement pas concerner le commerce électronique, mais il pourrait néanmoins en être ainsi dans des cas particuliers, comme en matière d’assurance, où notamment des données relatives à la santé et même à la vie sexuelle sont d’une pertinence indéniable. De manière plus générale, d’ailleurs, l’interdiction du traitement de ces données personnelles sensibles devrait sensiblement entraver le développement de modèles de consommation permettant de cibler une communication commerciale de manière spécifique en fonction de telles considérations.

B- Droits de la personne concernée

-Droit d’information: L’information de la personne concernée est assurée.

Si les données sont collectées auprès d’elle, il faut lui faire savoir si la réponse aux questions qui lui sont posées est obligatoire ou facultative ainsi que les conséquences éventuelles d’un défaut de réponse.

Cette information doit au moins porter sur l’identité du responsable du traitement.

Dans la mesure nécessaire pour assurer la loyauté du traitement à l’égard de la personne concernée, elle doit aussi se voir communiquer toute information complémentaire, telles que les destinataires des données et l’existence d’un droit d’accès et de rectification.(une exception est prévue lorsque le données ne sont pas collectées auprès de la personne concernée et que son information se révèle impossible ou implique des efforts disproportionnés ou si la législation prévoit expressément l’enregistrement la communication des données, auxquels cas les Etats membres doivent prévoir des garanties appropriées).

-Droit d’accès: (article 40 loi) Il peut être exercé sans contrainte, à des intervalles raisonnables et sans délai ou frais excessifs. Il porte sur la finalité du traitement, les données elles-mêmes et leurs destinataires. Il emporte la rectification, l’effacement ou le verrouillage des données dont le traitement n’est pas conforme données inexactes, incomplètes, équivoques périmées ou collecte interdite = charge la preuve pèse sur le responsable du traitement) ; ainsi que la notification aux tiers si cela ne s’avère pas impossible et ne suppose pas un effort disproportionné.

-Droit d’opposition : (article 38 loi ) Il doit être prévu notamment lorsque le traitement est effectué à des fins de prospection ou avant qu’une banque de données ne soit pour la première fois communiquée à des tiers ou utilisée pour le compte de tiers à des fins de prospection.

Les Etats membres doivent de plus prendre les mesures nécessaires pour garantir que les personnes concernées aient connaissance de ce droit.

(Droit d’interroger le responsable en vue d’obtenir confirmation (article 39=copie délivrée à la demande dans la limite des demandes manifestement abusives (répétitives ou systématiques) = charge de la preuve incombe au responsable du traitement)

-Confidentialité et sécurité des traitements: Elles constituent également des garanties qui doivent être assurées par les Etats membres. A cette fin, la réalisation de traitements en sous-traitance doit donner lieu à un contrat écrit ou sous une autre forme équivalente et en préciser les conditions relatives à la sécurité.

-Contrôle de la mise en oeuvre des traitements : (art.44 loi)= CNIL est habilitée à effectuer des contrôles auprès des établissements à usage professionnel après en avoir préalablement informé le procureur de la République territorialement compétent. En cas d’opposition du responsable (art.44 II)= autorisation président TGI territorialement compétent (lieu établissement)=statue sur ordonnance motivée + PV contradictoire des visites.

+ Réciprocité intra communautaire (art 49) : CNIL peut procéder à des vérifications dans les mêmes conditions dans un état membre à la demande d’un autorité exerçant des compétences analogues aux siennes

+ CNIL exerce ses pouvoirs sur le territoire national même si le responsable du traitement est établi dans un autre Etat membre (art.48).

Pouvoir de sanction de la CNIL (Art.45 loi) = prononcées sur la base d’un rapport établi par un des membres de la CNIL (art 46) et notifié au responsable du traitement

1) avertissement à l’égard du responsable, mise en demeure de faire cesser le manquement dans un délai fixé.

2)Après procédure contradictoire : pouvoir de sanction pécuniaire (article 47 sauf les traitements mis en oeuvre par l’Etat) proportionné à la gravité des manquements commis et aux avantages tirés (art 47) 1er manquement : ne peut excéder 150.000 EUR , réitéré dans les 5 années à partir de la date du prononcé: ne peut excéder 300.000 EUR ou 5% du CA d’une entreprise

+ Injonction de faire cesser le traitement ou retrait de l’autorisation.

