SECTION 1 Le principe de finalité comme principe fondamental dans les
2- Le principe de finalité et le secteur public :
Quand nous observons les textes en la matière, nous constatons la présence de ce principe, qui apparaît de façon plus ou moins explicite. De façon générale, nous retrouvons l’obligation de respecter ce principe, mais sans qu’il soit défini de façon concrète, ce qui complique la détermination de ses contours.
31 Isabelle DE LAMBERTERIE et Henri-Jacques LUCAS (dir.), Informatique, libertés et recherche
médicale, Paris, CNRS Éditions, 2001, p. 79.
32
Nathalie MALLET-POUJOL, « La réforme de la Loi Informatique et libertés », Revue française
d’administration publique, nº 89, La protection des données personnelles, janvier-mars 1999, 46,
En effet, comme certains nous le rappellent, « les textes sont silencieux quant à la définition du terme “finalité”, mais cela ne les empêche pas d’utiliser cette notion »33. Cependant, malgré l’absence d’une définition provenant des sources, certains ont tenté une approche sémantique de cette notion :
« La finalité constitue la raison d’être d’un traitement particulier de données personnelles. Elle est l’objectif désigné lors de la constitution d’un traitement, dont elle commande la création. À ce titre, elle justifie les caractéristiques maîtresses du traitement (qualité des données, durée…) Elle est devenue par conséquent un des principaux paramètres qu’utilise l’autorité de contrôle pour estimer la légitimité et la légalité des projets de traitement qui lui sont soumis. »34
En effet, la « finalité » devient un des principaux paramètres pour déterminer si un traitement respecte les règles essentielles de protection des données personnelles. La CNIL a souligné que les fins poursuivies par un traitement ne doivent pas être formulées « d’une manière trop large ou en des termes pouvant prêter à la confusion ».35
La raison en est que le « principe central » de la finalité est celui qui permet à la Cnil de se prononcer sur la viabilité de l’ensemble du projet qui lui est soumis36. Il faut noter que la finalité s’apprécie par rapport au traitement et non par rapport à l’information, qui n’a pas de finalité prédéterminée37.
Nous pouvons constater alors à quel point il est essentiel de cerner la finalité de chaque traitement de renseignements personnels de façon concrète et précise. Certains ont attribué à la finalité, d’une part, une « fonction en tant que point de référence », puisque, c’est en regard de la finalité des traitements que sont appréciés la pertinence des informations traitées, la qualité de leurs destinataires, ainsi que leur durée de conservation.
33 I. DE LAMBERTERIE et H.-J. LUCAS (dir.), préc., note 31, p. 79. 34 Id., p. 79.
35
J. FRAYSSINET, préc., note 29, p. 173.
36 Voir à ce sujet : I. DE LAMBERTERIE et H.-J. LUCAS (dir.), préc., note 31, p. 79.
D’autre part, nous constatons également l’existence de la finalité « en tant que vecteur de dangerosité », puisque c’est essentiellement de l’objectif poursuivi par le traitement et du respect de la finalité que dépend la dangerosité des traitements pour la vie privée38.
La doctrine a également attribué à la notion de finalité une fonction permettant d’établir une distinction entre les termes « donnée » et « information ».
Ainsi, l’information, pour certains, englobe la signification attachée aux données par une personne, et cela dans des circonstances déterminées. Pour exprimer cette différence, on peut dire que « le mieux est peut-être de caractériser l’information comme un vecteur plutôt que comme un scalaire, ou de dire que l’information est assortie d’une finalité »39.
La doctrine a identifié deux critères dans le contexte du respect du principe de la spécification de la finalité, notamment pour ce qui est des conditions de légitimité expressément retenues dans les différentes législations40.
D’une part, on parle d’un « critère de concordance », puisque certaines législations indiquent que la finalité du traitement informatique va devoir être conforme aux missions du maître du fichier et à la nature du fichier.
D’autre part, nous identifions un « critère du bien fondé du traitement », qui intéresse tout particulièrement les activités de recherche.
