Les droits des personnes physiques protégés par la CNIL

La loi informatique et liberté a créé plusieurs droits pour les personnes physiques dans le but de les protéger des dérives des traitements de leurs données personnelles. Ces droits ont été repris par la directive 95/46/C‐. Ces droits sont : le droit à l’information, le droit d’opposition, le droit d’accès et le droit de rectification. De plus, elle distingue les données personnelles «qui font apparaître, directement ou indirectement, les origines raciales ou ethniques, les opinions politiques, philosophiques ou religieuses ou l’appartenance syndicale des personnes, ou qui sont relatives à la santé ou à la vie sexuelle de celles-ci»⁸⁰³, la collecte de ces données étant interdite. De nouveaux droits, le droit à l’effacement et le droit à la portabilité des données sont introduits par le nouveau règlement général sur la protection des données.

a)Le droit à l’information

Toute personne a le droit de savoir si elle est fichée et dans quels fichiers elle est recensée⁸⁰⁴. Ce droit de regard sur ses propres données personnelles vise aussi bien la collecte des informations que leur utilisation. Ce droit d’être informé est essentiel, car il conditionne l’exercice des autres droits tels que le droit d’accès ou le droit d’opposition.

Dans le cadre d’une utilisation de réseaux, les personnes doivent être informées de l’emploi éventuel de témoins de connexion (cookies, variables de session…), et de la récupération

801 Jean-Marc Manach, « "Défavorablement connus" », Pouvoirs, 2018/1 (n° 164), pp. 49-61. URL : https://www.cairn.info/revue-pouvoirs-2018-1-page-49.htm consulté le 6 avril 2018.

802 Jérôme Huet, Pierre Leclercq, « La CNIL a-t-elle accompli les missions dévolues par le législateur ? », LEGICOM, 2009/1 (n° 42), pp. 13-21. URL : https://www.cairn.info/revue-legicom-2009-1-page-13.htm consulté le 27 décembre 2017.

803 Loi n^o 78-17, Article 8.

804 Loi n^o 78-17, Article 32 modifié par l’ordonnance n^o 2011-1012 du 24/08/2011.

Titre 1 La société numérique, un cadre hétérogène de protection des libertés

167

d’informations sur la configuration de leurs ordinateurs (systèmes d’exploitation, navigateurs)⁸⁰⁵.

Ce droit à l’information est repris et confirmé dans le nouveau règlement européen qui conditionne ces collectes à un consentement explicite de la personne concernée, tant pour la collecte que pour le traitement envisagé. Ainsi, toute utilisation de données autre que celle acceptée devient illicite, d’où une nécessité d’information et de transparence sur la finalité des traitements⁸⁰⁶.

Ce droit à l’information n’est pas facile à mettre en œuvre et à respecter. ‐n effet, si pour les cookies un message apparaît pour indiquer que le site utilise des cookies et donc peut enregistrer des données liées à la navigation sur le site, certains cookies peuvent enregistrer d’autres types d’informations à caractère personnel, données disponibles sur un ordinateur personnel ou un smartphone, tels la localisation, l’adresse IP, le type de système, etc. Actuellement, sur de nombreux sites, la poursuite de la navigation vaut acceptation implicite de l’installation des cookies.

De plus, les achats, effectués dans un magasin ou une chaîne de magasins où le client dispose d’une carte de fidélité, sont systématiquement enregistrés et peuvent être utilisés pour en déduire le profil de l’acheteur et lui suggérer des achats ciblés, sans information préalable du client.

Dans la pratique, et une émission de télévision⁸⁰⁷ l’a montré, il est difficile à un individu de savoir qu’il fait l’objet d’un traitement automatique de ces données, d’autant plus que les sociétés qui constituent ces fichiers peuvent le faire hors de toute légalité⁸⁰⁸ et parfois utilisent un numéro d’autorisation de la CNIL non détenu par elles-mêmes⁸⁰⁹.

805 Pierre Bellanger, « Les données personnelles : une question de souveraineté », Le Débat, 2015/1 (n° 183), pp.

14-25. URL : https://www.cairn.info/revue-le-debat-2015-1-page-14.htm consulté le 27 décembre 2017.

806 Yann Algan, Maya Bacache-Beauvallet, Anne Perrot, « Administration numérique », Notes du conseil d’analyse économique, 2016/7 (n° 34), pp. 1-12. URL : https://www.cairn.info/revue-notes-du-conseil-d-analyse-economique-2016-7-page-1.htm consulté le 27 décembre 2017.