En cas d’urgence art.45 II (i.e. violation des droits et libertés)= CNIL peut interrompre le traitement, verrouiller, informer le 1er ministre

En cas d’atteinte grave et immédiate aux droits et libertés (article 45 al.III)=référé par le président de la CNIL afin de faire ordonner sous astreinte toute mesure nécessaire à la sauvegarde de ces droits et libertés.

Article 46= Les décisions prises par la CNIL au titre de l’article 45 sont motivées et notifiées au responsable du traitement. Les décisions prononçant une sanction peuvent faire l’objet d’un recours de pleine juridiction devant le CE.

Articles 50 à 52 « dispositions pénales «= 1 an emprisonnement + 15.000 EUR amende le fait d’entraver l’action de la CNIL (opposition ou refus de communiquer, ou communication non conformes au contenu des enregistrements)

Contrôle : Une notification doit être faite à l’autorité de contrôle désignée par l’Etat membre, en l’occurrence préalablement à la mise en oeuvre d’un traitement entièrement ou partiellement automatisé ou d’un ensemble de tels traitements ayant une même finalité ou des finalités liées.

Un contrôle préalable doit être effectué par la CNIL de traitements susceptibles de présenter des risques particuliers au regard des droits et libertés des personnes concernées. Les autorités de contrôle doivent tenir un registre des traitements notifiés, lequel peut être consulté par toute personne.

Recours : un recours juridictionnel est prévu pour toute personne en cas de violation des droits qui lui sont garantis. Un traitement illicite ou toute action incompatible avec les dispositions nationales engagent la responsabilité stricte de son auteur, avec renversement de la charge de la preuve du lien de causalité= sanctions prévues à l’article

+ Article 10 = aucune décision de justice impliquant une appréciation sur le comportement d’une personne ne peut avoir pour fondement l’usage de ces données afin d’évaluer certains aspects de la personnalité.

2) Transfert des données personnelles vers des pays tiers à l’Union européenne

A- niveau de protection adéquat (art 68)

Il ne peut avoir lieu que si les pays tiers en question assurent un niveau de protection adéquatde la protection « des libertés et droits fondamentaux des personnes à l’égard du traitement dont ces données font l’objet ou peuvent faire l’objet «.

Le caractère adéquat du niveau de protection s’apprécie au regard de toutes les circonstances relatives au transfert ; notamment la nature des données, la finalité et la durée du ou des traitements envisagés, les pays d’origine et de destination finale, les règles de droit, générales ou sectorielles en vigueur dans le pays tiers en cause, ainsi que les règles professionnelles et les mesures de sécurité qui y sont respectées.

Des procédures particulières sont prévues pour assurer l’effectivité de ce dispositif lorsqu’un pays tiers n’assure pas un niveau de protection adéquat.

En premier lieu, les Etats membres et la Commission s’informent mutuellement (art 70) des cas dans lesquels ils estiment qu’il en est ainsi (ex CNIL informe la Commission CE).

La Commission peut aussi adopter une mesure constatant qu’un pays tiers assure ou non un niveau de protection adéquat. Elle agit alors sur avis conforme d’un comité composé de représentants des Etats membres ou, à défaut d’un tel avis conforme, en l’absence de décision différente du Conseil (Suisse, Hongrie et Canada sont ainsi considérés comme ayant un niveau de protection adéquat.

B- Transfert des DP vers les Etats-Unis et vers les pays hors UE

Transfert vers le E.U=.L’autorégulation est préférée à la règlementation et notamment dans ce domaine. De difficiles négociations sont intervenues dans un climat de conflit commercial.

La Communauté et les E.U. ont conclu le 5 juin 2000, un accord reposant sur des principes de « sphère de sécurité « auxquels peuvent adhérer les entreprises américaines, et que la Commission a jugé pertinents.