La plupart des textes de loi se limitent à dire que ce principe doit être respecté, sans essayer de déterminer sa nature, son étendue, ses caractéristiques et sans spécifier comment il interagit avec d’autres principes.
C’est surtout la doctrine qui émane des autorités de contrôle qui fournit les pistes incontournables pour approfondir l’analyse du principe de finalité et comprendre comment il est utilisé dans la pratique.
Il convient de noter que la CNIL, en 1996, citait dans une de ses publications les « principes d’application délicate », faisant notamment explicitement référence au
38 Voir sur ces deux fonctions attribuées à la finalité : Patricia BLANC-GONNET, Protection de la
vie privée et transparence à l’épreuve de l’informatique, thèse de doctorat, Paris, Faculté de Droit
de Saint Maur, Université Paris Val de Marne (Paris XII), 2001, p. 68 et 69.
39 G.B.F. NIBLETT, préc, note 25, p. 10. 40
Voir notamment l’étude réalisée sur ces questions : Isabelle VACARIE, Le traitement
informatique des données de santé, thèse de doctorat, Paris, Université de Paris I, Panthéon-
principe de finalité41, ce qui témoigne d’une certaine complexité du principe et d’une application pour le moins difficile.
Toutefois, la CNIL signale qu’à aucun moment elle n’a affirmé que ces principes étaient inadaptés et qu’il serait plus opportun de les écarter. Ce que la CNIL prévoit, c’est qu’ils « risquent souvent de donner lieu à des dérives et que leur respect scrupuleux ne sera pas aisé à contrôler »42.
Cette affirmation nous semble pertinente, singulièrement dans le contexte des traitements détenus par le secteur public puisque, dans le passé, nous avons observé des situations où une utilisation abusive des données personnelles concernant les citoyens a pu se produire à cause d’un détournement de finalité.
C. Marliac-Négrier a procédé à l’étude des questions entourant la protection des données nominatives informatiques en matière de recherche médicale et elle affirme que, dans ce domaine, la finalité est une « notion insuffisante » et qu’elle ne suffit pas à elle seule, « même si elle réussit à cantonner de nombreuses difficultés »43.
Ainsi, il est signalé que le critère de finalité est souvent opposé à celui de la sensibilité des données, sauf que, jusqu’aujourd’hui, nous pouvons affirmer que la sensibilité des données dépend plus des « circonstances de lieu, de temps et d’espace que de leurs caractères intrinsèques »44.
À cause du caractère insuffisant de la notion de finalité, cette juriste préconise la conciliation du critère de finalité avec celui qui lui est opposé, c’est-à-dire le critère de sensibilité.
Pour elle, le critère de finalité « n’est pas fiable car inconstant »45. Voici l’idée se trouvant à la base de cette affirmation :
« S’il faut se référer à l’appréciation de l’extension possible opérée sous le contrôle de la CNIL, alors la personne concernée par le
41 COMMISSION NATIONALE DE L’INFORMATIQUE ET DES LIBERTÉS, Voix, Image et
Protection des Données Personnelles, Paris, La Documentation Française, 1996, p. 63 et s.
42 Id., p. 63.
43 Claire MARLIAC-NÉGRIER, La protection des données nominatives informatiques en matière
de recherche médicale, Tome II, Presses Universitaires d’Aix-Marseille, 2001, p. 463.
44 Id., p. 453. 45 Id., p. 462.
traitement de données nominatives ne saura pas, au moment de la collecte, si la raison, la finalité pour laquelle elle accepte de donner les renseignements en question, sera la seule utilisée ou s’il y aura extension de finalité. De plus, il est par avance impossible de signaler quelle sera l’éventuelle nouvelle finalité attribuée au traitement, même si la connexité permet de situer le cadre. »46
Par conséquent, la « connexité », en tant que critère, fournit une certaine « sécurité juridique », sauf que, bien qu’il soit obligatoire de signaler la finalité du traitement envisagé directement à la CNIL et, indirectement, à la personne concernée, « rien n’est organisé pour gérer ces extensions de finalité »47.