807 CASH Investigation du mardi 6 octobre 2015, diffusée par ‑rance 2.

808 L’affaire Cambridge Analytica dévoilée en mars 2018, porte sur plus de 87 millions d’utilisateurs de ‑acebook dont les données personnelles ont été détournées et utilisées pour influencer les électeurs américains. Une société peut utiliser des données personnelles hors de tout contrôle des utilisateurs dans un but étranger à l’objet de la collecte. Cette pratique, illicite en Union européenne au titre de la directive 95/46/C‐ l’est également au titre de Règlement général sur la protection des données qui nécessite le consentement explicite de la personne pour tout traitement autre que celui initialement prévu (Le Monde.fr avec A‑P, « Cambridge Analytica : 2,7 millions d’utilisateurs européens de ‑acebook pourraient être concernés », LeMonde.fr, 6 avril 2018, URL : http://www.lemonde.fr/pixels/article/2018/04/06/cambridge-analytica-2-7-millions-d-utilisateurs-europeens-de-facebook-pourraient-etre-concernes_5281717_4408996.html consulté le 6 avril 2018).

809 Démontré dans la même émission de CASH Investigation.

b)Le droit d’opposition

Toute personne a la possibilité de s’opposer, pour des motifs légitimes, à figurer dans un fichier⁸¹⁰. Toute personne peut refuser, sans avoir à se justifier, que les données qui la concernent soient utilisées à des fins de prospection, en particulier commerciale.

Ce droit d’opposition ne peut être utilisé que si la personne a connaissance de cette possibilité d’utilisation commerciale, en a conscience et connaît le moyen de faire jouer ce droit d’opposition. Depuis septembre 2011, le ministère de l’Intérieur peut vendre à des fins de prospection commerciale le contenu du fichier national des cartes grises - le système d’immatriculation des véhicules (SIV) - à des sociétés agréées qui obtiennent une licence⁸¹¹. Cette possibilité est rétroactive et concerne aussi les véhicules immatriculés avant cette date, sans que leurs propriétaires aient conscience de cette nouvelle possibilité. Concrètement, une entreprise peut acheter des informations concernant les propriétaires de tel type ou telle marque de véhicule. L’adresse étant fournie en prime, les services de marketing n’ont plus ensuite qu’à expédier tantôt une offre sur des pneus, tantôt un rabais sur des rétroviseurs avec l’envoi du nouveau catalogue des futurs modèles de la marque. Depuis 2009, le conducteur est censé être informé. La demande de certificat d’immatriculation d’un véhicule comporte en effet un encadré spécifique. Il n’est à remplir que si le conducteur s’oppose « à la réutilisation de ses données personnelles à des fins de prospection commerciale ». Selon le Ministère de l’Intérieur, 52 % des automobilistes se sont opposés à cette réutilisation. Or depuis la mise en place du SIV, les demandes de carte grise sont réalisées via des entreprises agréées, de nombreux acheteurs de véhicules automobiles ignorent la possibilité de s’opposer à cet usage de prospection et donc ne font pas jouer leur droit d’opposition, celui-ci étant délégué implicitement à l’intermédiaire agréé⁸¹². Cette opposition devant être exprimée (opt-out), plusieurs organismes réclament plutôt un système d’adhésion (opt-in) explicite. Avec l’introduction du consentement dans le règlement général sur la protection des données, le système de l’adhésion devrait être généralisé.

810 Loi n^o 78-17, Article 38.

811 Arrêté du 1er septembre 2009 portant création d’un traitement automatisé de données à caractère personnel dénommé « Système d’information décisionnel du système d’immatriculation des véhicules » publié au JOR‑ du 22 septembre 2009.

812 Angélique Négroni, « Le juteux business du fichier des cartes grises », 16 février 2012, Le Figaro.fr, URL : http://www.lefigaro.fr/actualite-france/2012/02/15/01016-20120215ART‑IG00570-le-juteux-business-du-fichier-des-cartes-grises.php consulté le 27 décembre 2017.

Titre 1 La société numérique, un cadre hétérogène de protection des libertés

169

‐n principe, toute personne peut décider elle-même de l’utilisation de données la concernant.

‐n ce sens, elle peut refuser d’apparaître dans certains fichiers ou de voir communiquer des informations sur elles à des tiers. Ce droit d’opposition est actuellement difficilement mis en œuvre faute d’information suffisante, le Règlement général sur la protection des données peut y pallier en imposant le principe du consentement et en créant un droit de rétractation par dénonciation de ce consentement. Mais cette rétractation ne rend pas illicites les traitements déjà effectués et pour lesquels le consentement avait été accordé.

c)Le droit d’accès

Toute personne justifiant de son identité a le droit d’interroger le responsable d’un fichier ou d’un traitement pour savoir s’il détient des informations sur elle, et le cas échéant d’en obtenir communication⁸¹³. Toute personne peut prendre connaissance de l’intégralité des données la concernant et en obtenir une copie dont le coût ne peut dépasser celui de la reproduction. Toute personne est en droit d’obtenir des explications sur le procédé informatique qui a contribué à produire une décision la concernant (scoring, segmentation, profil, …).

