§2 : LA SOUMISSION DE LA LIBERTÉ DE COMMUNICATION AU PUBLIC AU RESPECT DE LA TRANSPARENCE
SECTION 2 LA COMMUNICATION CIBLÉE DANS LE RESPECT DE LA VIE PRIVÉE RESPECT DE LA VIE PRIVÉE
244. – Le développement de la communication est consubstantiel du service de l’information, et particulièrement du commerce électronique : sans les nouvelles technologies d’information et de communication, les données qu’elles véhiculent n’auraient ni la même importance ni la même valeur. Dès lors qu’il est rendu possible techniquement de collecter des informations sur le consommateur, de son plein gré ou à son insu, la communication commerciale change de dimension et prend une toute autre ampleur.
245. – A quoi servirait-il de profiler un consommateur si l’entreprise ne pouvait communiquer avec lui en lui adressant une offre commerciale ? La communication, affinée par le traitement des données, est la condition du développement du commerce électronique et les données représentent, sans le moindre doute, la nouvelle matière première de ce siècle. Comme toute matière première, l’information (la donnée) est devenue un actif économique monnayable.
246. – Mais, paradoxe du monde numérique, alors que, partout, l’exploitation des matières premières ordinaires tarit la ressource en l’épuisant, grâce aux technologies de l’information et de la communication, le volume des données ne fait, lui, que croître inlassablement et sa production s’accélère. Aucune matière première ne dispose évidemment d’une valeur « en soi », elle ne vaut que pour l’usage qui lui sera reconnu. Les données ne dérogent pas à cette évidence, qui leur impose d’être utilisées à dessein. Collectées puis structurées, leur interprétation, par l’homme ou la machine, transforme leur nature brute. « Une information est une donnée interprétée. En d’autres termes, la mise en contexte d’une donnée crée de la valeur ajoutée pour constituer une information. La connaissance est une information comprise 204.»
247. – L’intérêt que l’entreprise trouve à cette nouvelle communication ciblée est manifeste et la libre circulation des données assoit le pouvoir de communication de l’entreprise. Quant au consommateur, il profite d’offres présélectionnées, censées d’autant mieux correspondre à ses goûts et/ou ses besoins, qu’il les a lui-même exprimés.
248. – Néanmoins, cette liberté de communication au public se heurte à une autre, tout aussi fondamentale, celle du consommateur de bénéficier d’une vie privée205. Si, au nom de la première, il est toléré que les informations sur le consommateur soient récoltées, stockées et traitées par l’entreprise, le législateur tente de l’articuler avec celle du respect de la vie privée des titulaires des données. Le nouveau règlement relatif aux données à caractère personnel, dit RGPD206, rappelle dans son considérant 4 que « le traitement des données à caractère personnel devrait être conçu pour servir l’humanité ». La liberté de collecter et traiter des données ne peut donc être qu’encadrée207.
249. – Il convient d’observer que les législateurs successifs ont toujours pris grand soin d’afficher une corrélation entre la liberté de communication et le droit à la vie privée.
250. – Le droit positif actuel relatif aux traitements des données à caractère personnel est issu de nombreux textes. De la promulgation de la loi n°78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, dite loi Informatique et libertés, jusqu’à sa réécriture par l’Ordonnance n°2018-1125 du 12 décembre 2018 pour mettre en application le Règlement 2016/679 du Parlement européen et du conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, quarante années se sont écoulées, contemporaines d’une transformation technologique radicale.
251. – Le droit national a d’abord encadré, seul, le traitement des données personnelles, avant que cet encadrement ne devienne, au vu de l’ampleur du développement des nouvelles technologies de l’information et des communications, un enjeu européen. L’ambition de préserver la vie privée de l’individu a été le souci constant du législateur.
De la loi Informatique et libertés au RGPD
252. – La loi n°78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, dite loi Informatique et libertés, est intervenue dans un contexte qui permettait aux systèmes informatiques de constituer librement, au prix d’un simple recours à des techniques nouvelles, des fichiers d’ordre général, sur les individus en particulier. C’est un article du
205 FORSTER F., « Le big Data est-il le nouvel or noir des entreprises ? », E.D.I, avril 2017, n°67.
206 Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE.
