Le respect de la vie privée appliqué aux données à caractère personnel

234. Les mécanismes de protection propres aux données à caractère personnel sont mis en place

dès qu’un traitement de telles données est opéré. Le respect de la vie privée appliqué aux données à caractère personnel doit alors être étudié en deux temps: en amont du traitement (A) et en aval (B).

A. En amont du traitement de données à caractère personnel

235. Les principales définitions (1) et les modalités de collecte et de traitement de données personnelles (2) doivent ici être évoquées.

1. Les principales définitions posées par la loi de 1978 et la directive de 1995

236. Le régime applicable aux données à caractère personnel est principalement issu de la loi du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés. Cette dernière a fait l’objet d’un grand nombre de modifications afin d’être en adéquation avec l’avancée des technologies et l’évolution du droit Européen en la matière652. Ces dispositions possèdent un large champ d’application, puisqu’elles concernent tous les traitements de données à caractère personnel, qu’ils soient automatisés ou non. Dans le but de prévenir d’éventuels abus, le législateur a opéré un travail

Directive 95/46/CE, du Parlement Européen et du Conseil, en date du 24 octobre 1995, transposée en droit Français

652

de définition des différentes notions visées653. La loi de 1978, dans sa première mouture, évoquait clairement la notion d’informations nominatives, et encadrait la collecte et l’utilisation des ces dernières. Définies à l’article 4 de la loi, cette notion devait s’entendre comme les « informations qui permettent sous quelque forme que ce soit, directement ou non, l’identification des personnes physiques auxquelles elles s’appliquent, que le traitement soit effectué par une personne physique ou par une personne morale654 ». L’article 45 de la loi excluait de son champ d’application les traitements dont « l’usage relève du strict exercice du droit à la vie privée655 ». Dans les faits, la loi de 1978 s’appliquait alors aux traitements automatisés entendus dans le sens de l’article 5 de cette dernière comme « tout ensemble d’opérations réalisées par les moyens automatiques, relatif à la collecte, l’enregistrement, l’élaboration, la modification, la conservation et la destruction d’informations nominatives ainsi que tout ensemble d’opérations de même nature se rapportant à l’exploitation des fichiers ou bases de données et notamment les interconnexions et rapprochements, consultations ou communications d’informations nominatives656 ».

237. Avec le développement croissant de l’informatique au sein de l’ensemble des activités humaines, de nouveaux défis liés à « la convergence technologique657 » et à l’apparition « des milliers de Big brother privés potentiels658 » ont poussé l’Europe à envisager un cadre d’harmonisation de la protection des personnes physiques à l’égard du traitement des données personnelles au travers de la directive 95/46 précitée, transposée en France en 2004. Aujourd’hui, la définition d’une donnée à caractère personnel vise « toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, par référence à un

Et spécialement au sein de l’article 2 de la Loi du 6 janvier 1978 relative à l’informatique, aux fichiers et aux

653

libertés modifiée par la loi relative à la protection des personnes physiques à l’égard des traitements de données à caractère personnel du 6 août 2004, En ligne: https://www.cnil.fr/sites/default/files/typo/document/

CNIL-78-17_definitive-annotee.pdf (dernière consultation: 5 mars 2018)

Loi n° 78-17 du 6 Janvier 1978 relative à l'informatique, aux fichiers et aux libertés, Journal Officiel du 7 Janvier

654

1978, p.227, En ligne: https://www.legifrance.gouv.fr/jo_pdf.do?id=JORFTEXT000000886460 (dernière consultation: 5 mars 2018)

Ibid. Art. 45

655

Ibid. Art. 5

656

TURK Alex, Rapport n°218 fait au nom de la commission des Lois constitutionnelles, de législation, du suffrage

657

universel, du Règlement d’administration générale sur le projet de loi, adopté par l’Assemblée nationale, relatif à la protection des personnes physiques à l’égard des traitements de données à caractère personnel et modifiant la loi n°78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, Sénat, session ordinaire de 2002-2003,

annexe au procès-verbal de la séance du 19 mars 2003, p. 21, En ligne: https://www.senat.fr/rap/l02-218/l02-2181.pdf (dernière consultation: 5 mars 2018)

Ibid.

numéro d'identification ou à un ou plusieurs éléments qui lui sont propres659 ». La loi va jusqu’à préciser que pour déterminer si une personne est identifiable, il faudra considérer « l'ensemble des moyens en vue de permettre son identification dont dispose ou auxquels peut avoir accès le responsable du traitement ou toute autre personne660 ». De la même manière, la définition du traitement applicable aux données à caractère personnel va toucher non seulement un grand nombre d’algorithmes informatiques, mais, dans l’ensemble, « toute opération ou tout ensemble d'opérations portant sur de telles données, quel que soit le procédé utilisé661 ». Il est donné une liste, non exhaustive, des différents traitements concernés tels que « la collecte, l'enregistrement, l'organisation, la conservation, l'adaptation ou la modification, l'extraction, la consultation, l'utilisation, la communication par transmission, diffusion ou toute autre forme de mise à disposition, le rapprochement ou l'interconnexion, ainsi que le verrouillage, l'effacement ou la destruction662 ».