Dans le cadre des énormes banques de données détenues par les organismes du secteur public, nous observons également comment, par le passé, les données personnelles ont eu une certaine vocation à être réutilisées. Toutefois, le critère de connexité n’est pas toujours celui qui a justifié certains rapprochements de données ni la détermination de certaines finalités « secondaires » des informations.
Pour la CNIL, la finalité est « une notion fonctionnelle très utile »48, puisque « c’est au vu de la finalité du traitement qu’elle apprécie la cohérence des données, la qualité des destinataires et la durée de conservation des informations ».49
Notons que la CNIL a jugé que la réflexion sur la finalité du traitement reste essentielle afin d’en mesurer le caractère proportionné et raisonnable. Elle déclare : « plus qu’à l’énoncé des finalités, c’est à la justification de la finalité, à la preuve de la nécessité et de l’efficacité du traitement que l’on s’attache »50.
Nous pouvons donc affirmer que ce principe possède une nature assez subjective et indéterminée, ainsi qu’un caractère purement contextuel. Certains objecteront « l’imprécision » du principe en soulignant que la notion de finalité est « singulièrement floue » et présente le risque d’une « interprétation fort large »51. Pour certains auteurs, cette critique du principe de finalité reste toutefois peu fondée :
46 Id., p. 463 (nous soulignons). 47 Id.
48 I. DE LAMBERTERIE et H.-J. LUCAS (dir.), préc., note 31, p. 79. 49 Id.
50
Nathalie MALLET-POUJOL (dir.), Traçage électronique et libertés, Problèmes politiques et sociales nº 925, Paris, La Documentation Française, 2006, p. 7.
« Le respect du critère de la “finalité” est en effet plus souple et plus respectueux d’une appréciation judiciaire évolutive que le critère a priori, réglementaire, tiré de la nature soi-disant “en soi” des données, critère qui, par opposition, est peu soucieux de la réalité contractuelle. »52
Certains font remarquer que ce principe de finalité peut paraître, au premier abord, un peu abstrait, mais qu’« il ne l’est pas et il constitue la garantie cardinale de nos législations »53. En conséquence, certaines caractéristiques de ce principe qui, à première vue, peuvent paraître problématiques, deviennent celles qui permettent son application au cas par cas et qui lui accordent un rôle majeur dans les systèmes de protection des renseignements personnels.
Même si les différents instruments normatifs nous présentent la finalité comme une notion qui doit être interprétée comme « unitaire », il convient de se rappeler que le caractère complexe de ce principe tire son origine du fait que, dans certains cas, il n’existe pas une mais plusieurs finalités qui peuvent être attribuées à un traitement, sans que cela se traduise toujours par le non-respect des législations relatives à la protection des renseignements personnels.
Il s’agit alors de déterminer quelles sont les finalités « conciliables » et quelles sont les « familles de finalités » qui sont compatibles et celles qui ne le sont pas. Arriver à donner réponse à ces questions n’est pas une tâche facile. Certains auteurs se demandent : « Que faut-il entendre par traitement compatible avec la finalité initiale du traitement? Et quelles sont les sanctions de l’incompatibilité ? »54.
Si nous parvenons à déterminer une série de finalités compatibles, nous serons en mesure d’identifier un ensemble d’usages licites des renseignements en question. La notion du détournement de finalité mérite que l’on s’y attarde, parce que c’est en détournant la finalité des traitements contenant des renseignements personnels que
52 Id., p. 244.
53 P. LECLERQ, « La CNIL, garante de la finalité, de la loyauté et de la sécurité des données
personnelles », dans Les libertés individuelles à l’épreuve des NTIC, Marie-Christine PIATTI (dir.), Lyon, Presses Universitaires de Lyon, 2001, 111, p. 113.
l’on va pouvoir identifier un danger réel quant à la protection de la vie privée des personnes concernées :
« Le détournement de finalité n’est pas celui de l’information à proprement parler, contrairement à ce qui est parfois écrit […] ; il faudrait dans ce sens plutôt envisager le vol du bien informationnel. En effet, les données nominatives n’ont pas des finalités en elles- mêmes, mais seulement une utilité par rapport à la finalité du traitement ; en conséquence, la finalité du traitement qui doit être seule considérée, déteint sur les informations. »55
Comme certains auteurs l’ont répété, c’est par rapport au secteur public que la question du détournement de finalité présente les plus grandes difficultés : « La question du détournement de finalité du traitement de données relatives à la vie privée se pose avec une acuité particulière dans le cas des applications mises en œuvre par les autorités investies de missions de service public »56.
