L'autonomisation du droit a la protection des donnees a caractere personnel a l’echelle internationale

113. - La reconnaissance du volet « privé » du droit au respect de la vie privée s'accompagne du développement de la dimension informationnelle de ce droit. C'est en effet, par rapport à la publication d'informations sur les personnes qu'on commence, dès la deuxième moitié du XXème siècle, à détecter les menaces que représentent pour l'individu les autre acteurs privés – tels que son employeur, son banquier, son assureur, etc. La source éventuelle d’atteinte à la vie privée ne provient donc plus uniquement de la puissance publique, mais de plus en plus se situe du côté des acteurs privés qui sont susceptibles d'utiliser les informations relatives aux aspects privés de la vie des individus pour mettre en danger leurs libertés et leur capacité de garder certaines choses secrètes346.

114. - Dans la tradition européenne, la protection des données a tout d'abord été rattachée à la liberté personnelle. Par exemple, en combinant les articles 2 et 4 de la DDHC, le juge constitutionnel français visait la protection de la liberté des individus par le biais de la protection de leurs données à caractère personnel contre une utilisation abusive347. Par la suite, cette protection a davantage été rattachée à la notion de vie privée, elle-même découlant par ailleurs de la liberté individuelle. La protection des données en tant que droit qui découle directement de la protection de la vie privée est confirmée à la lecture du considérant n° 10 de la directive 95/46/CE qui dispose que « l'objet des législations nationales relatives au

traitement des données à caractère personnel est d'assurer le respect des droits et libertés fondamentaux, notamment le droit à la vie privée reconnu également dans l'article 8 de la Convention européenne de sauvegarde des droits de l'homme et des libertés fondamentales et dans les principes généraux du droit communautaire ». Pour la CEDH, c'est l'interprétation

extensive de l'article 8 de la Convention EDH relatif à la protection de la vie privée et familiale qui impose que la protection des données à caractère personnel puisse être considérée comme un droit fondamental quand bien même ceci n’est pas expressément indiqué dans le texte de la Convention EDH348. Le juge européen reconnaît, dans ce sens, « le rôle fondamental que joue

______________________________

346 M. Contamine-Raynaud, « Le secret de la vie privée, ouvrage collectif, L'information en droit privé », LGDJ, 1978, p. 454, n° 36.

347 V. dans ce sens Cons. Const., 25 juill. 1991, Accords de Schengen, n° 91-294 DC, Rec., p.91, RJC, p. I-455. Pour protéger les données, les jurisprudences constitutionnelles attachent une importance décisive à la finalité du stockage des données afin d’éviter l’utilisation des informations nominatives dans un but étranger à l’objectif initialement prévu, en imposant par exemple des limites et des conditions à leur collecte de la part des pouvoirs publics. Ainsi, c’est le détournement des données qui est évidemment prohibé. Parmi un nombre important de commentaires, on mentionnera l’analyse de G. Vedel, « Schengen et Maastricht », RFD adm., 1992, p. 173 ; Cons. Const., 20 janv. 1993, Prévention de la corruption, n°92-316 DC, Rec., p.14, RJC, p.I-516 ; D. Pouyaud, « Concurrence, transparence et libre administration », RFD adm., 1993, p. 902. Pour le juge constitutionnel, le législateur ne peut pas déroger aux dispositions de la LIL, et ceci même lorsqu'il vise à atteindre d'autres objectifs de valeur constitutionnelle.

348 CEDH Leander c/ Suède, 26 mars 1987, série A, n° 116, L.E. Pettiti, F. Teitgen, RSC, n° 3, juill.-sept. 1987, p. 749 : le § 67 de l'arrêt énonce que « le registre secret de la police renfermait sans contredit des données relatives à la vie privée de (M.X). Tant leur mémorisation que leur communication, assorties du refus d'accorder à (M.X) la faculté de les réfuter, portaient atteinte à son droit au respect de sa vie privée, garanti par l'artile 8 § 1 », alors que le § 41 de l'arrêt énonce que « la protection des données à caractère personnel (…) revêt une importance fondamentale pour l'exercice du droit au respect de la vie privée et familiale garanti par l'art. 8 de la convention ». V. ég. CEDH Rotaru c/ Roumanie, req. n° 28341/95, arrêt du 4 mai 2000 sur