Mais si un responsable de traitement estime qu’une demande est manifestement abusive, il peut ne pas y donner suite⁸¹⁴. Toutefois si l’affaire est portée devant un juge il devra apporter la preuve du caractère manifestement abusif de la demande en cause. Le droit d’accès ne s’exerce pas lorsque les données sont conservées sous une forme ne présentant aucun risque d’atteinte à la vie privée et pendant une durée n’excédant pas celle nécessaire à l’établissement de statistiques ou à la recherche scientifique ou historique. L’exercice du droit d’accès ne doit pas porter atteinte au droit d’auteur.

Dans certains cas, le droit d’accès peut être indirect⁸¹⁵. Le droit d’accès indirect est une procédure spécifique qui concerne : les fichiers intéressant la sûreté de l’État, la défense et la sécurité publique (fichiers de police judiciaire, fichiers des services de l’information générale -

« ex renseignements généraux » -, fichiers de renseignement de la direction générale de la sécurité extérieure, fichier Schengen), certains fichiers du ministère de la Justice (fichier des détenus dans les prisons). Dans ce cas, la Commission de l’informatique et des libertés est l’interlocuteur de la personne qui souhaite faire jouer son droit d’accès pour ces fichiers. La

813 Loi n^o 78-17, Article 39.

814 Même article, II.

815 Loi n° 78-17, art. 41.

CNIL ne gère pas les fichiers concernés et n’a donc pas connaissance des personnes qui y figurent. Un magistrat de la Commission exerce le droit d’accès et de rectification pour le compte de la personne sollicitant son droit d’accès. Il peut demander à ce que les informations incomplètes, obsolètes ou non conformes aux textes régissant le fonctionnement des fichiers en cause soient complétées, mises à jour ou supprimées.

d)Le droit de rectification

Toute personne peut faire rectifier, compléter, actualiser, verrouiller ou effacer des informations qui la concernent lorsque sont décelées des erreurs, des inexactitudes ou la présence de données dont la collecte, l’utilisation, la communication ou la conservation est interdite⁸¹⁶. Le droit de rectification constitue un complément essentiel du droit d’accès. Lorsque des modifications sont apportées aux données concernant une personne qui a exercé son droit de rectification, le responsable du traitement doit justifier, sans frais pour la personne qui en a fait la demande, des opérations qu’il a effectuées.

Les héritiers d’une personne décédée peuvent exiger que le responsable d’un traitement comportant des données concernant le défunt prenne en considération le décès et procède aux mises à jour. Alors que le régime des données relatives à une personne décédée n’était pas prévu par la législation⁸¹⁷, la loi pour une République numérique⁸¹⁸ et le Règlement général sur la protection des données⁸¹⁹ ont modifié ce régime, créant ainsi une mort numérique⁸²⁰.

e)Le droit à l’effacement

Ce droit a d’abord été introduit par les juges de la Cour de justice de l’Union européenne sous la forme d’un droit au déréférencement⁸²¹. Ce droit permet à une personne physique de

816 Loi n^o 78-17, art. 40

817 ‑iorenza Gamba, « Rituels postmodernes d'immortalité : les cimetières virtuels comme technologie de la mémoire vivante », Sociétés, 2007/3 (n° 97), pp. 109-123. URL : https://www.cairn.info/revue-societes-2007-3-page-109.htm consulté le 27 décembre 2017.

818 Loi n° 2016-1321, Art. 40-1.

819 Le considérant n^o 27 renvoie aux règles édictées par les ‐tats concernant les données à caractère personnel des personnes décédées.

820 Cf. Partie 2. Titre 2. Chapitre 1. Section 1. Sous-section 2. § 1 -B) Le droit à l’oubli des personnes décédées ou la mort numérique.

821 Cour de justice de l’Union européenne, Arrêt de la Cour (grande chambre) du 13 mai 2014, Google Spain SL et Google Inc. contre Agencia Española de Protección de Datos (AEPD) et Mario Costeja González, Demande de décision préjudicielle, introduite par l’Audiencia Nacional.

Titre 1 La société numérique, un cadre hétérogène de protection des libertés

171

demander à un moteur de recherche de supprimer les liens vers un site qui présente une information pouvant porter indûment atteinte à l’honneur ou l’image de la personne.

Ce droit a été complété par l’introduction d’un droit à l’effacement pour les jeunes adultes ayant autorisé la collecte ou publié des informations ou des images pouvant nuire à leur réputation lorsqu’ils étaient mineurs⁸²². Le droit à l’effacement, ou « droit à l’oubli », est défini par le Règlement général sur la protection des données⁸²³. Ce droit à l’effacement s’applique : si la personne concernée retire son consentement ; si les données ont fait l’objet d’un traitement illicite ; pour respecter une obligation légale ; si la personne concernée s’oppose au traitement sans qu’il existe un besoin impérieux d’effectuer ce traitement.

Mais tous ces droits ne peuvent être exercés que si la personne concernée est informée. Or, certains traitements restent illicites et non déclarés, ou aucune information n’est fournie lors de la collecte des informations, malgré l’obligation légale. L’efficacité de ces droits dans la protection des données personnelles des personnes physiques s’en trouve, de ce fait, réduite⁸²⁴.