§2 La loi Informatique et Libertés
A) Le traitement de données à caractère personnel
La loi Informatique et Libertés prévoit une définition très large du traitement de données à caractère personnel en vue de protéger les individus et de soumettre les opérateurs économiques à son contrôle (1). Le responsable du traitement de données à caractère personnel est également entendu d’une façon toujours plus large, puisque les Commissions Nationales de l’Informatique et des Libertés européennes tendent à qualifier comme tels les moteurs de recherche sans toutefois considérer qu’un sous-traitant revêt la qualité de responsable du traitement (2).
1° La définition extensive du traitement de données à caractère personnel
219 - La loi « Informatique et Libertés » est applicable dès lors qu’il existe un traitement automatisé ou un fichier manuel, c’est-à-dire un fichier informatique ou un fichier papier contenant des informations personnelles relatives à des personnes physiques (article 2).
Selon l’article 2 :
« Constitue un traitement de données à caractère personnel toute opération ou tout ensemble d’opérations portant sur de telles données, quel que soit le procédé utilisé, et notamment la collecte, l’enregistrement, l’organisation, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, ainsi que le verrouillage, l’effacement ou la destruction ».
220 – Selon l’article 2, les données sont considérées comme à caractère personnel dès lors
qu’elles permettent d’identifier directement ou indirectement des personnes physiques. Il en va ainsi du nom, du numéro d’immatriculation, du numéro de téléphone, de la photographie, d’éléments biométriques tels que l’empreinte digitale, l’ADN ou d’informations permettant de
discriminer une personne au sein d’une population (notamment lieu de résidence, profession, sexe, âge, etc.). Il peut en effet s’agir d’informations qui ne sont pas associées au nom d’une personne mais qui peuvent permettre de l’identifier et de connaître ses habitudes ou ses goûts. Pour certains comme Dominique Boullier, l’expression « données personnelles » n’est pas adéquate car trop restrictive. Il convient de parler de données relationnelles et de données transactionnelles. En effet, ces données n’ont de la valeur que par leur interopérabilité845.
Chaque jour, à l’instar de nombreux opérateurs économiques, les compagnies d’assurance traitent ainsi des milliers de données à caractère personnel dans le cadre de la souscription des produits mais également en cas de survenance du risque. Elles sont donc soumises à la loi « Informatique et Libertés ».
2° L’identification du responsable du traitement de données à caractère personnel
221 – Selon l’article 3, est considéré comme le responsable du traitement la personne physique
ou morale qui détermine les finalités et les moyens de toute opération (collecte, enregistrement, modification...), appliquée à des données à caractère personnel.
Le responsable du traitement est la personne pour le compte de laquelle est réalisé le traitement.
En pratique, la personne en charge de veiller au respect des principes de la protection des données personnelles, d’informer les personnes au sujet de l’existence de leurs droits d’accès, de rectification et d’opposition, de désigner, le cas échéant, un Correspondant Informatique et Libertés et de procéder à l’accomplissement des formalités auprès de la CNIL sera considérée comme le responsable du traitement846.
222 - Les sous-traitants intervenant dans la gestion des données à caractère personnel doivent
être distingués du responsable du traitement. Ce dernier définit la mission du sous-traitant qui demeure sous son autorité et partant, ne décharge pas le responsable du traitement de ses obligations. La loi apprécie de façon extensive la qualité de sous-traitant puisque toute
845CNIL, « Vie privée à l’horizon 2020 », Cahiers IP, n°01, p.32
[http://www.cnil.fr/fileadmin/documents/La_CNIL/publications/DEIP/CNIL-CAHIERS_IPn1.pdf].
846 CNIL, CPU, l’AMUE, « Guide ‘’Informatique et Libertés’’ pour l’enseignement supérieur et la recherche », 2011, p.18
personne traitant des données à caractère personnel pour le compte du responsable du traitement est considérée comme tel (article 35).
Les compagnies d’assurance sont responsables du traitement des données à caractère personnel. Bien souvent, elles font appel à des sous-traitants en vue de les accompagner dans leur mission. Ces derniers peuvent donc effectuer des campagnes commerciales, gérer des sinistres ou le système informatique de ces compagnies. La multiplication de la sous-traitance accroît le risque de violation du traitement des données à caractère personnel.
Il appartient aux compagnies d’assurance de vérifier que ces sous-traitants respectent les standards de sécurité fixés. Et le risque de piratage informatique n’est pas à négliger. En effet, selon une étude réalisée par Symantec, 50 % des attaques concernent des petites et moyennes entreprises et 31 % des entreprises piratées emploient de 1 à 250 employés. Pour réduire le risque de piratage, des conventions régissant les obligations informatiques des prestataires sont parfois prévues847.