238. Cette définition très large vient s’appliquer à la plupart des traitements, et a été complété par extension jurisprudentielle à l’égard d’opérations particulières telles que, par exemple, les recueils d’adresses électroniques composés à des fins de prospections663 ou les dispositifs d’écoutes téléphoniques des salariés664. Il est également à noter que la définition distincte de fichier, donnée par la loi, en tant que « tout ensemble structuré et stable de données à caractère personnel accessibles selon des critères déterminés665 » n’est pas une notion isolée, mais relève bien d’une sous-partie du régime applicable aux traitements. Dans le cadre du rapport de la Commission des lois du Sénat rendu le 19 mars 2003, Alex Türk déclare que « la directive s’applique à toutes les formes de traitements automatisés, qu’ils se rapportent ou non à l’exploitation de fichiers ou de bases de données, la Commission européenne ayant jugé dépassée la notion de « fichier ». La seule référence à la notion de traitement doit permettre d’appliquer les règles de la protection à toute technologie et à toute organisation particulière de données. Les opérations de collecte constituent en elles-mêmes un traitement, et la mise en œuvre d’une seule des opérations énoncées par l’article

Article 2 de la loi précitée

659 Ibid. 660 Ibid. 661 Ibid. 662

Voir par exemple: Cass. Crim. 14 mars 2006, n° de pourvoi: 05-83423, Publié au bulletin, En ligne: https://

663

www.legifrance.gouv.fr/affichJuriJudi.do?idTexte=JURITEXT000007069872 (dernière consultation: 5 mars 2018) Voir par exemple: TGI Paris, 1ere Ch. 4 avril 2006

664

Article 2 de la loi précitée

2,b) de la directive suffit à caractériser le traitement de données666 ». Dans ce même rapport, il est précisé que « la notion de fichiers traditionnels apparaît largement obsolète et incapable de recouvrir l’ensemble des problèmes. La directive opère d’ailleurs un glissement sémantique substituant à l’expression « informations nominatives » celle de « données à caractère personnel » afin de garantir la protection de la vie privée « quelles que soient les techniques concernées » et adopte une neutralité technologique visant à préserver la loi d’évolutions aujourd’hui imprévisibles667 ».

239. L’ensemble de ces dispositions est applicable aux responsables de traitement. Ces derniers sont définis comme étant « sauf désignation expresse par les dispositions législatives ou réglementaires relatives à ce traitement, la personne, l'autorité publique, le service ou l'organisme qui détermine ses finalités et ses moyens668 ». Le législateur a choisi ici de se démarquer de la position Européenne et de la directive 95/46/CE en supprimant la possibilité d’une co-responsabilité dans la détermination des finalités pour éviter une éventuelle pluralité de responsabilité. Au titre de ces dispositions, un seul responsable de traitement, personne physique ou morale669, est désigné.. Le contrôle portera donc principalement sur la finalité du traitement, qui doit être déterminée, et dont tout détournement est passible de 5 ans d’emprisonnement et de 300 000€ d’amende670. Entre autres conditions, celle-ci devra être précise et cohérente avec les informations recueillies. Ce principe reste l’un des fondamentaux de la protection, et un des principaux point auquel la Commission Nationale de l’Informatique et des Libertés671 s’attache lorsqu’elle effectue un contrôle. Cette autorité administrative indépendante, définie par la loi du 6 janvier 1978, est chargée de veiller à la protection des données personnelles et dispose d’un pouvoir de contrôle et de sanction dont le montant peut atteindre 300 000 euros. Celle-ci peut accéder à tous les locaux professionnels, demander la communication de tous documents pour recueillir les informations nécessaires et avoir accès aux programmes informatiques.

TURK Alex, Rapport n°218 (…) relatif à la protection des personnes physiques à l’égard des traitements de données

666

à caractère personnel et modifiant la loi n°78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés,Op. Cit., p. 49

Ibid. p. 22

667

Op. Cit.

668

Désignée comme étant une entité pouvant réunir plusieurs personnes, employés ou sous-traitants, et étant celle qui

669

réalise les traitements pour son compte Art. 226.21 du Code Pénal

670

CNIL

240. Ce retour sur les concepts opérants de la protection des données à caractère personnel permet d’offrir un traitement intelligible de la question de la protection de la vie privée au vu de la surveillance diffuse. Inscrit à l’article 9 du Code civil, le droit à la protection de la vie privée672 est l’une des plus essentielles déclinaisons de la liberté individuelle inscrite à l’article 66 alinéa 2 de la Constitution de 1958. Les atteintes que la surveillance diffuse est susceptible de faire peser sur le respect des données personnelles et sur le respect de la vie privée sont nombreuses. Elles résultent de l’activité des individus, qu’elle soit numérique ou non, mais également du traitement automatisé de données personnelles concernant l’individu, ainsi que de l’interconnexion de bases de données.