Les Etats-Unis sont ainsi considérés comme offrant un niveau de protection adéquat, mais seulement si l’organisation destinataire des données s’est clairement et publiquement engagée (notamment en s’enregistrant sur le site spécial du Department if Commerce) à observer 7 règles fondamentales dites « principes de la sphère de sécurité «, dont l’inobservation serait sanctionnable (la Federal Trade Commission et le Department of Transportation, chacun dans son domaine, étant habilités à instruire des plaintes et à obtenir des mesures correctives contre les pratiques déloyales et frauduleuses ainsi que la réparation des préjudices subis par les personnes concernées).

Transfert vers les pays hors U.E=

-Contrats encadrant les transferts : à défaut pour les pays tiers de destination d’assurer une protection adéquate, le destinataire des données peut pallier cette carence notamment en concluant avec leur exportateur des contrats encadrant les transferts, et le faire reconnaître.

La Commission a adopté des clauses contractuelles types pour ces transferts (l’exportateur y garantit notamment qu’elles ont été et continueront d’être traitées et qu’elles peuvent être exportées conformément à la réglementation en vigueur dans le pays de son établissement. L’importateur de données s’y engage à les traiter conformément à des principes obligatoires de protection spécifiés ou à la réglementation du pays d’origine des données.

Il doit notifier à ‘exportateur de données toute évolution de sa propre réglementation susceptible de l’empêcher de satisfaire à ses obligations, auquel cas le transfert peut être suspendu. Importateur et exportateur de données assument solidairement la responsabilité du préjudice causé par un traitement illégal des données.

Garanties suffisantes : un Etat membre peut également autoriser un tel transfert lorsque le responsable du traitement offre des garanties suffisantes.

Ces garanties peuvent notamment résulter de clauses contractuelles appropriées. Mais l’Etat membre doit alors informer la Commission et les autres Etats membres et, en cas d’opposition dûment justifiée, la Commission adopte les mesures appropriées sur avis conforme du comité des représentants des Etats membres.

Absence de protection adéquate : le transfert peut intervenir en tout état de cause lorsque la personne concernée a indubitablement donné son consentement, lorsqu’il est nécessaire à l’exécution d’un contrat entre la personne concernée et le responsable du traitement ou à l’exécution de mesures précontractuelles prises à sa demande et lorsqu’il est nécessaire pour la sauvegarde d’un intérêt public important, pour la constatation, l’exercice ou la défense d’un droit de justice ou encore à la sauvegarde de l’intérêt vital de la personne concernée.

Enfin, le transfert peut toujours intervenir au départ d’un registre public destiné à l’information du public et ouvert la consultation de celui-ci ou de toute personne justifiant d’un intérêt légitime.

II- DONNEES PERSONNELLES ET E-ADMINISTRATION

A- Le principe de maîtrise des DP

Administration électronique : 2 approches pour bâtir leurs systèmes d’information

-approche traditionnelle : l’administration continue de conserver et de gérer les données sur les usagers = usager peut accéder en ligne à son compte ou à son dossier, il peut exercer de manière effective les droits d’accès et de rectification, des systèmes d’information performants permettraient de passer d’un droit d’information préalable à un droit d’information permanent= chaque fois qu’une donnée fait l’objet d’une modification, ou d’une transmission à une autre administration, elle peut aisément notifier ces changements à la personne.

-2ème approche : changement radical= système d’information « distribué «= les données personnelles sont placées sous le contrôle effectif de l’usager.

Quand l’administration en a besoin, elle les demande : l’usager les lui transmet ou l’autorise à aller les chercher là où elles se trouvent. Dans une telle approche « distribuée «, la question du droit d’accès et du droit de rectification ne se pose pas pour les DP qui sont sous le contrôle direct de l’usager.

Ces 2 approches ne sont pas incompatibles= l’une des clefs de l’administration électronique réside dans la combinaison entre les 2 approches ; une voie de développement de l’AE consisterait à utiliser dans un 1er temps ‘approche classique (+facile mettre en place), puis à basculer progressivement vers l’approche distribuée, qui assure à l’usager une maîtrise complète de ses DP.

La loi dote les individus de droits d’accès, de communication, de rectification et d’opposition sur leurs données qui restent relativement théoriques, la réalité de la société de l’information voit proliférer les collectes et les ventes de données à des fins marchandes, au point que le principal droit sur les données semble parfois être un droit de propriété.

Si une telle analyse patrimoniale devait prévaloir, les traitements administratifs et leur régime de contrôle pourraient en subir les effets.

