LE DROIT A L'ANONYMAT EN TANT QUE COMPOSANTE DU DROIT A LA VIE PRIVEE ET DE LA LIBERTE D'EXPRESSION

148. - En absence de définition juridique de l'anonymat455, celui-ci peut être entendu comme «

l'état dans lequel une personne se trouve ou non suivant qu'une règle de droit lui permet ou non de ne pas s'identifier dans ses relations avec autrui »456. Le droit à l'anonymat pourrait donc s'entendre d'une liberté de ne pas s'identifier dans les actes de la vie quotidienne, même producteurs d'effet juridique. Traditionnellement, cela signifie donc la liberté de chacun de ne pas apposer son nom sur une boîte aux lettres, de figurer sur la liste rouge, de refuser de révéler son patronyme hors les cas prévus par la loi457.

Dès 1999, en se penchant sur la question de la protection de la vie privée sur Internet, le Comité des ministres du Conseil de l'Europe a considéré que « l'accès et l'utilisation anonyme des

services (…) constituent la meilleure protection de la vie privée »458_.

Pour certains auteurs, dès lors qu'il semble inconcevable aujourd'hui, que ce soit dans l'environnement numérique ou traditionnel, d'entraver totalement l'identification des individus459_{, le droit à l'anonymat ne peut être légitimement considéré comme le droit à la non-}

identification totale. Dans ce sens, il se réduirait aux mêmes principes que le droit à la protection de l'identité numérique car il consisterait simplement en une activité d’encadrer au mieux les données identificatrices afin qu’elles ne se retournent pas contre les personnes qu’elles concernent. A travers une telle garantie, l'anonymat des personnes serait protégé dès lors qu'était respecté leur choix à préserver leur identité de toute dénaturation.

______________________________

455 Sur l'anonymat, v. J-Ch. Saint-Pau, « L'anonymat et le droit », thèse, Bordeaux IV, 1998 ; J. Pousson-Petit, « Le droit à l'anonymat », in Mélanges Boyer, p. 595 et s.

456 Pour J-Ch. Saint-Pau, l'anonymat est la manière d'être ou la situation d'une personne qui est sans nom, ou plus exactement dont le nom n'est pas connu ou qui ne fait pas connaître son nom, op.cit. n° 10.

457 P.ex. le contrôle d'identité prévue à l'art. 78-1 du code de la procédure pénale.

458 Comité des ministres du Cons. E. sur la protection de la vie privée sur Internet, Annexe de la rec. n° R (99) 5, 23 févr. 1999, II, 3°.

131

149. - La vision la plus répandue de l'anonymat est, cependant, plus restrictive. Dans le contexte dématérialisé, certains affirment que le droit à l'anonymat signifie que « toute personne

physique est libre de l'utilisation de son identité numérique et a notamment le droit de crypter cette identité à des fins de confidentialité et d'anonymat »460. L’anonymat exercé sur Internet

corresponderait alors au refus d'être identifié dans les lieux publics. Concrètement, il s'agirait donc de « brouiller » son identité sur Internet, que ce soit par l'usage d'un pseudonyme, par la rétention de certaines informations, par la multiplication d'adresses e-mail utilisées ou encore par des déclarations mensongères461. Appliqué plus particulièrement aux réseaux sociaux, le concept pourrait être entendu comme « le droit d'agir sur un service de réseautage social sous

un pseudonyme sans avoir à révéler sa véritable identité aux autres utilisateurs ou au public le plus large »462. Interprété de cette manière, le droit à l'anonymat apparaît comme un prolongement de la liberté d'expression463. A ce titre, dès lors que la liberté d'expression fait partie des libertés constitutionnellement garanties par la Loi Fondamentale allemande464, le juge allemand considère que l’obligation imposée aux individus de s’identifier pour exprimer leur opinion sur des plateformes en ligne créerait, de manière générale, le risque qu’une personne pourrait décider de ne pas s’exprimer par crainte de représailles ou de toute autre conséquence négative, ce qui pourrait conduire à des effets d’autocensure465_.