103

la protection des données à caractère personnel »349. Dans ce sens, le droit au respect de la vie privée devient progressivement un droit de contrôle sur des informations personnelles350. Mais avec le temps, le droit à la protection des données à caractère personnel s'est détaché de celui relatif à la vie privée pour devenir un concept autonome. Ce détachement a commencé en 1981 lorsque fût adoptée dans le cadre du Conseil de l'Europe la Convention pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel (dite « convention 108 »). Cette dernière garantissait spécifiquement en son article 1er « à toute

personne physique (…) le respect (…) de son droit à la vie privée à l'égard du traitement automatisé des données à caractère personnel la concernant ». Ensuite, le droit explicite à la

protection des données à caractère personnel a été consacré de manière indépendante de la protection de la vie privée par l'article 8 de la Charte des Droits Fondamentaux de l'Union Européenne351, qui suit directement la disposition relative au respect de la vie privée et familiale. Malgré quelques voix critiques concernant cette émancipation352, il est légitime d'interpréter le texte de la Charte dans le sens où il confère à la protection des données un caractère fondamental. Dans le cadre de son travail, la CJCE a, par exemple, procédé au rapprochement de l'article 8 de la Convention EDH avec la Charte des Droits Fondamentaux de l'Union Européenne pour considérer, dans l'affaire « Promusicae » de 2008, que la question de la conservation et de la transmission des données à caractère personnel détenues par les FAI relève bien du champ d'application de ces deux textes353. Les tribunaux nationaux ont suivi le mouvement, comme par exemple la Cour constitutionnelle espagnole qui, en s'inspirant des travaux préparatoires de la Charte européenne des droits fondamentaux, a considéré que le droit fondamental à la protection des données à caractère personnel est un droit autonome. Plus récemment, ce caractère auronome a été conféré au droit fondamental de la protection des données en vertu de l’article 1er _{de la Déclaration commune des autorités européennes de}

protection des données réunies au sein du Groupe de l’article 29 (G29), adoptée le 25 novembre 2014354.

______________________________

les fichiers et la systématisation de la mémorisation des informations des services de renseignement et des pouvoirs publics ; CEDH Perry c/ Royaume-Uni, 17 juill. 2003, req. n° 35829/97 sur l'usage détourné d'un système de vidéosurveillance durant la garde à vue ; CEDH S. et Marper c/ Royaume-Uni, 4 déc. 2008, n° 30562/04 et 30566/04.

349 CEDH L.L c/ France, req. n° 7508-02, 10 oct. 2006, 2° sect., D. 2006, som. jsp. p. 2692.

350 D. Gutmann, « Le sentiment d'identité », LGDJ, Coll. Bibl. dr. privé, 2000, t. 327, n° 247, p. 221.

351 L'art. 8 de la Charte intitulé « Protection des données à caractère personnel » énonce que « 1. Toute personne a droit à la protection des données à caractère personnel la concernant. 2. Ces données doivent être traitées loyalement, à des fins déterminées et sur la base du consentement de la personne concernée ou en vertu d’un autre fondement légitime prévu par la loi. Toute personne a le droit d’accéder aux données collectées la concernant et d’en obtenir la rectification. 3. Le respect de ces règles est soumis au contrôle d’une autorité indépendante. ».

352 V. E. Dreyer, « La fonction des droits fondamentaux dans l'ordre juridique », D. 2006, p. 748. Pour l'auteur, la reconnaissance en tant qu'un droit fondamental « ne fait que contribuer à un mouvement pernicieux, consistant à galvauder les droits fondamentaux, (…) à qualifier de la même façon le droit et ses démembrements ». V. égal. G. Lebreton, « Critique de la Charte des Droits Fondamentaux de l'Union Européenne », D. 2003, p. 2319. L'auteur estime, quant à lui, qu'il ne s'agit là que des droits créances.

353 Aff. « Promusicae », CJCE, 29 janv. 2008, Productores de Musica de Espana (Promusicae) c/ Telefonica de Espana SAU, aff. C-275/06, Lég., mars 2008, n° 249.

354 La Déclaration a été présentée lors de l’ « European Data Governance Forum » le 8 déc. à Paris. Adresse : http://www.cnil.fr/linstitution/international/g29/edgf14/.