Cela justifierait une approche contractuelle de la maîtrise des personnes sur leurs données et cela remettrait en question le contrôle opéré sur les traitement administratifs, qui est protecteur ais aussi contraignant pour les usagers comme pour les administrations.

C’est pourquoi il faut se demander comment doivent s’analyser juridiquement les droits des usagers sur leurs données :

Solutions :

1) les personnes sont détentrices d’un véritable droit de propriété sur leurs données=perception intuitive qui veut que selon des modèles économiques du web, on cède ou « vende « ses données personnelles, en échange notamment de services gratuits.

Si un droit de propriété doit être reconnu sur les données personnelles, il doit être plutôt conféré à la personne concernée par les données qu’au détenteur de la base de données. Il s’agit là d’une exception au principe suivant lequel l’information appartient à celui qui en réalise la collecte ou qui en assure la formulation.

En effet, les données personnelles que des administrations peuvent détenir sur les usagers (nom, date de naissance, domicile, situation familiale, voire revenu imposable ou contenu du casier judiciaire) sont des données objectives, que les administrations se bornent à relever sans y ajouter une appréciation subjective qui justifierait une appropriationde leur part. S’il y a un droit de propriété sur les données personnelles, ce ne peut donc être que celui de la personne qui est concernée.

2) Argumentscontrel’existencede ce droit de propriété : ces données personnelles ne peuvent pas être modifiées à loisir par la personne concernée, sauf naturellement si la modification de la donnée correspond à une situation objective correspondance (domicile, nom, etc.).

Pour un véritable droit de propriété, il manque donc un élément de libre disposition du bien.

A stade de leur formulation, ces données ne sont pas davantage l’oeuvre de l’intéressé que de l’administration cette formulation « dépend de la loi (dévolution du nom, détermination de l’état civil, du domicile etc.) ou bien elle s’attache de plein droit aux actes du sujet (acquisitions immobilières, état des comptes bancaires, condamnations pénale, etc.). «

L’idée d’un droit de propriété n’est pas celle qui fonde la législation sur l’informatique et les libertés, mais bien davantage centrée sur une optique de protection des libertés.

Or, pour reprendre une formulation américaine à propos de ce même débat sur les données personnelles, « un droit de propriété peut être vendu mais les droits de l’homme ne peuvent jamais faire l’objet de transactions «.

Soustraire les données personnelles au champ du droit de propriété est une position de principe et peut se rapprocher des dispositions existantes en matière d’interdiction de commercialisation des éléments du corps humain.

Cela ne frappe sans doute pas d’interdit les pratiques consistant à rémunérer le temps passé par les personnes à communiquer les informations qui intéressent les gestionnaires de bases de données ; mais cela interdit que la communication d’une donnée puisse être regardée comme la cession d’un droit patrimonial sur celle-ci.

Enfin, s’agissant spécifiquement des données détenues par l’administration, l’usager peut se trouver en train de consentir à la communication des données. En application de l’art.26 de la loi du 6 janvier 1978, le citoyen peut se voir privé de l’exercice de son droit d’opposition à ce que des données le concernant figurent dans un traitement public.

De même, la directive communautaire du 24 octobre 1995 consacre (art 7) le principe du consentement de la personne comme une des conditions légitimant le traitement des données si il est nécessaire au « respect d’une obligation légale à laquelle le responsable du traitement est soumis « ou encore à « l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique «.

Ainsi le cession à l’administration d’une donnée personnelle n’est elle pas purement discrétionnaire, elle peut s’imposer comme une exigence de la collectivité pour rendre possible la vie en commun, dans une logique proche qui fonde l’impôt.

= analyse la plus rigoureuse semble conduire à analyser les données personnelles non en termes de droit patrimonial mais en termes d’attributs de la personnalité: « bien que la personne concernée ne soit pas « auteur « de l’information, au sens de la mise en forme, elle est le titulaire légitime de ses éléments. Leur lien avec l’individu est trop étroit pour qu’il puisse en être autrement. Quand l’objet des données est un sujet de droit, l’information est un attribut de la personnalité «P. Catala, « Ebauche d’une théorie juridique de l’information «, repris in Le droit à l’épreuve du numérique, « Jus ex machina «, PUF, 1998.