2. Les modalités de collecte et de traitement de données à caractère personnel

241. Le régime applicable aux responsables de traitement se caractérise par un certain nombre de principes applicables aux conditions d’acquisition des données et au processus de traitement. Il s’agit tout d’abord de respecter, ainsi que le mentionne l’article 6 de la loi de 78 modifiée, un principe de loyauté et de licéité dans la collecte et le traitement de données personnelles673. Globalement, ces deux éléments visent à répondre à un impératif général de transparence quant au mode opératoire développé dans le cadre du traitement. Plus largement, le principe de loyauté est à mettre en parallèle avec l’examen de la finalité du traitement qui doit être déterminée, explicite et légitime. Principe issu de la nouvelle rédaction de l’article 6.2 amenée par la loi du 6 août 2004, il vise à informer les sujets du traitement autant qu’à juger de la cohérence des informations recueillies avec ses objectifs affichés. En principe, ce principe de loyauté dans l’utilisation des données personnelles collectées permet d’établir un cadre strict dans la collecte de données. Fortement lié à l’obligation de consentement préalable de la personne concernée par le traitement de données, le principe de loyauté permet de faire en sorte que les données obtenues fassent l’objet d’une information de la personne concernée, qui jouit alors de la possibilité de s’opposer à leur utilisation674. Si la licéité fait essentiellement référence aux droits du sujet du traitement, le principe de loyauté est plus large dans son applicabilité. Par exemple, le fait de recourir à un sondage politique pour recueillir, sans le consentement des personnes sondées, leurs données personnelles et

En matière numérique, la protection de la vie privée mélange à la fois la liberté, la confidentialité et la sauvegarde

672

des intérêts personnels.

Article 6.1 da la loi du 6 janvier 1978

673

Article 38 de la loi du 6 janvier 1978

leurs emails a été jugé déloyal675. Est considéré également comme constitutif d’une collecte déloyale, le fait de procéder à la collecte d’adresses de courrier électronique sur des forums de discussion, listes de diffusion, sites Internet, sans que les personnes concernées n’en aient eu connaissance676. Au titre de ce principe de loyauté et au vu de l’article 226-15 du Code Pénal, il est donc impossible en principe « d’intercepter, de détourner, d’utiliser, ou de divulguer des correspondances émises, transmises ou reçues par voie de télécommunications ». C’est ainsi que, depuis 2001 et l’arrêt Nikon677, il est nécessaire de distinguer, sur le lieu de travail, les correspondances appartenant à l’entreprise, des correspondances privées, dont l’accès est réservé au destinataire du message. Ainsi, l’inscription sur un mail échangé sur le lieu de travail d’un contenu « privé » ou « professionnel » (sorte de finalité), détermine son régime juridique. Il y a donc, par l’arrêt Nikon, reconnaissance d’une obligation de loyauté pesant sur l’employeur vis-à-vis du salarié quant au respect de sa vie privée. La loyauté et le respect de la finalité inspireront le traitement jusqu’à la destruction des informations nominatives, puisque celles-ci ne pourront être « traitée ultérieurement de manière incompatible avec les finalités » initialement déterminées.

242. En plus du respect strict de la finalité, le législateur a inséré une autre exigence, d’origine internationale678, qui s’attache à vérifier la proportionnalité du traitement avec les données personnelles collectées. Celui-ci devra porter sur des données « adéquates, pertinentes et non excessives au regard des finalités pour lesquelles elles sont collectées et pour lesquelles elles sont traitées ultérieurement679 ». Dans ce contexte, le recueil d’information sur le logement et la situation financière de l’hébergeant a été jugé adéquat et pertinent au regard de la finalité du fichier de demandes de validation des attestations d’accueils étrangers680. Cependant, si ce critère permet d’effectuer un contrôle, il peut également constituer un terrain favorable pour exercer un recours contre un refus d’autorisation de la CNIL.

Voir par exemple: Tribunal Correctionnel de Nanterre, 4 juin 2004

675

Voir en ce sens: CNIL, Délibération n° 02-075 du 24 octobre 2002 portant dénonciation au Parquet d’infractions à la

676

loi du 6 janvier 1978, En ligne: https://www.cnil.fr/sites/default/files/typo/document/delib_spam.pdf (dernière consultation: 5 mars 2018)

Cass. Soc., Audience publique du mardi 2 octobre 2001, N° de pourvoi n° 99-42942, NIKON, Publié au bulletin, En

677

ligne: https://www.legifrance.gouv.fr/affichJuriJudi.do?idTexte=JURITEXT000007046161 (dernière consultation: 5 mars 2018)

Convention STE n°108 du Conseil de l’Europe du 28 janvier 1981 reprise par la directive 95/46/CE

678

Article 6.3 de la loi informatique et libertés

679

Conseil d’État, 26 juillet 2006, n°285714