223 - Les moteurs de recherche ne peuvent être juridiquement considérés comme les
principaux responsables du traitement de données à caractère personnel car leur activité consiste à faire l’intermédiaire entre les utilisateurs d’Internet. Dès lors, comme l’explique l’avis du G29 consacré aux aspects de la protection des données liés aux moteurs de recherche848 :
« d’une part, en tant que prestataires de services aux utilisateurs, les moteurs de recherche collectent et traitent de grandes quantités de données d’utilisateur, dont celles recueillies par des moyens techniques, tels que les cookies. Les données collectées peuvent aller de l’adresse IP des différents utilisateurs, ou d’historiques de recherche complets, ou encore de données fournies par les utilisateurs eux-mêmes lorsqu’ils s’inscrivent en vue d’utiliser des services personnalisés. D’autre part, en tant que fournisseurs de contenus, les moteurs de recherche contribuent à rendre les publications sur Internet facilement accessibles aux quatre coins de la planète. »
En regroupant des informations collectées sur une personne, ils sont susceptibles de lui nuire dans la mesure où une catégorisation des individus est susceptible de s’opérer à grande échelle. En outre, les données à caractère personnel figurant dans les résultats des moteurs de recherche peuvent être inexactes.
847 Symantec, « Actualités – Rapport annuel sur les cybermenaces », p. consultée le 12 mai 2016 [https://www.symantec.com/fr/fr/about/news/release/article.jsp?prid=20160411_01].
Le G29 regrette ainsi cette limitation de responsabilité dont bénéficient les moteurs de recherche et il est vrai qu’ils peuvent être les plus grands agrégateurs de données de la planète tant le nombre d’informations figurant sur Internet est important et ne cesse de croître avec le temps. Il semble néanmoins que la jurisprudence européenne ait fait un premier pas dans le sens d’une plus grande responsabilisation des moteurs de recherche en octroyant à chaque utilisateur un droit à l’oubli. Ainsi, afin de se mettre en conformité avec l’arrêt de la Cour de justice de l’Union européenne du 14 mai 2014 « Google Spain »849, pour toute personne en
faisant la demande, Google doit supprimer les résultats menant vers des sites contenant des données personnelles. Pour ce faire, le moteur de recherche a mis en ligne un formulaire visant à l’exercice de ce que certains ont appelé le « droit à l’oubli ». La mise en place de cette procédure correspond aux droits d’accès et de rectification dont bénéficient les individus à l’égard des responsables du traitement de données personnelles au sens de la directive 95/46/CE850851.
Pour les Commissions Nationales de l’Informatique et des Libertés européennes, la directive 95/46 s’applique à présent aux moteurs de recherche, même si leur siège social se trouve en dehors de l’Union européenne et les données enregistrées par les moteurs de recherche doivent être effacées dès que possible, et au plus tard au bout de 6 mois852. Cet assujettissement des
moteurs de recherche à la loi Informatique et Libertés semble profitable aux compagnies d’assurance dans la mesure où elle soumet les futurs concurrents à la même réglementation.
224 - Il est intéressant de noter que face à l’émergence du risque d’atteinte à l’e-réputation, des entreprises proposent des services permettant d’effacer ou de noyer des données publiées sur la toile. Ainsi, AXA a lancé en 2012 un produit permettant aux assurés particuliers de supprimer des propos diffamatoires, injurieux ou portant atteinte à la vie privée de l’assuré853.
En cas d’échec de cette prestation, les prestataires de services mandatés mettent en place le service de noyage consistant à créer du contenu dans le but de faire reculer l’information préjudiciable sur la toile.
849 Arrêt Google c/ Spain, CJUE, 13 mai 2014, C-131/12.
850 Alain BRUN « Un formulaire pour que le moteur de recherche de Google vous oublie » Elnet.fr droit
européen des affaires, 23 juin 2014.
851 PE et Cons. UE, Dir. relative à la protection des personnes physiques à l'égard du traitement des données à
caractère personnel et à la libre circulation de ces données, 24 octobre 1995, n°95/46/CE. 852 G29, op. cit. . note 848, p. 142.
Les entreprises d’assurance ont pris conscience de l’émergence d’un phénomène nouveau et ont fait d’une menace une opportunité. Ce service est depuis peu proposé aux entreprises assurées.