B- Quelle limite au principe de maîtrise des données ?

Le principe ne saurait être posé en absolu, il s’exerce dans la limite des cas où la décision de communiquer ou certaines données personnelles, d’autoriser leur transmission d’une administration à une autre, peut être laissée à l’initiative des personnes.

Dans cette zone de latitude, c’est à la personne de décider e fonction des avantages qu’elle attend ou des risques qu’elle redoute, de communiquer ou non ses données, d’autoriser ou non l’administration qui détient les données qui la concernent à les transmettre à une autre administration.

Ainsi les formulaires (pour les procédures qui s’y prêtent) pourraient distinguer les questions qu’il faut remplir impérativement de celles qui sont facultatives (ex justiciable demande aide juridictionnelle= autorise la direction générale des impôts transmettre avis de non imposition nécessaire pour en bénéficier). Cette zone où s’exerce l’initiative de communiquer ou non les données personnelles, d’autoriser ou non transmission entre deux administrations serait doublement bornée/

par le caractère obligatoire de certains recueils de données personnelles. Le principe de la maîtrise des données personnelles ne saurait faire obstacle à l’accomplissement d’objectifs d’intérêt public ou qui présentent un caractère obligatoire (liste procédures à caractère obligatoire (art 26 de loi 1978) ;

par des règles qu’il reviendrait à la CNIL d’édicter, afin de protéger les personnes, notamment les + vulnérables, contre la curiosité des administrations (« protéger les personnes contre elles-mêmes «)

Les controverses passés et récentes autour des identifiants ont accrédité le sentiments que les systèmes d’information administratifs fichaient les personnes de manière systématique : la réalité est plus nuancée.

Si ces systèmes recueillent de nombreuses informations sur les personnes, ils sont le plus souvent, organisés autour d’une procédure (ainsi de nombreux systèmes d’information gèrent des actions ou des programmes, ils recensent les bénéficiaires ou les données associées à ces personnes, mais ils ne sont pas nécessairement conçus pour reconstituer un profil de chaque personne. Orientés vers la production d’indicateurs, ils se soucient peu du profil personnel individuel des bénéficiaires.).

A ce propos on peut relever la question de la sécurité technique de ces données personnelles présentent dans ces systèmes d’information administratifs (objet d’une étude).

Les systèmes d’information de l’administration fiscale, emblématiques d’une informatique inquisitrice, ne procèdent que très indirectement à un fichage des personnes : ils sont constitués d’une série d’applications, organisées autour de chaque impôt : impôt sur le revenu, axe d’habitation, taxe foncière.

Chaque application a des identifiants distincts, qui ne reflètent pas la même identité : foyer fiscal, indivision, bien immobilier. C’est tout l’enjeu du projet Copernic que de refondre les systèmes d’information autour de la personne.

Cette refonte ouvrira la voie au compte fiscal simplifié, mais aussi à une individualisation de la fiscalité ; l’individualisation de l’impôt sur le revenu est déjà pratiquée dans les pays qui ont instauré le prélèvement de l’impôt à la source.

Le rapport Carcenac de 2OO1 soulignait que l’évolution de l’Administration électronique « doit se faire dans la transparence, en garantissant les libertés mais en profitant pleinement de la technologie « : l’ Administration électronique ne vise pas à recueillir des informations nouvelles sur les usagers, l’enjeu consiste au contraire, à donner accès aux usagers aux données qui les concernent.

Etre alerté quand une administration demande un extrait de casier judiciaire, être prévenu des contrôles effectué sur sa déclaration de revenus, avoir accès à l’état de son dossier, suivre à la trace son dossier de permis de construire au sein des administrations qui le traitent successivement= tous ces services n’accroissent en rien les connaissances qu’ont les administrations des usagers, elles augmentent en revanche la connaissance qu’a l’usager de ce qui le concerne= améliorent son autonomie et sa capacité d’action.

L’immense majorité des services en ligne proposés par les administrations sont accessibles sans aucune forme d’identification.

Des dispositifs d’identification devront être mis en place sur les portails publics dans la perspective de création de « comptes administratifs personnalisés« en vue de sécuriser les échanges de données confidentielles (l’utilisation d’un pseudo suffit largement pour assurer la personnalisation d’un service ( ex : site de prévention de la toxicomanie drogues.gouv.fr permet aux personnes de poser des questions très précises en utilisant une pseudo).