104

Ensuite, la valeur constitutionnelle de cette protection est affirmée par plusieurs Etats, comme en France où le Conseil constitutionnel s'est régulièrement fondé sur ce droit pour examiner la constitutionnalité de dispositions législatives tendant à la création de fichiers : ainsi, l'encadrement législatif des fichiers de police judiciaire STIC et JUDEX355 ou FNAEG356, l'encadrement du registre national des crédits aux particuliers357 _{ou encore la création du dossier}

médical personnel358, ont été examinés sous l'angle du respect de la vie privée et de la proportionnalité de la mesure au regard des objectifs poursuivis par la loi. D'autres pays ont également reconnu le droit à la protection des données à caractère personnel comme principe à valeur constitutionnelle. Tel est, par exemple, le cas de la Grèce, dont la Constitution spécialement amendée en 2001 dispose dans son article 9 A que « chaque individu a le droit

d'être protégé contre la collecte, le traitement et l'utilisation, en particulier par voie électronique, de ses données personnelles, selon des conditions prévues par la loi. La protection des données personnelles est assurée par une autorité indépendante, qui est constituée et fonctionne selon des conditions prévues par la loi ». Il est intéressant de souligner

la position du constituant grec pour lequel les données à caractère personnel semblent particulièrement être mises en danger par la voie des communications électroniques. Un rapprochement peut, par ailleurs, être fait avec la position du constituant espagnol qui a, dès 1978, mis l'accent sur le rôle de l'informatique dans le respect de l'honneur et de l'intimité des personnes359.

115. - De manière générale, le corollaire de l'admission des traitements est, bien entendu, la protection des données faisant l'objet de ceux-ci. Par principe, pour être traitées de manière licite, les données doivent avoir été recueillies selon un ensemble de principes qui garantissent la protection des personnes. Tel est donc l'objectif premier des lois relatives au domaine des données à caractère personnel. Définie à l’international comme « un droit des individus de

savoir comment les données les identifiantes sont traitées, ainsi que des garanties qui s’attachent à ce traitement »360, cete protection fait désormais l’objet d’une législation à part. Son appréhension de manière autonome remonte pour la première fois à une loi allemande du ______________________________

355 Cons. Const. n° 2003-467, 13 mars 2003 relative à la loi pour la sécurité intérieure.

356 Cons. Const. n° 2010-25 QPC, 16 sept. 2010. Le FNAEG est le fichier national automatisé des empreintes génétiques qui a été créé par la loi n° 98-468 du 17 juin 1998 relative à la prévention et à la répression des infractions sexuelles ainsi qu'à la protection des mineurs. Or, son objectif a rapidement commencé à être élargi à bien d'autres crimes et délits, tels que les atteintes volontaires à la vie de la personne, le trafic de stupéfiants, le proxénétisme ou les actes de terrorisme. Pour juges les dispositions de cette loi conformes à la Constitution, le juge s'est fondé sur l'ensemble des garanties entourant la mise ne œuvre du fichier, notamment le contrôle de la CNIL, celui d'un magistrat, le fait qu'il ne concerne que les personnes condamnées pour certaines infractions et celles pour lesquelles il existe des indices graves et concordantes, ou encore l'existence du droit d'accès. Il a également relevé que les empreintes génétiques conservées permettaient uniquement l'identification des personnes, et non la recherche de leurs caractéristiques génétiques.

357 Cons. Const. n° 2014-690 du 13 mars 2014 relative à la loi sur la consommation. Pour le juge constitutionnel, si la prévention des situations de surendettement constitue un motif d'intérêt général, l'atteinte portée au droit à la vie privée est disproportionnée « eu égard à la nature des données enregistrées, à l'ampleur du traitement, à la fréquence de son utilisation, au grand nombre de personnes susceptibles d'y avoir accès et à l'insuffisance des garanties relatives à l'accès au registre » (§57).

358 Cons. Const. n° 2004-504, 12 août 2004 sur la loi relative à l'assurance maladie.

359 V. art. 18.4 de la Constitution espagnole du 29 déc. 1978 précitée : « La loi limitera l'usage de l'informatique pour garantir l'honneur et l'intimité personnelle et familiale des citoyens et le plein exercice de leurs droits ».

