Les atteintes aux libertés peuvent provenir des atteintes à la vie privée des individus, atteintes liées à la divulgation de données à caractère personnel. Comme en matière de protection des ordinateurs contre les virus ou autres vers informatiques, l’individu est souvent lui-même le
« maillon faible » de la protection de ses données à caractère personnel et de sa sécurité. Cette faille de protection est due à un comportement et une exposition non contrôlés73.
L’exposition de la vie privée est réalisée au travers des données fournies par les utilisateurs des applications proposées sur Internet, soit lors de l’inscription, soit ultérieurement, lors de l’utilisation de ces applications, par exemple par une inscription sur le mur de ‑acebook. Les réseaux sociaux, mais également de manière croissante tout un ensemble de services, reposent aujourd’hui sur l’exploitation de ces informations, générées involontairement, mais aussi très largement « données » volontairement, et leur restitution aux usagers reste souvent partielle sous des formes diversement travaillées et enrichies. Cette transformation et la restitution de la transformation confèrent à ces services sens et valeur pour les individus eux-mêmes74.
‑ace à cette exposition de la vie privée par la fourniture volontaire ou la collecte insidieuse des données à caractère personnel, de nombreux organismes, le Conseil de l’‐urope, la Commission nationale de l’informatique et des libertés, fournissent des conseils et des manuels de bonne conduite à respecter pour éviter l’exposition involontaire de la vie privée75. Mais, comme pour
73 «Lors de ses travaux, la mission d’information a été frappée à plusieurs reprises par le fait que, de plus en plus, les citoyens exposent leur vie privée sur Internet, notamment les plus jeunes, et qu’ils le font sans en avoir toujours conscience. Quand ils en prennent conscience et souhaitent mieux protéger leurs droits, ces internautes sont confrontés à des difficultés techniques et juridiques et se retrouvent alors relativement isolés face aux grands groupes de l’Internet, que sont Google, Facebook ou Twitter» (extrait de Patrick Bloche, Patrick Verchère, Rapport d’information déposé par la mission d’information commune sur les droits de l’individu dans la révolution numérique, enregistré à la Présidence de l’Assemblée nationale le 22 juin 2011, p.123).
74 Viktor Mayer-Schönberger, « La révolution Big Data », Politique étrangère, 2014/4 (Hiver), pp. 69-81. URL : https://www.cairn.info/revue-politique-etrangere-2014-4-page-69.htm consulté le 30 mars 2018.
75 CNIL, Maîtriser mes données, à https://www.cnil.fr/fr/maitriser-mes-donnees, consulté le 25 novembre 2017 ; CNIL, Protéger ses données personnelles sur Facebook : les conseils pour agir, 28 janvier 2014, à https://www.cnil.fr/fr/proteger-ses-donnees-personnelles-sur-facebook-les-conseils-pour-agir, consulté le 25 novembre 2017 ; CNIL, 10 conseils pour rester net sur le Web, 7 mars 2016, à https://www.cnil.fr/fr/10-conseils-pour-rester-net-sur-le-web, consulté le 25 novembre 2016 ; CNIL, « Guide La sécurité des données personnelles », Les guides de la CNIL, 2010.
Council of ‐urope, “Protecting private life” In Council of Europe Data Protection website, URL : https://www.coe.int/en/web/data-protection/home consulté le 30 mars 2018.
Clémence Jost et Bruno Texier, « Comment mieux protéger vos données personnelles ? », archimag, 19 janvier 2017, URL : http://www.archimag.com/univers-data/2017/01/19/10-conseils-outils-indispensables-proteger-donnees-personnelles, consulté le 25 novembre 2017.
Introduction
23
la protection des ordinateurs personnels contre les vers, virus ou chevaux de Troie, ces conseils sont peu ou prou respectés, voire mal connus. La Commission de l’informatique et des libertés a publié en 2014, une fiche pratique concernant la publication de photos sur le réseau76 et la gendarmerie nationale met en garde les parents publiant des photos de leurs enfants sur les réseaux sociaux77. Ces recommandations visent à modifier l’attitude des individus face à un moyen de publication puissant et mal contrôlé.