207 HAAS Gérard, Guide juridique de l’e-commerce et de l’e-marketing, coll. Eni, sept. 2015, 446 p., ISBN :978-2-7460-9755-1
journal « le Monde »208, publié le 21 mars 1974, dénonçant le projet d’interconnexion de fichiers administratifs, qui a pointé l’étendue d’un fichage rendu désormais possible par la technologie. Cette prise de conscience aboutit à la loi précitée et à la création de la Commission Nationale de l’Informatique et des Libertés - CNIL.
253. – La volonté du législateur est claire : concilier élaboration de fichiers et libertés, ce pluriel renvoyant autant à la liberté d’établir des fichiers qu’aux libertés individuelles. L’article premier de la loi dispose que « l’informatique doit être au service de chaque citoyen (…). Elle ne doit porter atteinte ni à l’identité humaine, ni aux droits de l’homme, ni à la vie privée, ni aux libertés individuelles ou publiques ». La loi inscrit l’informatique dans le cadre des droits de l’Homme, elle définit à la fois les données et leur traitement et elle pose de nombreux principes, encore en vigueur, en particulier celui du consentement de l’intéressé, auquel elle confère des droits sur ses données, quant à leur traitement.
254. – La loi dite Informatique et Libertés a été modifiée par la loi du 6 août 2004, transposant la directive 95/46/CE du parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données : le traitement automatisé a été encadré, de nouvelles règles sont édictées pour la déclaration des fichiers à la CNIL, le cadre juridique du traitement des données est harmonisé au niveau de l’Union et un groupe de travail, le G 29, est constitué.
255. – La divulgation d’affaires médiatisées, susceptibles de réduire à néant la confiance de l’internaute, imposa de retravailler cette directive de 1995, rendue obsolète par l’ampleur des procédés de traitement des données. L’affaire Snowden209, en particulier, scandalisa une partie de l’opinion mondiale lorsque fut établie la mise en place par la National Security Agency américaine d’un système secret de surveillance par la collecte massive de données, au nom de la sécurité nationale - prétexte détourné à des fins, notamment, économiques.
256. – Le législateur européen se devait d’intervenir, ce qu’il fit en remplaçant la Directive du 24 octobre 1995 - qui laissait subsister une insécurité juridique au niveau
208 Le Monde, 21 mars 1974, « Safari ou la chasse aux Français ».
209 GREENWALD Glenn, No Place to Hide, Metropolitan Books, Henry Holt and Compagny, LLC, 2014 Pour la traduction française Nulle part où se cacher, éd. Jean-Claude Lattès, 2014, ISBN : 978-2-7096-4641-3.
européen - par le Règlement 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, dit RGPD.
257. – Ce Règlement entré en vigueur le 25 mai 2018, crée davantage de cohérence et d’uniformisation entre Etats membres de l’Union Européenne. Il reprend les grands principes posés par la précédente directive du 24 octobre 1995 - liberté de collecter et de traiter les données en affirmant leur libre circulation au sein de l’Union - tout en modifiant profondément le système de protection afin que le droit conjugue l’intérêt des entreprises commerciales dans l’économie numérique à celui des personnes physiques, par le respect de l’individu, et plus particulièrement de sa vie privée.
258. – L’application directe du Règlement dans les Etats membres aurait pu conduire, en France, à l’abrogation de la loi n°78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés. Pourtant, l’Etat français a choisi non pas d’abroger ladite loi mais plutôt de la modifier, ou même de la réécrire, en l’adaptant au texte européen par la loi n°2018-493 du 20 juin 2018 relative à la protection des données personnelles, le décret n°2018-687 du 1er août 2018 et l’Ordonnance n° 2018-1125 du 12 décembre 2018.
259. – Nous choisissons de faire principalement appel aux articles du RGPD pour appuyer nos réflexions. Il sera fait référence à l’Ordonnance n° 2018-1125 du 12 décembre 2018 dans le cas des spécificités nationales.
La justification de l’encadrement des traitements des données à caractère personnel.
260. – Autoriser la libre collecte et le traitement des informations relatives à une personne humaine soulève des inquiétudes légitimes, auxquelles le législateur doit répondre en conjuguant l’une à l’autre deux libertés qui se confrontent : celle de l’entreprise - communiquer librement avec un client - et celle du consommateur - faire respecter sa vie privée. S’adresser au consommateur par les moyens sophistiqués que la nouvelle technologie produit avec aisance ne doit être possible que dans des conditions précisément définies et encadrées.
261. – Il convient de déterminer, en premier lieu, ce qu’exprime la notion de vie privée et les raisons pour lesquelles il convient de la protéger.