105

land de Hesse361 _{et a rapidement été suivie en 1973 par la première loi nationale de la protection} des données362_{. 40 ans plus tard, en 2012, on faisait état de 89 législations nationales en la} matière363_{. Les méthodes de réglementation diffèrent, toutefois, en fonction des contextes} juridiques, administratifs et culturels de chaque pays, les principes applicables s’étant graduellement formés en fonction du patrimoine historique et philosophique et des dominantes socio-culturelles caractéristiques de chaque pays. Ainsi, alors que certains Etats ont instauré des mécanismes administratifs, d’autres au contraire ont énoncé des codes de bonne conduite destinés à prévenir la violation de droits fondamentaux des personnes364_.

116. - Ceci étant, un ensemble de garanties peut être dégagé en tant que socle commun de tous les textes adoptés, au moins dans la tradition européenne. Parmi ces garanties, nous retrouvons notamment une exigence de consentement de la personne dont les données font l'objet de traitement. D'autres principes sont relatifs à la qualité des données, à savoir la loyauté de la collecte, le respect des finalités légitimes (finalités « déterminées et légitimes » citées par la Convention n° 108), la proportionnalité du traitement mis en œuvre ou encore le respect de la durée de conservation des données365. Il est également généralement admis qu'en dehors des hypothèses strictement encadrées par la loi, une interdiction doit être mise à la collecte des données dites « sensibles ». Selon les textes, on retrouve par ailleurs un certain nombre de droits dont disposent les personnes par rapport à leurs données – sous dénominations qui varient parfois légèrement, il s'agit du droit d'accès, de rectification et d'opposition au traitement. Le dernier élément de ce socle commun est l'obligation de sécurité qui pèse sur le responsable de traitement. Enfin, des autorités indépendantes chargées du contrôle du respect des garanties ci- dessus ont été mises en place par les Etats.

117. - En France, par exemple, c'est la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés (« loi Informatique et Libertés »)366 _{qui constitue le texte applicable}

______________________________

361 Loi du land de Hesse (RFA), du 7 oct. 1970, in « Gesetz-und verordnungsblatt für das land Hesse », Teil I, n° 41, Wiesbaden, 12 oct. 1970, Texte français in G.B.F. Niblett « L’information numérique te la protection des libertés individuelles », Paris, OCDE, 1971, p. 51-56. V. ég. D. Wright, P. de Hert, S. Gutwirth, « Are the OECD Guidelines at 30 showing their age ? », 2011, 54 (2).

362 Loi suédoise du 11 mai 1973 sur la protection des données, 5 CLSA App. 19-5.2a, n° 2.

363 G. Greenleaf, « Global Data Privacy Laws: 89 Countries, and Accelerating », Privacy Laws & Business International Report, n°115, févr. 2012, Queen Mary School of Law Legal Studies Research Paper, n° 98/2012.

364 Par exemple, en Suède et en Allemagne, la méthode adoptée consistait à créer des commissions et des bureaux administratifs habilités à enregistrer des banques de données, à contrôler l’exploitation de tels systèmes par une procédure d’autorisation et à instaurer divers types d’ombudsmen (médiateurs) ou de mécanismes de recours au niveau national ou, dans le cas de l’Allemagne, à celui de lands. En revanche, la protection des données en Grande Bretagne a pris la forme d’une énonciation de codes de bonne pratique destinés aux organisations participant à l’économie numérique.

365 Il s'agit, en effet, de garantir la loyauté du traitement de données, c'est-à-dire l'adéquation et la pertinence des données par rapport à la finalité du traitement annoncée à la personne concernée lors de l'information préalable (pour éviter à ce que des données trop nombreuses et non-pertinentes soient collectées inutilement) ; l'exactitude des données (le données doivent donc être régulièrement mises à jour pour ne pas devenir obsolètes – ceci est rendu possible grâce à l'exercice du droit d'accès et de rectification par les personnes concernées) ; et enfin, la confidentialité et la sécurité des données (à laquelle est liée la durée de traitement). Enfin, l'autre garantie communément requise est celle de la finalité du traitement qui est l'objectif de la mise en ouvre du traitement annoncé par le responsable de celui-ci.

366 Loi n° 78-17 du 6 janv. 1978 relative à l'informatique, aux fichiers et aux libertés (LIL), JO du 7 janv. 1978, p. 227- 231 et rectificatif au JO du 25 janv. 1978.