Aujourd’hui, avec l’Internet des objets, ce sont des données relatives à la santé et à la condition physiques des individus qui vont se retrouver sur Internet78 et faire l’objet d’enjeux mercantiles.
Cette migration technologique qui met en relation les objets de la vie courante, va rendre prioritaire la protection de la vie privée79.
La sensibilisation des individus devient nécessaire tant au niveau des adultes que des enfants dans les écoles pour améliorer la protection des libertés80. L’individu doit être capable d’évaluer les risques liés à son attitude et pouvoir décider en fonction des avantages obtenus en retour quels pans de sa vie privée et intime il souhaite ou accepte d’exposer.
Dès 1978 le Parlement a régulé la protection des données personnelles avec la loi informatique et libertés81. La protection des données à caractère personnel, mise en place initialement à cause d’une prémonition de risques administratifs, a vu avec l’apparition et le développement d’Internet son centre de gravité se mouvoir vers des entreprises privées avec la loi pour la confiance dans l’économie numérique82 et récemment avec le Règlement général sur la protection des données83.
76 CNIL, Les conseils de la CNIL pour mieux maîtriser la publication de photos, 13 octobre 2014, à https://www.cnil.fr/fr/les-conseils-de-la-cnil-pour-mieux-maitriser-la-publication-de-photos-0, consulté le 7 juillet 2016.
77 Lire à ce sujet Hortense Nicolet, « Poster des photos de ses enfants sur ‑acebook n’est pas sans danger », Le Figaro.fr madame, 15 février 2015, URL : http://madame.lefigaro.fr/societe/pourquoi-il-faut-cesser-de-poster-des-photos-de-ses-enfants-mineurs-sur-facebook-011215, consulté le 25 novembre 2017.
78 Magali Léo, « Patient connecté et données de santé : les vrais risques », I2D – Information, données &
documents, 2016/3 (Volume 53), pp. 65-66.
79 Bernard Benhamou, « L'Internet des objets. Défis technologiques, économiques et politiques », Esprit, 2009/3 (Mars/avril), pp. 137-150. URL : https://www.cairn.info/revue-esprit-2009-3-page-137.htm consulté le 24 novembre 2017.
80 Odile Naudin, « Internet : former les parents autant que leurs enfants », Après-demain, 2009/1 (N ° 9, N‑), pp.
39-44.
81 Loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés.
82 Loi n° 2004-575 du 21 juin 2004 pour la confiance dans l'économie numérique.
83 Règlement (U‐) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données).
Sous-section 1. La protection nécessaire de l’individu dans la société numérique
‐n ‑rance, le grand public a pris conscience de l’informatisation de la société à partir des années 1980 avec les expériences du vidéotex de Vélizy, puis du minitel84 mis à disposition du public gratuitement par la Direction générale des Télécommunications85 ou DGT. La première application numérique orientée grand public est l’annuaire électronique86. À partir d’un petit terminal, le minitel, tout abonné au téléphone peut rechercher le numéro de téléphone de n’importe quel autre abonné dans la ‑rance entière, hors abonnés en liste rouge. La technique numérique permet de s’affranchir de la limite des départements qui était la règle avec l’annuaire papier87. De plus, les critères de recherche sont étendus et ces recherches sont donc plus faciles : recherche d’un abonné avec extension orthographique du nom, extension d’une recherche aux communes limitrophes ou à l’ensemble du département, recherche des abonnés d’une rue ou d’un immeuble, etc. Ainsi, dès 1985, l’annuaire électronique modifie les habitudes des abonnés au téléphone. Des individus recherchent des cousins perdus de vue. Certaines sociétés créent des fichiers de prospection commerciale en collectant les adresses privées ou professionnelles disponibles gratuitement. À l’époque, la DGT renonce à une recherche d’un abonné sur l’ensemble du territoire français et ne met pas en service public la recherche inversée88. La seule protection disponible pour l’usager est de demander à être mis en liste rouge, c’est-à-dire à ne pas figurer dans la liste des résultats d’une requête. Ce service est alors facturé par la DGT et peut être assimilé à un droit à être non référencé.
‐n parallèle au développement du minitel, L’informatique se développe depuis les années 1970.