262. – En France, les libertés individuelles ont été affirmées dans la Déclaration des Droits de l’Homme et du Citoyen (DDHC), votée par l’Assemblée constituante du 20 au 26 août 1789, qui constitua une avancée majeure dans la reconnaissance des droits accordés à l’individu - propriété, liberté, sûreté, etc. Cette première génération de droits avait pour objectif la protection de l’individu contre les éventuelles dérives d’un Etat fort.
263. – A la suite du cortège d’horreurs de deux guerres mondiales, s’est élevée la volonté de conférer une consécration supérieure à certains droits et libertés fondamentaux, afin de réfréner la folie des hommes. Cette nouvelle génération de droits fondamentaux, née au XXème siècle, offre à l’Homme la possibilité d’exercer sa liberté - le droit à l’éducation, par exemple.
264. – Au fil des siècles, de nombreux Etats - particulièrement la France - ont tenu à protéger l’individu en lui accordant certains droits et libertés210, lesquels ne sauraient naturellement être remis en question par les nouvelles technologies211, alors que certaines d’entre elles sont porteuses d’interrogations à ce sujet, par les pratiques qu’elles induisent ou qu’elles rendent possibles. Ainsi l’automatisation du traitement des données personnelles fait courir le risque d’un profilage de l’individu - aboutissant à une connaissance de plus en plus fine de sa singularité naturelle -, d’une intrusion dans son espace intime et privé, ou de la divulgation, voire de l’utilisation, des données ainsi acquises au profit d’ambitions commerciales, tous risques en rapport avec la violation de la vie privée de l’individu. Cette notion de vie privée bénéficie d’une protection conformément à l’article 4 de la DDHC. L’article 9 du Code civil dispose que « chacun a droit au respect de sa vie privée ». Si le droit à la vie privée se raccroche aux droits de l’homme de « deuxième génération », il n’est défini par aucun texte national ou européen212, une jurisprudence abondante213 ayant étayé les contours de cette notion large et non exhaustive: la capacité de vouloir, et de pouvoir, soustraire certaines informations aux yeux et commentaires des autres pourrait définir la vie privée, mais cette vision n’emporte pas le consensus, les limites et l’intérêt de la vie privée évoluant avec chaque époque et chaque culture - le droit à l’information étant ainsi souvent privilégié face au droit à la vie privée dans la société contemporaine. La confrontation
210 V. Liberté et droits fondamentaux, collectif, sous le direction de CABRILLAC Rémy, FRISON-ROCHE M.A, REVET Thierry, Dalloz –Sirey, 14 e éd., 2008, 860 p., ISBN-13 978-2247070932.
211 BLAY- GRABARCZYK Katarzyna, « Vie privée et nouvelles technologies », RDLF, 2011, chron. n°7, disponible sur www.revuedlf.com
212 CEDH, 29 avril 2002, n° 2346/02, aff. Pretty c/ Royaume Uni.
213 V. pour ex. CEDH, 7 fév. 2002, n°53176/99, Mikulic c/Croatie ; CEDH, 28 janv.2003, n°44647/98, Peck c/Royaume-Uni ; CEDH, 11 juill.2002, n°28967/95, C.Goodwin c/Royaume-c/Royaume-Uni.
éventuelle de ces deux droits n’est certes pas récente mais l’avènement des nouvelles technologies et la diffusion quasi-instantanée de l’information rendent ce face-à-face plus inégal désormais.
265. – Le législateur européen reconnait, certes, l’intérêt économique des données pour l’entreprise mais, cependant, il n’a pas renoncé à cette protection, inscrite dans l’Histoire, de la vie privée des citoyens. Ensemble ou séparément, l’utilisation de ces données, leur traitement automatisé et leur regroupement, sont soumis à un encadrement législatif, lequel impose des obligations à l’entreprise tout en lui reconnaissant la liberté d’utiliser une publicité ciblée.
266. – Affirmer la liberté de l’entreprise en matière de collecte et de traitement des données nécessite d’établir parallèlement les obligations éthiques pesant sur l’entreprise (§1). Le poids des nouvelles garanties mises à la charge de l’entreprise, en particulier la lourde responsabilité qui lui incombe quant à la sécurité des données, conduit à s’interroger sur l’existence de l’équilibre entre liberté de communication et droit à la vie privée du consommateur (§2).