106

aux données à caractère personnel – un texte précurseur, présentant le caractère d’une Charte des libertés de l’homme vivant dans une société informatisée367_{. A travers une des décisions du}

Conseil constitutionnel368_{, cette loi est, par ailleurs, consacrée en tant que composante à part}

entière du « bloc de constitutionnalité qui la vivifie »369_{. Elle constitue la première véritable}

manifestation de la volonté de réguler le rapport de force entre, d'une part, le besoin de protéger les renseignements concernant les personnes et, d'autre part, la promotion de la libre circulation de données, en tant que chose inévitable et nécessaire dans le monde dominé par des échanges virtuels. A ce titre, un triple régime est établi en France s'agissant des traitements réalisés, avec une interdiction de principe pour les informations les plus sensibles (concernant la race, la religion, les opinions philosophiques, politiques ou syndicales, et ce, hormis certains cadres tels que celui d’une organisation religieuse), un mécanisme d’autorisation législative ou par règlement de la CNIL pour les informations moins sensibles et enfin un système de simple déclaration pour les informations les plus « anodines ». Par conséquent, tout traitement de données personnelles à caractère direct ou indirect qui n'est pas susceptible de porter atteinte à la vie privée et aux libertés des personnes doit être déclaré à la CNIL (sauf si un correspondant informatique et libertés a été désigné dans l’organisme réalisant le traitement). S’il s’agit de données sensibles, la simple déclaration ne suffit plus et une autorisation doit être demandée à la CNIL. Pour que le texte français puisse s'appliquer, le responsable du traitement doit être établi sur le territoire français ou encore doit y exercer son activité370.

118. - A l'échelle internationale, la protection des données à caractère personnel a été très tardivement prise en compte par les Nations Unies, après l'adoption de textes généraux par l'OCDE371 _{et le Conseil de l’Europe}372_{. Ce dernier texte du Conseil de l'Europe – la Convention}

n° 108 - présente, par ailleurs, un intérêt particulier, étant donné qu'en imposant aux États signataires l'obligation d'adopter une loi reprenant les principes de la Convention et prévoyant des sanctions et recours, il constituait le premier instrument législatif international dont la portée permettait d'obtenir un droit contraignant et sanctionné. De son côté, l’ONU a laissé l'initiative législative aux États, en émettant 10 « Principes directeurs pour la réglementation

des fichiers informatisés contenant des données à caractère personnel »373_{. Sans apporter de}

______________________________

367 RLDI, 2013, n° 545

368 Cons. Const. n° 92-316 du 20 janv. 1993 intervenue à propos de la loi relative à la prévention de la corruption et à la transparence de la vie économique et des procédures publiques, JO du 22 janv. 1993, p. 1118 , D., p. 14. Dans cette décision, les juges constatent que les dispositions de la LIL participent au dispositif protecteur de la liberté individuelle

369 J. Frayssinet, « Le Conseil constitutionnel et la loi relative à l’informatique, aux fichiers et aux libertés », Cahiers Lamy, juin 1993 (D), p. 4.

370 V. art. 5 de la loi ; CJCE, 9 oct. 2008, aff. C-304/07, Directmedia Publishing : JCP E 2009, 1674, n° 1, obs. Vivant, Mallet-Poujol et Bruguière ; RLDI 2009/43, n° 1411, obs. Costes ; Comm. Comm. Électr. 2009, n° 3, comm. 24, note Caron ; Propr. Industr. 2008, comm. 98, note Larrieu.

371 Lignes directrices régissant la protection de la vie privée et les flux transfrontaliers de données à caractère personnel du 23 sept. 1980, inspirées par le Code of Fair Information Practices américain de 1973.

372 Convention du Cons. E. pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel STCE n° 108, 28 janv. 1981, signée à Strasbourg. Elle est entrée en vigueur le 1er oct. 1985 suite à 5 ratifications. Actuellement, elle concerne plus de 40 parties. Le Protocole STE n° 181 du 8 nov. 2001 signé à Strasbourg a renforcé les obligations des parties signataires en les obligeants d'instaurer des autorités de contrôle et de garantir leur rôle.

373 Rés. n° 45/95, AGNU, 14 déc. 1990, relative aux principes directeurs pour la réglementation des fichiers personnels informatisés.

107

définition précise, la résolution onusienne reprend néanmoins les principaux points déjà présents dans la loi Informatique et Libertés, à savoir : le principe de la loyauté et de la licéité