Les techniques informatiques sont alors encore balbutiantes, les bases de données sont de gros fichiers hiérarchiquement organisés et les réseaux commencent à relier les sites d’un même
84 Jean Harivel, « Le minitel, une exception française », Irène Bouhadana et William Gilles (sous la direction), Revue de l’Institut du Monde et du Développement, RIMD n° 4 – 2013 – Hiver/Winter, pp. 93-106.
85 La Direction générale des télécommunications est renommée ‑rance Télécom le 1er janvier 1988, transformée en établissement de droit public par la loi n° 90-568 du 2 juillet 1990 relative à l'organisation du service public de la poste et à France Télécom, puis en société anonyme par la loi no 96-660 du 26 juillet 1996 relative à l'entreprise nationale France Télécom. Après l’ouverture au public de son capital en 1997 et le rachat d’ORANG‐ en 2000 puis 2003, le changement de nom du Groupe ‑rance Télécom en ORANG‐ est voté lors de l’assemblée générale du 28 mai 2013 et sera effectif au 1er juillet 2013. Op. cit.
86 Inauguré en Ile et Vilaine le 5 mai 1983 avec une base de données régionale limitée aux abonnés du téléphone des départements bretons, et inauguré à Paris le 5 mai 1985, avec la base nationale des 23 millions d’abonnés au téléphone.
87 Seul l’annuaire papier du département de l’abonné au téléphone est distribué gratuitement.
88 Recherche de l’identité d’un abonné dont seul le numéro de téléphone est connu.
Introduction
25
constructeur entre eux. Le réseau Transpac89 permet à des sites non homogènes de s’échanger des données, il sera livré à la Direction générale des Télécommunications au début des années 1980. IBM90 ne commercialisera sa première base de données relationnelle qu’aux environs des années 198091.
Cependant, devant le risque de fichage généralisé des individus et l’utilisation d’un identifiant unique, le numéro de sécurité sociale, pour relier les différents fichiers administratifs, les députés français, sous la pression de l’opinion publique et des médias92, vont voter dès le 6 janvier 1978, la loi n°78-17 relative à l’informatique, aux fichiers et aux libertés93. Son article 1er précise : « L’informatique doit être au service de chaque citoyen. Son développement doit s’opérer dans le cadre de la coopération internationale. Elle ne doit porter atteinte ni à l’identité humaine, ni aux droits de l’homme, ni à la vie privée, ni aux libertés individuelles ou publiques ». Pour la première fois, la société prend conscience d’un risque pour les libertés, lié à l’utilisation des techniques nouvelles qui sont en cours de développement. Ainsi, alors que l’informatique est encore « adolescente », la nécessité d’une coopération internationale est affirmée et les risques principaux liés à l’informatisation prévisible de la société sont l’atteinte aux droits de l’homme, à la vie privée et aux libertés individuelles ou publiques. Cette loi n°
78-17 est la première loi spéciale relative à l’informatique, technique récente dont le potentiel d’intrusion dans la société et la vie privée est ainsi mis sous contrôle. Les traitements relatifs aux données collectées et enregistrées par les sociétés et l’administration doivent être déclarés à la CNIL qui peut en refuser ou restreindre la mise en place. Cette loi crée de nouveaux droits94 pour les personnes physiques quant au contrôle des traitements de leurs données, mais ces droits ne sont pas toujours connus par les personnes physiques concernées95.
89 Réseau de télécommunications qui véhicule les données par paquets (protocole X25). Inventé en 1976, commercialisé à partir de 1979, le réseau sera abandonné en 2011 par ‑rance Télécom (sources personnelles de l’auteur).
90 IBM, ou International Business Machines, est dans les années 70-80 le premier fournisseur mondial d’ordinateurs. À l’époque, le matériel, ou hardware, est loué avec le système d’exploitation, créant une dépendance entre le client et le constructeur.
91 Le système R, système de gestion de base de données relationnelles, a débuté comme projet de recherche dans les années 1970. Le premier client de system R a été Pratt & Whitney en 1977. (IBM Research Laboratory, “A History and ‐valuation of System R”, Communications of the ACM, October 1981, Volume 24, Number 10, pp.