Mais au-delà de l'idée de pouvoir agir sans révéler son identité réelle, le droit à l'anonymat se traduit également par la prérogative plus précise consistant à s'opposer à l'investigation et à la divulgation de son identité civile, physique et économique466. Dans ce sens, en France, la ______________________________

460 Groupe de travail TIC, « Déclaration des droits de l’homme numérique », Mairie d’Issy-les-Moulineaux, Livre blanc d’A. Santini et d’A. Bensoussan, 20 nov. 2000, p. 18. Sur ce point, il convient de souligner que le droit à l'anonymat ne doit pas être assimilé au droit à l'oubli, tel qu'il est spécifié par l'art. 6 de la LIL : « les données sont conservées sous une forme permettant l’identification des personnes concernées pendant une durée qui n’excède pas la durée nécessaire aux finalités pour lesquelles elles sont collectées et traitées ». Dans ce sens, quand bien même ces deux concepts se rapprochent en ce qu'ils concernent tous les deux la protection d'identité numérique, s'agissant du droit à l'oubli, c'est un droit correctif, c'est-à-dire qu’il s’exerce à posteriori de la collecte, volontaire ou non, d’informations. Son objectif est donc de permettre à faire cesser un traitement de données. Le droit à l’anonymat aurait lui une vocation préventive, de sorte que le droit à l’oubli n’aurait à être exercé que lorsque le droit à l’anonymat n’as pas été correctement mis en oeuvre ou respecté. Ainsi, le droit à l'anonymat chercherait à prévenir la collecte illégale ou la dénaturation des données identifiantes. V. I. Bouhdana, « Constitution et le droit à l'oubli numérique : état des lieux et perspectives », Revue de l'Institut du monde et du développement, éd. Imodev, 2011, p. 3.

461 G. Bell, « Secret, lies & the possible perils of truthful technology », conférence prononcée dans le cadre du programme Lift de la Fing, 2008.

462 Groupe international de travail sur la protection des données personnelles dans les télécommunications, « Report and guidance on privacy in social networks services » (« Rome memorandum »), 4 mars 2008, 675.36.5, http://www.datenschutz-berlin.de/content/europa- international/international-working-group-on-data-protection-in- telecommunications-iwgdpt/working-papers- and-common-positions-adopted-by-the-working-group. .

463 V. dans ce sens, Arista Records c/ Doe 3, Docket n° 09-0905-cv, 29 avr. 2010, U.S. Court of Appeals, 2d Circuit. Le juge américain rappelle que la liberté d’expression sur Internet bénéficie du plus haut niveau de protection au titre du premier amendement de la Constitution américaine, et que la possibilité de rester anonyme sur Internet, qui fait partie de cette même liberté d’expression, doit être protégée.

464 Cour d'appel de Hamm, aff. n° I-3 U 196/10, 3 août 2011, adresse : http://www.justiz.nrw.de/nrwe/olgs/hamm/j2011/I_3_U_196_10beschluss20110803.html.

465 Tribunal fédéral allemand, 15 déc. 1983, Volksählungsgesetz, BverfGE 65, 1, 41. 38. V. D. Kaplan, « Informatique, libertés, identités », FYP, 2010, p. 69. 90.

466 Il y a ainsi immixtion dans la vie privée à conduire des investigations afin de recueillir des renseignements sur l'identité d'une personne (Cass. 1re civ., 13 févr. 1985 : JCP G 1985, II, 20467, 2e esp. note R. Lindon), son adresse, sa situation

132

violation de ce droit pourrait ouvrir le droit à réparation sur le fondement de l'article 9 du code civil.