Certains parlent de « détournements de finalité incontrôlables », à cause de l’existence d’une pluralité de gestionnaires, ce qui peut entraîner des risques potentiels de divulgation et d’exploitation non autorisée des données. Ce qui peut nous faire penser à une « maîtrise illusoire des données » :
« À travers le respect des principes de finalité, de transparence, de loyauté de la collecte et de l’usage, de sécurité, le principe de libre communication des informations sur soi étend son influence sur le régime des licences non volontaires. Mais la constatation perd de son évidence ; au fur et à mesure de la pérégrination des données, les règles et principes transmis en même temps qu’elles, tendent à se diluer, perdre de leur efficacité, de leur réalité. Plus l’information s’éloigne de la personne et plus l’effectivité de la maîtrise est illusoire. »57
55 J. FRAYSSINET, préc, note 29, p. 136.
56 Guy BRAIBANT, Données personnelles et société de l’information, Rapport au Premier Ministre
sur la transposition en droit français de la directive no 95/46, Paris, La Documentation Française,
1998, p. 9.
57 Frédéric LESAULNIER, L’information nominative, thèse de doctorat, Faculté de droit, Paris,
Ils affirment qu’« en permettant l’interrogation croisée des données qu’elles contiennent, les banques de données informatisées présentent un risque de détournement de la finalité pour laquelle ces données ont été recueillies »58. Il devient alors essentiel de se demander pourquoi le traitement de renseignements personnels a été créé.
À quoi devaient servir ces renseignements personnels ? Cette question est particulièrement cruciale pour ce qui relève du secteur public et prouve la complexité qui se cache derrière l’application du principe de finalité.
La réponse à cette question est assez facile à trouver dans certains cas mais, dans d’autres, il devient compliqué de déterminer une finalité précise, à cause de la nature même des renseignements personnels.
Certains auteurs nous rappellent que toute modification ou adjonction de finalité doit faire l’objet d’une nouvelle demande et que « derrière le changement de finalité se dissimule un traitement différent pour lequel les conditions de mise en œuvre du premier traitement ne sont plus adaptées »59.
Dans ses études, Louise Cadoux utilise l’expression « dérive de finalités » quand elle fait référence aux risques qui découlent de la vidéosurveillance dans les lieux publics : « le principe de proportionnalité ne peut évidemment se satisfaire que d’une finalité précise sans quoi il serait ruiné ; mais, en même temps, on sait que l’on recueille bien plus d’informations que celles utiles pour cette finalité ; et que là est la tentation, celle qui conduit à la dérive des finalités »60.
Le danger d’une telle dérive existe dans tous les domaines de la protection des données personnelles mais, au sein du secteur public et dans le cadre du développement des échanges dans les réseaux gouvernementaux, le risque nous semble plus accru.
Ainsi, nous pouvons identifier, d’une part, les renseignements personnels qui peuvent être contenus dans l’ensemble des sources de nature publique détenues par
58 Claude BOURGEOS, L’anonymat et les nouvelles technologies de l’information, thèse de
doctorat, Paris, U.F.R. de droit, Université Paris V, 2003, p. 178.
59 I. DE LAMBERTERIE et H.-J. LUCAS (dir.), préc., note 31, p. 79. 60
Louise CADOUX, « La vidéosurveillance des lieux publics », dans Nouvelles technologies de
l’information et libertés individuelles, Nathalie MALLET-POUJOL (dir.), Paris, La Documentation
l’appareil étatique, renseignements que nous qualifions de « données publiques »61 ; et, d’autre part, l’ensemble des renseignements personnels qui sont issus des traitements détenus par les différents organismes publics et qui, en général, ont un caractère confidentiel et ne font donc pas l’objet de publication ou de diffusion. Nous pouvons ainsi identifier les « fichiers administratifs » élaborés à des fins administratives et qui sont « souvent des dossiers individuels organisés afin de renseigner au sujet de personnes particulières ceux qui doivent se prononcer sur leurs qualifications, leur moralité, leurs droits, les possibilités et avantages à leur offrir et les prestations à leur verser »62.