632-646, URL: https://people.eecs.berkeley.edu/~brewer/cs262/SystemR.pdf consulté le 19 mars 2018).
92 Philippe Boucher, « SA‑ARI ou la chasse aux ‑rançais », Le Monde, 21 mars 1974.
93 Loi no 78-17 du 6 janvier 1978, relative à l’informatique, aux fichiers et aux libertés, publiée au JOR‑ du 7 janvier 1978 p. 227.
94 Droit d’information, droit d’opposition, droits d’accès et de rectification.
95 L’auteur peut aussi témoigner que cette loi n’est pas non plus connue des équipes informatiques qui développent les applications pour les entreprises.
Cette loi française concourt à l’élaboration de textes européens protégeant les données à caractère personnel. Le 23 septembre 1980, l’OCD‐ adopte les «lignes directrices régissant la vie privée et le flux transfrontalières des données à caractère personnel» qui énoncent divers principes de limitation en matière de collecte des données à caractère personnel obtenues par des moyens licites et après consentement de la personne concernée96. Ces lignes directrices sont établies pour harmoniser les législations, mais aussi ne pas entraver la libre circulation de ces données nécessaire à « d’importants secteurs de l’économie », banque et assurances.
Le 28 janvier 1981, le Conseil de l’‐urope adopte la Convention internationale no 108 consacrant les principes « informatique et libertés » inspirés de la loi française no 78-1797. Dans son article 1er, le but de cette convention est « de garantir […] à toute personne physique […]
le respect de ses droits et de ses libertés fondamentales […] à l’égard du traitement automatisé des données à caractère personnel la concernant ». La protection des données à caractère personnel se généralise ainsi en ‐urope, soit pour des raisons économiques et la libre circulation des données, soit pour défendre les droits des personnes physiques. Cette dualité d’objectifs reste présente dans les textes protecteurs qui, cependant, édictent les mêmes droits pour les personnes physiques.
Au niveau de la Communauté européenne, afin d’harmoniser les législations dans les États membres, une directive est publiée en 199598, dans son titre, la dualité protection des données et libre circulation de ces données est rappelé. Les droits des personnes physiques et la protection des données à caractère personnel sont dérivés de la loi no78-17, des lignes directrices de l’OCD‐ et de la Convention no 108. Les États membres se dotent ainsi d’une protection des données à caractère personnel contraignante et harmonisée.
96 « Compte tenu de l'essor pris par le traitement automatique de l'information, qui permet de transmettre de vastes quantités de données en quelques secondes à travers les frontières nationales et même à travers les continents, il a fallu étudier la question de la protection de la vie privée sous l'angle des données de caractère personnel. Des législations relatives à la protection de la vie privée ont été adoptées ou le seront prochainement dans près de la moitié des pays de l'OCDE (l'Allemagne, l'Autriche, le Canada, le Danemark, les États-Unis, la France, le Luxembourg, la Norvège et la Suède ont promulgué une législation. La Belgique, l'Espagne, les Pays-Bas et la Suisse ont établi des projets de loi) en vue de prévenir des actes considérés comme constituant des violations des droits fondamentaux de l'homme, tels que le stockage illicite de données de caractère personnel qui sont inexactes, l'utilisation abusive ou la divulgation non autorisée de ces données. » (1er paragraphe de la préface, OCD‐, Lignes directrices régissant la protection de la vie privée et les flux transfrontières de données de caractère personnel, 1980).
97 Conseil de l’‐urope, Convention pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel », série des traités européens – n° 108, Strasbourg, 28 janvier 1981.
98 Directive 95/46/C‐ du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données.
Introduction
27
Depuis 1995, Internet s’est généralisé et les réseaux sociaux sont apparus. La généralisation du smartphone dans toutes les couches de la population et ses conséquences sur la vie privée imposent une refonte de la protection apportée par la Directive. ‐n 2016, un nouveau règlement99 est adopté après plusieurs années de discussions100, il est approuvé par le Parlement européen début 2016 et doit être applicable le 25 mai 2018. Ce Règlement général sur la protection des données soumet la collecte des données à caractère personnel au consentement libre et éclairé de la personne physique concernée qui peut retirer son consentement à tout moment101. Il crée un nouveau droit à l’effacement des données102 et encadre la sécurité des sites de stockage et de traitement desdites données103. Le règlement précise les règles de circulation des données entre responsables de traitement et sous-traitants104 à l’intérieur du territoire de l’Union européenne, mais il laisse une marge de manœuvre aux États membres, rendant possible une renationalisation partielle de la protection des données personnelles, qui peut constituer un obstacle à la réalisation du marché unique numérique105 source de valeurs ajoutées. La dualité protection de la vie personnelle et des données à caractère personnel et libre circulation de ces données reste donc présente.