150. - Or, le droit à l'anonymat est régulièrement remis en question dans les pays qui adoptent des législations dont le but est de faire conserver certains types de données retraçant les activités menées par les Internautes, comme ceci a été préconisé tout d'abord par la directive du 8 juin 2000 sur le commerce électronique et ensuite par la directive 2006/24/CE sur la conservation des données générées ou traitées dans le cadre de la fourniture de services de communications électroniques accessibles au public ou de réseaux publics de communications du 15 mars 2006467_{. D'habitude, ces législations vont de pair avec des provisions permettant aux forces de}

l'ordre d'accéder aux données retenues et stockées dans le cadre d'investigations. Des telles règles ne restent pas sans impact sur l'anonymat des utilisateurs, que ce soit les lanceurs d'alerte, les journalistes, ou encore les personnes s’engageant dans différents discours politiques. Elles ont, en effet, pour conséquence, de créer de larges bases de données contenant les informations permettant de savoir, entre autres, qui a communiqué avec qui, pendant combien de temps et où se trouvaient les interlocuteurs. Pour cette raison, elles ont été, par ailleurs, contestées par les juridictions de plusieurs pays européens, certaines d'entre eux les ayant jugées inconstitutionnelles468, ce qui a conduit, finalement, à l'invalidation de la directive par la CJUE le 8 avril 2014469. D'autres Etats, comme le Japon, ont choisi la direction opposée en interdisant, par exemple, sous prétexte d'une utilisation abusive, l'emploi du système de navigateur TOR, qui permettait en théorie une navigation anonyme470. En Chine, par une décision en date du 28 décembre 2012, le Congrès national du peuple chinois a adopté de nouvelles mesures qui étendent à tout le pays l'obligation pour les Internautes de fournir leur véritable identité, ainsi que leur numéro de téléphone portable, à leur fournisseur d'accès471.

______________________________

patrimoniale et professionnelle, les conditions d'occupation de son logement (Cass. 1re civ., 19 déc. 1995 : D. 1997, p. 158, note J. Ravanas. – Cass. 1re civ., 6 mars 1996 : D. 1997, p. 7, note J. Ravanas ; Cass. 1re civ., 30 mai 2000, n° 98-14.610 : JurisData n° 2000-002307 ; Bull. civ. 2000, I, n° 167 ; JCP G 2002, II, note B. Montels ; RTD civ. 2000, p. 801, note J. Hauser). Cette perspective s'inscrit dans la jurisprudence européenne (V. p. ex., Schlumpf c/ Suisse, 8 janv. 2009, § 100) qui précise que la notion de vie privée peut parfois englober des aspects de l'identité physique et sociale d'un individu (CEDH, n° 53176/99, Mikulic c/ Croatie, § 53, 2002-I).

467 JO L 105 du 13.4.2006, p. 54–63.

468 Il s'agit de tels pays que la Roumanie (Tribunal constitutionnel de Roumanie, arrêt n° 1258 du 8 oct. 2009), l'Hongie, le Chypre ou laRépublique Tchèque.

469 CJUE, Gde ch., 8 avr. 2014, arrêt dans les affaires jointes C-293/12 et C-594/12 Digital Rights Ireland et Seitlinger e.a. En invalidant le texte, la Cour a estimé que le législateur européen avait dépassé les limites appropriées et nécessaires aux objectifs de recherche, de détention et de poursuite d’infractions graves, en imposant à ces fournisseurs une si large obligation de conservation des données, sans encadrement strict. Pour le juge, en vertu de l’art. 7 de la Charte des droits fondamentaux et de l’art. 8 concernant les exigences de la protection des données personnelles, l'obligation de conservation prévue par la dir. constitue une ingérence en ce sens qu’elle déroge au régime de protection du droit au respect de la vie privée instauré par les dir.s 95/46 et 2002/58 sur les traitements de données à caractère personnel. Si la Cour considère que la dir. répond effectivement à un objectif d’intérêt général, elle juge que le principe de proportionnalité n’a pas été respecté.

470 G. Pepin, « La police japonaise recommande le blocage du réseau TOR », Le Monde, 23 avr. 2013, adresse: http://www.lemonde.fr/technologies/article/2013/04/23/la-police-japonaise-recommande-le-blocage-du-reseau-

tor_3164344_651865.html.

471 Décision traduite en anglais disponible à l'adresse : http://blog.feichangdao.com/2012/12/translation-decision- regarding.html.