Pour certains experts, la caractéristique de ces fichiers est « qu’éventuellement les données peuvent être consultées par des entités diverses, et en tout cas différentes de celles qui les ont constituées »63.
Nous pouvons observer également un phénomène de « mise en réseau » des renseignements personnels concernant les citoyens, provoqué par le partage de plus en plus fréquent des informations entre les différents organismes appartenant aux multiples niveaux de l’administration publique.
Auparavant, la crainte provenait de la possibilité de regrouper, par interconnexions, des informations devant être compartimentées : « les possibilités d’interconnexion offertes par l’informatique peuvent également être utilisées pour passer d’une comptabilité sectorielle sur l’individu à une comptabilité globale »64.
Certains affirmaient dans le passé que, « malgré le principe de finalité du fichier mais aussi d’autodétermination de l’individu fiché, il est à craindre que l’informatisation renforce le contrôle sécuritaire au détriment d’un contrôle social qui lui, utiliserait les statistiques et les modèles pour une meilleure gestion prévisionnelle de la collectivité »65.
61 Voir sur les différentes classifications de l’ensemble des données publiques et sur les enjeux liés à
sa diffusion sur Internet : Herbert MAISL, Le droit des données publiques, Paris, L.D.G.J., 1996. Jean-Michel BRUGUIÈRE, Les données publiques et le droit, Paris, Litec, 2002.
Dieudonné MANDELKERN et Bertrand DU MARAIS, Diffusion des données publiques et
révolution numérique, Paris, La Documentation française, 1999.
62 Guido GÉRIN, Les effets de l’informatique sur le droit à la vie privée, CEDAM, 1990, p. 90. 63
I. DE LAMBERTERIE et H.-J. LUCAS (dir.), préc., note 31, p. 80.
64 A.VITALIS, préc., note 21, p. 111. 65 G. GÉRIN, préc., note 62, p. 104.
Mais il convient également rappeler que, d’une part, les services publics recourent souvent à des entreprises privées pour la gestion et la maintenance de leurs fichiers automatisés et que, d’autre part, il existe de nombreux services mixtes public-privé. Mais, comme certains l’ont signalé, une distinction fondamentale « parce qu’elle touche au noyau du droit de la personnalité, a pour objet le caractère forcé ou volontaire de la collecte des informations »66. Voici, en quelques mots, la vision de la situation particulière qu’occupe le citoyen face à l’État :
« Pour satisfaire à ses besoins ou obtenir certaines prestations, l’individu ne saurait manquer de contracter et d’accepter les conditions qui lui sont faites ; de plus, il occupe une situation juridique dépendante caractérisée, dans l’hypothèse de l’activité professionnelle, par le pouvoir hiérarchique de l’administration ou par l’autorité du chef d’entreprise. Le pouvoir informatique symbolise et renforce une telle situation : le flux informatique se nourrit des données propres à la personne qui est dans une situation dépendante et il est maîtrisé par ceux qui occupent la fonction d’autorité ou détiennent le pouvoir économique. »67
Par conséquent, il nous semble spécifiquement pertinent d’analyser la façon dont le principe de finalité peut arriver à compenser cette position de faiblesse du citoyen, faiblesse renforcée encore par les progrès de l’informatique.
Nous pouvons affirmer que, pour ce qui est du secteur public, « même la distinction entre la divulgation obligatoire de certaines données et celle qui est subordonnée au consentement préalable de la personne intéressée ne laisse pas d’être singulièrement artificielle »68.
En effet, le citoyen doit fournir un grand nombre de données aux pouvoirs publics, en échange de l’obtention de certaines prestations, raison qui motive l’idée que « la liberté de consentir, qui n’est que le revers de celle de ne pas consentir, peut se trouver dans les faits réduite au point de n’être plus que purement théorique »69.