La ‑rance, avec la loi pour une République numérique106 a modifié la loi informatique et libertés, en introduisant le droit à l’oubli pour les données collectées auprès d’un enfant mineur, et a ajouté à l’article 1er de cette loi le droit pour toute personne de décider et contrôler les usages qui seront faits de ses données à caractère personnel, droit proche de la notion
99 Règlement (U‐) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données).
100 La Commission européenne a proposé de réformer la protection des données le 25 janvier 2012. Le 12 mars 2014, le Parlement européen manifeste son soutien au règlement général en séance plénière avec 621 votes pour, 10 votes contre et 22 abstentions. Le Parlement européen, le Conseil et la Commission parviennent à un accord sur le règlement général le 15 décembre 2015. Le règlement est publié au journal officiel de l’Union européenne le 24 mai 2016. (Source Le contrôleur européen de la protection des données, « Évolution historique du règlement général sur la protection des données », URL : https://edps.europa.eu/data-protection/data-protection/legislation/history-general-data-protection-regulation_fr consulté le 19 mars 2018).
101 Règlement (U‐) 2016/679, article 7.
102 Règlement (U‐) 2016/679, article 17.
103 Règlement (U‐) 2016/679, article 32.
104 Règlement (U‐) 2016/679, articles 27-29.
105 Catherine Barreau, « Le marché unique numérique et la régulation des données personnelles », Annales des Mines - Réalités industrielles, 2016/3 (Août 2016), pp. 37-41.
106 Loi n° 2016-1321 du 7 octobre 2016 pour une République numérique, publiée au JOR‑ n°0235 du 8 octobre 2016.
d’autodétermination informationnelle107, introduisant dans le droit français ces notions prévues dans le règlement avant son application par les États membres.
La personne physique et les données à caractère personnel font l’objet de textes protecteurs108, ces informations peuvent être utilisées pour réaliser une surveillance quasi permanente des individus. Avec les évolutions des techniques numériques, il devient possible de collationner et de recouper des informations concernant un individu. Aujourd’hui, il est aisé de localiser géographiquement un individu à partir de certains de ces actes (paiement par carte bancaire, utilisation des transports en commun avec utilisation de cartes R‑ID, utilisation de téléphone portable, caméra de vidéosurveillance…), mais également de capter sa correspondance privée, de connaître ses relations, et de collecter d’autres informations qui restaient, jusqu’à maintenant, propres à la sphère privée109.
De fait, avec des techniques différentes de celles imaginées et décrites110 par George Orwell111, Big Brother112 et sa surveillance omniprésente s’immisce dans notre monde moderne et numérique. Dans les centres commerciaux et les centres-villes, dans les transports en commun, dans les rues et les places des villes et villages, la surveillance des caméras de vidéoprotection113, l’enregistrement des achats, la connaissance par les banques des revenus et des dépenses, le dévoilement des modes de vie et des centres d’intérêt par les paiements effectués avec une carte bancaire, tels sont les moyens de surveiller les personnes physiques114.
De fait, avec des techniques différentes de celles imaginées et décrites110 par George Orwell111, Big Brother112 et sa surveillance omniprésente s’immisce dans notre monde moderne et numérique. Dans les centres commerciaux et les centres-villes, dans les transports en commun, dans les rues et les places des villes et villages, la surveillance des caméras de vidéoprotection113, l’enregistrement des achats, la connaissance par les banques des revenus et des dépenses, le dévoilement des modes de vie et des centres d’intérêt par les paiements effectués avec une carte bancaire, tels sont les moyens de surveiller les personnes physiques114.