Le régime juridique de la protection des données à caractère personnel est induit par leur nature particulière. Malgré le fait qu’elles ne relèvent ni du statut des produits, ni de celui des services, on leur applique le même régime du point de vue de leur circulation73.
70 Jean Frayssinet, Internet et la protection juridique des données personnelles, Colloque International, Internet et le droit, Droit européen et comparé d’Internet, 25-26 septembre 2000
71
G. Chatillon, La protection des consommateurs et des PME ; Le commerce électronique : Quelles protections ? Actes du colloque 19-20 novembre 2001, Le droit international d’Internet, p.388.
72 « La société de l’information telle qu’elle est vue aux Etats-Unis n’a de sens que si elle génère un commerce et des valeurs commerciales. Ceci à la différence du concept « société de l’information » notamment français actuel, qui sous-tend une vision plus humaniste […]. Pour concilier ces choix de société, il est fait appel à des règles de commerce international basées essentiellement sur l’élimination de tout obstacle à la libre circulation de biens et de services. Dans cette approche l’information est un bien qui perd sa spécificité et auquel on applique le principe de libre commerce. La vie privée tend à être comme un obstacle injustifié qu’il convient d’éliminer. Cette vision est en général partagée par les organisations internationales dont l’objectif est la création de zone de libre échange ». M. Briat et Ch. M. Pitrat, Urgent : Concepts à clarifier.
http://www.dit.presse.fr/infolib/french/arti_pitrat.htm
73 M.-P Fenoll-Trousseau et G. Haas, Internet et protection des données personnelles, Droit@Litec édition2000, p.5
36 La Directive du 24 octobre 1995 sur le traitement des données à caractère personnel énonce en son article premier que « les données personnelles sont des biens informationnels ayant une valeur marchande, qui doivent circuler librement sur le territoire de l’Union dans le cadre d’un marché unique pour éviter des disparités économiques et concurrentielles, tout en faisant l’objet d’une protection des droits et libertés fondamentaux de la personne »74. « Les données personnelles peuvent être considérées comme des biens commercialisables, de consommation75 ».
Il est reconnu une véritable valeur marchande aux données à caractère personnel ; cependant leur nature particulièrement sensible nécessite un mécanisme de protection afin de ne pas laisser à l’entière discrétion des acteurs économiques la gestion de ce « marché » exponentiel des données personnelles.
Olivier Iteanu s’inspirant de faits jugés par le tribunal correctionnel et la Cour d’appel76 nous présente un scénario ou la vie privée (par le biais des données personnelles) fait l’objet d’une marchandisation77. Il est question d’un journaliste d’investigation qui s’étant donné pour mission de dénoncer le fait que des marchands peu scrupuleux ayant collecté des données personnelles sous la foi parfois de fausses promesses, les monnayent. Ce cas de figure induit une valeur patrimoniale aux données personnelles collectées78 dans une optique informative. Les personnes sont-elles propriétaires des données qui les concernent ? C’est la question que pose le rapport rendu au Ministre de la fonction publique et de la réforme de l’Etat79. Selon ce rapport, « si un droit de propriété doit être reconnu sur les données personnelles, ce droit de
74
Directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données. JOCE n° L 281 du 23/11/1995 p. 0031 - 0050
75 Erika Orengo, DESS Droit de l’informatique et du multimédia sous la direction de J. Huet 2001-2002, La protection des personnes dans le cadre des flux transfrontières de données personnelles.
76 Jugement du tribunal correctionnel de Paris 13e chambre prononcé le 13 février 2002, Antoine C. /ministère public, T., et de l’arrêt de la cour d’appel de Paris, rendu le 30 octobre 2002 dans cette même affaire.
77 Olivier Iteanu, Tous cybercriminels. La fin d’Internet ? Jacques-Marie Laffont Editeur2004, p.136
78 Le propos de ces affaires concernait au premier chef l’intrusion d’un individu dans un système de sécurité par une faille de sécurité. La dénonciation de la marchandisation de la vie privée n’en était que l’objet.
79 P. Truche, J-P. Faugère et P. Flichy, Administration électronique et protection des données personnelles, Livre Blanc, coll. des rapports officiels, Rapport au Ministre de la fonction publique et de la réforme de l’Etat, La documentation française, p.75
37 propriété devra plutôt être conféré à la personne qui est concernée par les données qu’au détenteur de la base de données »80.
Pour qu’il y ait un véritable droit de propriété, la libre disposition du bien est nécessaire. Or selon que l’on considère la personne concernée ou le détenteur des données personnelles comme le bénéficiaire d’un droit de propriété sur lesdites données, la libre disposition de ces données varie. Cet aspect devant faire l’objet d’une analyse dans la suite de cette étude, on se contentera d’énoncer l’interdépendance de principe qui existe entre le détenteur et la personne concernée par les données personnelles s’agissant de la libre disposition et donc du traitement de ces données.
