‐n ‑rance, le grand public a pris conscience de l’informatisation de la société à partir des années 1980 avec les expériences du vidéotex de Vélizy, puis du minitel84 mis à disposition du
public gratuitement par la Direction générale des Télécommunications85 ou DGT. La première
application numérique orientée grand public est l’annuaire électronique86. À partir d’un petit
terminal, le minitel, tout abonné au téléphone peut rechercher le numéro de téléphone de n’importe quel autre abonné dans la ‑rance entière, hors abonnés en liste rouge. La technique numérique permet de s’affranchir de la limite des départements qui était la règle avec l’annuaire papier87. De plus, les critères de recherche sont étendus et ces recherches sont donc plus faciles :
recherche d’un abonné avec extension orthographique du nom, extension d’une recherche aux communes limitrophes ou à l’ensemble du département, recherche des abonnés d’une rue ou d’un immeuble, etc. Ainsi, dès 1985, l’annuaire électronique modifie les habitudes des abonnés au téléphone. Des individus recherchent des cousins perdus de vue. Certaines sociétés créent des fichiers de prospection commerciale en collectant les adresses privées ou professionnelles disponibles gratuitement. À l’époque, la DGT renonce à une recherche d’un abonné sur l’ensemble du territoire français et ne met pas en service public la recherche inversée88. La seule
protection disponible pour l’usager est de demander à être mis en liste rouge, c’est-à-dire à ne pas figurer dans la liste des résultats d’une requête. Ce service est alors facturé par la DGT et peut être assimilé à un droit à être non référencé.
‐n parallèle au développement du minitel, L’informatique se développe depuis les années 1970. Les techniques informatiques sont alors encore balbutiantes, les bases de données sont de gros fichiers hiérarchiquement organisés et les réseaux commencent à relier les sites d’un même
84 Jean Harivel, « Le minitel, une exception française », Irène Bouhadana et William Gilles (sous la direction),
Revue de l’Institut du Monde et du Développement, RIMD n° 4 – 2013 – Hiver/Winter, pp. 93-106.
85 La Direction générale des télécommunications est renommée ‑rance Télécom le 1er janvier 1988, transformée
en établissement de droit public par la loi n° 90-568 du 2 juillet 1990 relative à l'organisation du service public de
la poste et à France Télécom, puis en société anonyme par la loi no 96-660 du 26 juillet 1996 relative à l'entreprise nationale France Télécom. Après l’ouverture au public de son capital en 1997 et le rachat d’ORANG‐ en 2000
puis 2003, le changement de nom du Groupe ‑rance Télécom en ORANG‐ est voté lors de l’assemblée générale du 28 mai 2013 et sera effectif au 1er juillet 2013. Op. cit.
86 Inauguré en Ile et Vilaine le 5 mai 1983 avec une base de données régionale limitée aux abonnés du téléphone
des départements bretons, et inauguré à Paris le 5 mai 1985, avec la base nationale des 23 millions d’abonnés au téléphone.
87 Seul l’annuaire papier du département de l’abonné au téléphone est distribué gratuitement. 88 Recherche de l’identité d’un abonné dont seul le numéro de téléphone est connu.
Introduction
25
constructeur entre eux. Le réseau Transpac89 permet à des sites non homogènes de s’échanger
des données, il sera livré à la Direction générale des Télécommunications au début des années 1980. IBM90 ne commercialisera sa première base de données relationnelle qu’aux
environs des années 198091.
Cependant, devant le risque de fichage généralisé des individus et l’utilisation d’un identifiant unique, le numéro de sécurité sociale, pour relier les différents fichiers administratifs, les députés français, sous la pression de l’opinion publique et des médias92, vont voter dès le 6
janvier 1978, la loi n°78-17 relative à l’informatique, aux fichiers et aux libertés93. Son article
1er précise : « L’informatique doit être au service de chaque citoyen. Son développement doit
s’opérer dans le cadre de la coopération internationale. Elle ne doit porter atteinte ni à l’identité humaine, ni aux droits de l’homme, ni à la vie privée, ni aux libertés individuelles ou publiques ». Pour la première fois, la société prend conscience d’un risque pour les libertés, lié
à l’utilisation des techniques nouvelles qui sont en cours de développement. Ainsi, alors que l’informatique est encore « adolescente », la nécessité d’une coopération internationale est affirmée et les risques principaux liés à l’informatisation prévisible de la société sont l’atteinte aux droits de l’homme, à la vie privée et aux libertés individuelles ou publiques. Cette loi n° 78-17 est la première loi spéciale relative à l’informatique, technique récente dont le potentiel d’intrusion dans la société et la vie privée est ainsi mis sous contrôle. Les traitements relatifs aux données collectées et enregistrées par les sociétés et l’administration doivent être déclarés à la CNIL qui peut en refuser ou restreindre la mise en place. Cette loi crée de nouveaux droits94
pour les personnes physiques quant au contrôle des traitements de leurs données, mais ces droits ne sont pas toujours connus par les personnes physiques concernées95.