Pour sauvegarder la vie privée, la loi informatique e liberté a consacré un double approche de la protection des données : d’une part un encadrement par le haut avec des régimes d’autorisation par la CNIL pour la création de fichiers administratifs et, d’autre part des droits reconnus aux usagers pour un contrôle par le bas, afin de vérifier la légalité des traitements et l’exactitude des données (droit d’accès, de communication, de rectification et d’opposition).

Dans la pratique, c’est la 1ère approche qui a prévalu : les traitements des données personnelles sont rigoureusement examinés au stade de leur création (signe de confiance de principe), l’exercice direct de leurs droits par les usagers reste largement théorique, car les droits d’accès, de communication, de rectification et d’opposition s’exercent par courrier et sont peu utilisée dans la pratique.

Avec l’Administration électronique, il est possible d’enrichir les droits des administrés pour qu’ils permettent une véritable maîtrise des données personnelles par les personnes. Une telle maîtrise signifie pour les usagers un véritable accès en ligne aux systèmes contenant les données, non seulement pour en vérifier l’exactitude, mais aussi pour en obtenir communication sous forme numérique (si les objectifs sont aisément perceptibles, les modalités de sa mise en oeuvre restent à définir).

S’il s’agit d’une autorisation donnée à une administration pour qu’elle se fasse communiquer une information, il faut que cette autorisation soit précisément délimitée, révocable et exercée sous le contrôle de d’une instance indépendante : la CNIL.

Le « coffre-fort électronique « :

Un certain nombre de solutions technologiques permettent de placer les données personnelles sous le contrôle effectif des personnes, elles constituent la traduction technique du principe de la maîtrise des données personnelles = le « coffre-fort électronique «.

= la métaphore du coffre-fort suggère que les données personnelles sont « enfermées « quelque part (sous clef) et que seule la personne concernée est habilitée à y accéder pour transmettre ces données. Pour obtenir ces données dans le coffre-fort, les entreprises ou administrations doivent obtenir son autorisation et éventuellement la clef.

Cette notion de coffre fort renvoie à une grande diversité de dispositifs= il peut être installé sur l’ordinateur de la personne, sous son contrôle direct, ou chez un intermédiaire public ou privé (un notaire ou un tiers de confiance ou un « infomédiaire «.

Ce coffre-fort peut être lui-même compartimenté en zones avec une clé spécifique pour chaque zone= trousseau de clefs électroniques (cf. refus par la CNIL du portail unique)

Ces outils techniques ne se substituent pas au cadre législatif protecteur de la vie privée ; en tout état de cause, il revient à la CNIL de définir un cadre général permettant de protéger les usagers, notamment les plus fragiles contre eux-mêmes.

= la sécurité des systèmes informatiques sera un élément essentiel de la confiance des usagers et donc de leur adhésion à l’Administration électronique.

La confiance repose désormais sur 2 éléments :

le sentiment que l’Etat prend les mesures de sécurisation nécessaire dans la manière dont il constitue et gère ses systèmes ‘information ;

la possibilité que des experts issus de la société civile puissent s’en assurer par eux-mêmes. L’opacité des logiciels propriétaires s’oppose ici à ce type de contrôle, cela plaide pour l’utilisation de logiciels au code source ouvert dans l’Administration Electronique.

Maya GHOZALI

Bibliographie:

Droit de l’Informatique et de l’Internet, André LUCAS Jean DEVEZE et Jean FRAYSSINET, Coll. Thémis, Puf Droit, 2001.

– Cyberdroit, Le droit à l’épreuve de l’Internet, Christiane FERAL-SCHUL, Coll. DUNOD, DALLOZ, 2002, 3ème éd.

Internet et protection des données personnelles, Marie-Pierre FENOLL-TROUSSEAU et Gérard HAAS, Coll. Droit@Litec, LITEC 2000.

La création multimédia et le droit, Nathalie MALLET-POUJOL, Coll. Droit@Litec, LITEC 2003, 2ème éd.

Tweet about this on TwitterShare on Facebook

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée.