LA LIBERTÉ DE TRAITER LES DONNÉES À CARACTÈRE PERSONNEL

288. – Le droit encadre uniquement la collecte des données qui font l’objet d’un traitement, défini comme « toute opération ou tout ensemble d’opérations effectuées ou non à l’aide de procédés automatisés et appliquées à des données ou des ensembles de données à caractère personnel, telles que la collecte, l’enregistrement, l’organisation, la structuration, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, la diffusion ou tout autre forme de mise à disposition, le rapprochement ou l’interconnexion, la limitation, l’effacement ou la destruction » 239. La loi nationale, pour sa part, s’applique aux traitements, automatisés (en tout ou partie) ou non, de données personnelles appelées à figurer dans un fichier²⁴⁰, lui-même défini comme un ensemble structuré de données accessibles, centralisé ou non, ou réparti de manière fonctionnelle ou géographique²⁴¹.

289. – La définition du législateur européen et national, délibérément extensive, couvre toutes les opérations relatives aux données, qu’il s’agisse de la réalisation de fichiers d’adresses, de bases de contacts, automatisés ou non, de tout système d’enregistrement de conversations téléphoniques sur support numérique242, etc.

290. – Le traitement n’est pas défini au vu du procédé utilisé. Selon certains auteurs «le fait déclencheur réside ainsi dans le fait que les données sont traitées d’une façon ou d’une autre, que ce traitement est automatisé ou, s’il ne l’est pas, que les données traitées

238 V. pour ex. CNIL, délibération n° SAN-2019-005 du 28 mai 2019 prononçant une sanction pécuniaire à l’encontre de la société SERGIC.

239 RGPD, art.4.

240 Loi Informatique et libertés, art.2.

241 Un moteur de recherche ayant une activité de service de publicité procède à un traitement

V. dans ce sens CJUE, 13 mai 2014, aff.C-131/12, Google Spain SL et Google Agencia Espanola de Proteccion de Datos c/Mario Costeja Gonzalez.

manuellement figurent dans un fichier. C’est bien la facilité d’accès, d’extraction, d’utilisation ou de croisement de l’information à caractère personnel qui justifie que celle-ci est soumise à une législation particulière » ²⁴³.

291. – En pratique, les données sont traitées informatiquement par des algorithmes, soit directement par le commerçant - à l’aide d’outils de type Google Analytic - soit par des sociétés extérieures à l’entreprise, spécialisées selon les attentes spécifiques de leurs clients. Selon la taille de l’entreprise, qu’il s’agisse d’un micro-site ou d’un commerçant international²⁴⁴, l’enjeu de la conversion du prospect en client repose sur l’utilisation de moyens techniques plus ou moins sophistiqués : c’est bien le « toujours plus de collecte » de « toujours plus de données », traitées par « des moyens toujours plus performants »²⁴⁵, qui constitue le socle des nouveaux dangers auxquels est confronté le consommateur, tracé dans sa vie privée.

292. – Collectées, stockées, croisées, traitées, les données circulent et se ramifient en mycélium. Rien n’est moins virtuel que leur réalité commerciale, estimée en milliards de dollars, qu’ont anticipée, puis organisée, les poids lourds du secteur. Certains auteurs²⁴⁶ n’hésitent pas à parler de « ruée vers l’or » pour les GAFA (Google, Apple, Facebook, Amazon) - d’ailleurs issues de l’Ouest américain… - et il se dit que Google en connaitrait plus sur la France que l’INSEE247 !

293. – Aussi, comme leur collecte, le traitement des données doit faire l’objet d’une attention particulière de l’entreprise, dans une transparence totale envers la personne concernée.

243 DONNAT Francis, Droit européen de l’Internet, 1ère éd., LGDJ, .2018, coll. Systèmes, p. 71, ISBN : 978-2-275-06118-4.

244 Le commerce en ligne, par nature sans frontière, est dominé par des mastodontes - GAFAM : Google, Amazon, Facebook, Apple, Microsoft - bien identifiés par les consommateurs occidentaux, et par d’autres, issus de Chine en particulier - BATX : Baidu, Alibaba, Tencent, Xiaomi - auxquels ne suffit pas le développement sur leur colossal marché intérieur, qui posent peu à peu leurs jalons dans le reste du monde.

245 CIGREF, réseau des Grandes Entreprises, octobre 2015, Economie des données personnelles les enjeux d’un business éthique.

246 VINCENT Claude, La ruée vers l’or des données personnelles, 7 mars 2013, les Echos, consulté sur : https://www.lesechos.fr/2013/03/la-ruee-vers-lor-des-donnees-personnelles-336562

1. Le principe de licéité, de loyauté et de transparence du traitement : l’obligation d’un fondement

294. – L’entreprise doit justifier le traitement des données selon les fondements prévus par le RGPD, dont l’article 7 détaille la liste, exhaustive : en dehors des cas énumérés, il n’est pas possible de travailler les données.

295. – La notion de loyauté et de transparence renvoie au fait qu’aucune donnée personnelle ne peut être traitée sans que l’intéressé n’en ait été informé²⁴⁸. Cette information doit être facilement accessible, facilement compréhensible, avec des formules claires et simples. Si tel n’est pas le cas, la collecte est qualifiée de déloyale249.