En France, la commercialisation des fichiers des entreprises est autorisée par le dispositif Informatique et libertés mis en place par la loi 1978, texte créateur de la CNIL autorité administrative indépendante dont la mission est de veiller au respect des dispositions de la loi portant notamment sur la cession et le traitement des données. Aucune référence explicite n’est faite aux données personnelles. Pas plus qu’il n’est déterminé la nature des fichiers dits commercialisables. Cette commercialisation doit cependant respecter un certains nombres de règles que nous étudierons en infra.
D’autres interrogations portant sur la valeur patrimoniale des données personnelles sont apparues s’agissant notamment du domaine de l’entreprise81. Deux start-up Toysmart.com et Boo.com avaient envisagé en leur temps, pour éponger leurs pertes, de jouir en les cédant, de la valeur patrimoniale de leurs fichiers clients.
Cette approche patrimoniale des données personnelles sera également observée lors de la fusion Vivendi Seagram Canal plus. Le fichier de cinq millions d’abonnés à Canal Plus
80 Il s’agit ainsi d’une exception au principe selon lequel l’information appartient à celui qui en a réalisé la collecte ou qui en assure la formulation.
81Cynthia Chassigneux, Doctorat en droit Université Panthéon-Assas en cotutelle avec l’Université de Montréal, L’encadrement juridique du traitement des données personnelles sur les sites de commerce en ligne, « Quel est le statut juridique des données personnelles que le commerçant électronique détient dans ses fichiers clients. Doivent-elles ou non être intégrées dans le patrimoine de l’entreprise. Peuvent-elles être cédées en cas de faillite avec les actifs de la société ? Telles sont les questions qui ont pu se poser au regard des affaires Toysmart.com et Boo.com par exemple. Ces sociétés ont été remarquées tant pour leur succès que leur retour. Ces start-up d’hier ont envisagé vendre leurs fichiers clients pour minimiser leurs pertes, les données contenues dans les fichiers constituant une véritable mine d’or », Paris 3.07.2003, p.64 §111
38 intéressait tout particulièrement Vivendi. Mais l’intervention de la CNIL et du CSA a permis à Canal Plus de conserver la maîtrise de ce fichier82.
Pour conclure cette analyse, on peut considérer que « les données personnelles sont des biens informationnels, ayant une valeur marchande, qui doivent circuler librement sur le territoire de l’Union dans le cadre d’un marché unique pour éviter des disparités économiques et concurrentielles, tout en faisant l’objet d’une protection des droits et libertés fondamentaux de la personne, en particulier, mais pas seulement, de la vie privée »83.
2. Les données personnelles, information à caractère personnel.
Dans l’esprit des pionniers, Internet devait être un immense espace de liberté, sans contrainte, sans frontière, sans police d’aucune sorte. La nécessité de partager l’information fut un des éléments générateurs d’Internet. « A ses débuts, Internet servait d’ailleurs principalement à échanger des informations et du savoir84 ».
Le thème de la protection des droits et libertés des personnes, en particulier celui de la vie privée est apparu le premier au tournant des années 70-80. Cela a donné lieu en Europe à une vague de législations spécifiques sur la protection des données personnelles afin d’encadrer leur gestion à travers les systèmes informatiques et les fichiers de toutes tailles85.
La constitution de fichiers ne représentait pas (tout au moins au début) une grande menace pour les libertés individuelles. Ceci s’explique par le fait que n’était concerné qu’un nombre limité de personnes (la communauté des chercheurs, un cercle défini par une activité commune et des personnes facilement identifiables).
En France, l’administration sera l’un des plus grands gestionnaires de fichiers, le but avoué étant une meilleure administration du service public.
82
E.Orengo, La protection des personnes dans le cadre des flux transfrontières de données personnelles, DESS droit de l’informatique et du multimédia sous la direction de Monsieur J. Huet, 2001-2002, p.9.
83 Jean Frayssinet, Internet et la protection juridique des données personnelles, Colloque international Internet et le droit, 25-26 septembre 2000, p.6
84 M.P. Fenoll-Trousseau et G. Haas, Internet et protection des données personnelles, Litec, p.1. 85
Jean Frayssinet, La protection des données personnelles est-elle assurée sur Internet ? p.435-443
Acte du colloque Paris 19 et 20 novembre 2001, Université Paris I Panthéon Sorbonne et l’Association ARPEGE, Le droit international d’Internet sous la direction de Georges Chatillon, Bruylant Bruxelles 2002, p.435
39