133

151. - Dans ce contexte, il semble intéressant d'observer que, contrairement aux pays européens, dans le système américain, l'identification n'est pas considérée comme un principe et l'anonymat reçoit une protection très forte. Aux Etats-Unis, toutes les tentatives de soumettre les intermédiaires techniques à une obligation de détention de données identifiantes d'utilisateurs ont, pour l'instant, échoué472_{. Les textes applicables dans ce domaine sont, au}

niveau constitutionnel, le Quatrième Amendement et, au niveau statutaire, l'Electronic Communications Act de 1986. De plus, plusieurs jurisprudences américaines sont venues affirmer le besoin de protection d'individus contre les divulgations de données identifiantes par les fournisseurs de services. Ainsi, en 2001, le Tribunal fédéral de Seattle473 a considéré que les internautes accusés d'avoir propagé de fausses rumeurs concernant une entreprise à travers leurs publications sur des forums de discussion où ils ont utilisé des pseudonymes au lieu de leurs véritables identités, pouvaient garder leur anonymat. Pour le juge américain, « une

personne a le droit de s’exprimer de façon anonyme », et la levée du secret de l’anonymat ne

peut être demandée que pour des raisons particulièrement graves, ce qui n’était pas le cas en l’espèce.

De même, au Canada, une récente décision de la Cour Suprême474 a confirmé que l''anonymat sur le web est un droit, et les forces de l'ordre doivent absolument posséder un mandat judiciaire pour demander à des FAI des informations sur certains de leurs clients. A l'unanimité, la plus haute juridiction du pays a jugé que l'obtention par la police de renseignements personnels sur un abonné « constitue une fouille ou une perquisition ». Il convient donc, poursuivent les huit juges, de « tenir compte du rôle que joue l'anonymat dans la protection des droits en matière

de vie privée sur Internet ». Une décision qui ne doit pas passer inaperçue lorsqu'on sait à quel

point les américains hésitent à qualifier la main mise sur les données informatiques de saisie (ce dernier concept ayant été pendant longtemps réservé aux biens tangibles, avec une ouverture progressive vers les informations). Pour conclure, le juge souligne qu' « un certain degré

d'anonymat est propre à beaucoup d'activités exercées sur Internet et l'anonymat pourrait donc, compte tenu de l'ensemble des circonstances, servir de fondement au droit à la vie privée visé par la protection constitutionnelle contre les fouilles, les perquisitions et les saisies abusives ».

152. - Enfin, en application de l'article 6.1 de la directive 2002/58/CE, « les données relatives

au trafic concernant les abonnés et les utilisateurs traitées et stockées par le fournisseur d'un

______________________________

472 En 1999, deux propositions d'instauration d'une telle obligation ont vu le jour aux Etats-Unis : une se basant sur la détermination de l'adresse IP de l'ordinateur utilisé pour initier le message électronique ou publier des contenus et l'autre imposant aux FAI de conserver les données relatives aux numéros de téléphones appelés, les adresses de sites Web visités et les destinataires des e-mails envoyés par l'utilisateur (se rapprochant donc plus du modèle européen). Un autre projet de loi, présenté le 13 févr. 2000 mais jamais adopté, était intitulé « The Internet Stopping Adults Facilitating the Exploitation of Today's Youth Act » (« SAFETY Act », H.R. 1076 et S. 436) exigeait des fournisseurs de service de communication électroniques ou de connexion numérique à distance de conserver les données permettant l'identification d'utilisateurs pendant la période d'au moins deux ans.

473 US District Court Western District of Washington at Seattle, Doe c/ 2TheMart.com, Inc, n° C01-453Z, 140 F. Supp. 2D 1088.

474 R. c. Spencer, n° 2014 CSC 43, 13 juin 2014, adresse : http://scc-csc.lexum.com/scc-csc/scc- csc/fr/item/14233/index.do?r=AAAAAQAIYW5vbnltYXQAAAAAAQ.