296. – La notion de licéité implique que le traitement repose exclusivement sur un fondement prévu par l’article 6 du RGPD transposé à l’article 5 de la loi Informatique et libertés. Cet article conditionne la licéité du traitement à au moins une des conditions suivantes : - le consentement de la personne concernée au traitement de ses données pour une ou plusieurs finalités spécifiques - la nécessité du traitement pour l’exécution du contrat auquel la personne concernée est partie ou à l’exécution de mesures précontractuelles prises à sa demande, - la nécessité du traitement pour le respect d’une obligation légale, - la nécessité du traitement pour la sauvegarde des intérêts vitaux de la personne concernée ou d’une autre personne physique, - la nécessité du traitement pour l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique dont est investi le responsable du traitement, - la nécessité du traitement aux fins des intérêts légitimes poursuivis par le

248 V. CNIL, décision, n°2016-007 du 26 janvier 2016, dalloz actualité, 23 fév.2016, « la CNIL donne une leçon de droit européen à notre ami américain Facebook », TAMBOU Olivia ;

Plusieurs manquements de la société Facebook sont relevés par la CNIL lors d’un contrôle, et notamment ;

un manquement à l’obligation de disposer d’une base légale pour le traitement mis en œuvre ; aucun des 6 fondements ne peut être allégué pour la combinaison des données collectées. En l’espèce et en l’absence de consentement les fondements 1 à 5 de la loi Informatique et Libertés ne peuvent être retenus. Compte tenu de la nature des traitements les fondements 1, 2 et 3 sont inapplicables. En l’absence de contrat entre Facebook et l’Internaute le fondement 4 ne peut s’appliquer. Il n’existe pas plus de légitimité du responsable du traitement eu égard à la proportionnalité du traitement.

Aussi la CNIL a-t-elle condamné la CNIL à une amende de de 150 000 € (avant l’application du RGPD) de la société. Au niveau européen, Facebook a aussi fait l’objet d’une enquête et d’une condamnation, cette fois à hauteur de 110 millions d’euros calculés suivant le nouveau texte RGPD.

V aussi : CNIL, délibération n°SAN-2019-001 du 21 janvier 2019, prononçant une sanction pécuniaire à l’encontre de la société GOOGLE LLC.,

La CNIL sanctionne la société GOOGLE LLC pour absence de consentement valable pour la personnalisation de la publicité : l’information donnée est noyée dans plusieurs documents, devenant ainsi peu lisible, le consentement recueilli n’est ni spécifique ni univoque. Par ailleurs, l’utilisateur, pour créer un compte, coche une case « j’accepte les conditions d’utilisation de Google » et « j’accepte que mes informations soient utilisées telles que décrit ci-dessus et détaillées dans les règles de confidentialité ». Ainsi, selon la CNIL, l’utilisateur consent à un bloc de finalités alors que le RGPD exige un consentement spécifique pour chaque finalité de traitement.

La condamnation a été exemplaire : 50 millions d’euros en application du RGPD.

249Crim., 14 mars 2006, n°05-83.423, CCE, sept.2006, n°9, comm. LEPAGE Agathe ; Revue de Droit bancaire et financier, juillet 2006, n°4, comm. CAPRIOLI Eric A .

responsable du traitement ou par un tiers, à moins que ne prévalent les intérêts ou les libertés et droits fondamentaux de la personne concernée qui exigent une protection des données, notamment lorsqu’elle est un enfant . Dès lors qu’un traitement n’est pas fondé sur l’une de ces six bases il est illicite.

297. – Il convient ainsi de noter que la licéité du traitement ne relève pas exclusivement de l’autorisation de la personne. Mais dès lors que la personne concernée doit autoriser le traitement de ses données personnelles, la manifestation de sa volonté est définit par le RGPD comme « toute manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou par acte positif clair, que des données à caractère personnel la concernant fasse l’objet d’un traitement ». Il s’agit bien d’un acte positif, manifesté par le fait de délibérément cocher une case, selon le principe évoqué précédemment du « opt-in ». Cette volonté ne peut donc se déduire d’un silence, sur le mode « opt-out ».

298. – Le consentement des enfants fait l’objet d’une attention particulière du RGPD, lequel impose celui du titulaire de l’autorité parentale, dès lors que l’enfant est âgé de moins de 16 ans, l’Etat français ayant abaissé cet âge à 15 ans par modification de la loi Informatique et libertés par l’Ordonnance 2018-1125 du 12 décembre 2018. Concernant cette nécessité aucune garantie technique n’en assure l’efficacité.

2. L’interdiction de certains traitements

299. – Certaines données sont si sensibles que le droit interdit à l’entreprise tant de les collecter que de les traiter. Il s’agit principalement des informations relatives à l’origine raciale ou ethnique, les opinions politiques, religieuses ou philosophiques, l’appartenance syndicale, les données génétiques et biométriques²⁵⁰, informations concernant la santé, la vie sexuelle ou son orientation. Il convient de noter que certaines exceptions sont prévues par le RGPD mais, parce qu’elles ne concernent pas le commerce électronique, nous ne les relèverons pas.

300. – Le constat de la grande liberté laissée à l’entreprise qui agit dans le respect de principes est établi. Le droit a instauré une éthique définissant le cadre de la liberté accordée à l’entreprise : une collecte, un traitement, mais dans la transparence.

301. – Un procédé particulier, légalisé - consistant pour l’entreprise à collecter des données par le biais d’un logiciel espion, ou cookie - oblige à rechercher si le droit conjugue, dans ce cas précis, la liberté accordée à l’entreprise avec l’intérêt du consommateur.