134

réseau public de communications ou d'un service de communications électroniques accessibles au public doivent être effacées ou rendues anonymes lorsqu'elles ne sont plus nécessaires à la transmission d'une communication (…) ». En France, la transposition de ce dispositif, le II de

l’article 34-1 du CPCI prévoit que « les opérateurs de communications électroniques, et

notamment les personnes dont l'activité est d'offrir un accès à des services de communication au public en ligne, effacent ou rendent anonyme toute donnée relative au trafic ». Ainsi, il est

admis que les données ne soient pas automatiquement supprimées, mais plutôt anonymisées. Par ailleurs, la CNIL peut émettre son avis sur un mécanisme d’anonymisation en vertu de l’article 11. Une autre illustration de la validité des pratiques d'anonymisation est la récente décision de la formation contentieuse de la CNIL475_{, par laquelle la Commission a sanctionné}

l'association Lexeek pour avoir publié sur Internet des décisions de justice non anonymisées. Par ce biais, la CNIL indique clairement que les données identifiantes ne doivent pas être librement publiées sans le consentement des personnes concernées, sauf si elles sont rendues anonymes. En effet, les risques de dérives - constitutions de fichiers nominatifs et, à partir de tels fichiers, définition de profils - sont évidents, alors que, comme l’a considéré la Commission belge de la protection de la vie privée, « hormis certains cas précisés par la loi, la finalité de

la publication des décisions jurisprudentielles est d’alimenter la discussion sur la jurisprudence comme source du droit et non de porter à la connaissance des tiers le(s) nom(s) des personnes concernées par les litiges »476_.

153. - De plus, en France, l’anonymisation des données effectuée dans un bref délai par un responsable de traitement le dispense de donner à la personne auprès de laquelle les données sont collectées certaines informations telles que le caractère obligatoire ou facultatif des réponses, les destinataires ou catégories de destinataires des données et même des éventuels transferts de données vers un Etat tiers à l'Union Européenne477. La loi Informatique et Libertés prévoit également un mécanisme d’anonymisation des données de santé en son article 8. Dans ce sens, on pourait considérer que la possibilité d’assurer l'anonymat peut être utilisée en défaveur des individus lorsqu'elle permet de réduire les obligations des responsables de traitements et d’alléger les règles de préservation des droits des personnes. Cela est d’autant plus vrai pour les techniciens pour qui aucune méthode d’anonymisation ne donne une certitude sur l’impossibilité de réidentification, une sorte de « reverse engineering » effectuées sur les données protégées par des algorythmes478.

______________________________

475 Délibération de la CNIL n° 2011-238, 30 août 2011. A. Bem, « Consécration des droits à l'oubli et à l’anonymisation des décisions de justice sur Internet », Legavox.fr, 12 oct. 2011.

476 E. de Givry, « La question de l’anonymisation des décisions de justice », in Rapport de la Cour de cassation 2000 La protection de la personne.

477 Art. 32, IV de la LIL

478 H. Wirth, M. Muller, « L’anonymat des données individuelles : études des risques d’identification », Sociétés contemportaines, vol. 14, 1993, p. 23-42. V. ég. Groupe de l’Article 29, avis 05/2014 sur les techniques d’anonymisation de données, 10 avr. 2014, adresse : http://ec.europa.eu/justice/data-protection/article-29/documentation/opinion- recommendation/files/2014/wp216_fr.pdf.

135

154. - Au-delà des risques liées à l’anonymisation même, aussi bien les outils mis à disposition librement qui permettent des recherches supplémentaires479, que plusieurs exceptions au principe d'effacement ou d'anonymisation de données, persistent et sont donc susceptibles d'enfreindre le droit à l'anonymat des personnes. Par exemple, en application de l'art. 34-1 du CPCE, les opérateurs de données techniques sont en droit de garder certaines informations identifiantes pour des nécessités économiques, comme la facturation et le paiement de prestations. De même, ces données peuvent être gardées un an et transmises à des tiers pour des raisons de sécurité. De plus, les données peuvent, pour une durée d'un an, être privées d'anonymisation pour les besoins de la recherche, de la constatation ou de la poursuite d'infractions. Enfin, en termes d’identification des personnes dans le cadre des opérations en ligne qui nécessitent une authentification (e-services, e-administration), les auteurs relèvent que le véritable droit à l’anonymat est « le découplage entre le stockage des données identitaires

et l’émission de certificats électroniques », en soulignant qu’en tant que tel il « doit être posé comme un droit fondamental »480.