89 Réseau de télécommunications qui véhicule les données par paquets (protocole X25). Inventé en 1976,
commercialisé à partir de 1979, le réseau sera abandonné en 2011 par ‑rance Télécom (sources personnelles de l’auteur).
90 IBM, ou International Business Machines, est dans les années 70-80 le premier fournisseur mondial
d’ordinateurs. À l’époque, le matériel, ou hardware, est loué avec le système d’exploitation, créant une dépendance entre le client et le constructeur.
91 Le système R, système de gestion de base de données relationnelles, a débuté comme projet de recherche dans
les années 1970. Le premier client de system R a été Pratt & Whitney en 1977. (IBM Research Laboratory, “A History and ‐valuation of System R”, Communications of the ACM, October 1981, Volume 24, Number 10, pp. 632-646, URL: https://people.eecs.berkeley.edu/~brewer/cs262/SystemR.pdf consulté le 19 mars 2018).
92 Philippe Boucher, « SA‑ARI ou la chasse aux ‑rançais », Le Monde, 21 mars 1974.
93 Loi no 78-17 du 6 janvier 1978, relative à l’informatique, aux fichiers et aux libertés, publiée au JOR‑ du 7
janvier 1978 p. 227.
94 Droit d’information, droit d’opposition, droits d’accès et de rectification.
95 L’auteur peut aussi témoigner que cette loi n’est pas non plus connue des équipes informatiques qui développent
Cette loi française concourt à l’élaboration de textes européens protégeant les données à caractère personnel. Le 23 septembre 1980, l’OCD‐ adopte les « lignes directrices régissant la
vie privée et le flux transfrontalières des données à caractère personnel» qui énoncent divers
principes de limitation en matière de collecte des données à caractère personnel obtenues par des moyens licites et après consentement de la personne concernée96. Ces lignes directrices sont
établies pour harmoniser les législations, mais aussi ne pas entraver la libre circulation de ces données nécessaire à « d’importants secteurs de l’économie », banque et assurances.
Le 28 janvier 1981, le Conseil de l’‐urope adopte la Convention internationale no 108
consacrant les principes « informatique et libertés » inspirés de la loi française no 78-1797. Dans
son article 1er, le but de cette convention est « de garantir […] à toute personne physique […]
le respect de ses droits et de ses libertés fondamentales […] à l’égard du traitement automatisé des données à caractère personnel la concernant ». La protection des données à caractère
personnel se généralise ainsi en ‐urope, soit pour des raisons économiques et la libre circulation des données, soit pour défendre les droits des personnes physiques. Cette dualité d’objectifs reste présente dans les textes protecteurs qui, cependant, édictent les mêmes droits pour les personnes physiques.
Au niveau de la Communauté européenne, afin d’harmoniser les législations dans les États membres, une directive est publiée en 199598, dans son titre, la dualité protection des données
et libre circulation de ces données est rappelé. Les droits des personnes physiques et la protection des données à caractère personnel sont dérivés de la loi no78-17, des lignes
directrices de l’OCD‐ et de la Convention no 108. Les États membres se dotent ainsi d’une
protection des données à caractère personnel contraignante et harmonisée.
96 « Compte tenu de l'essor pris par le traitement automatique de l'information, qui permet de transmettre de vastes
quantités de données en quelques secondes à travers les frontières nationales et même à travers les continents, il a fallu étudier la question de la protection de la vie privée sous l'angle des données de caractère personnel. Des législations relatives à la protection de la vie privée ont été adoptées ou le seront prochainement dans près de la moitié des pays de l'OCDE (l'Allemagne, l'Autriche, le Canada, le Danemark, les États-Unis, la France, le Luxembourg, la Norvège et la Suède ont promulgué une législation. La Belgique, l'Espagne, les Pays-Bas et la Suisse ont établi des projets de loi) en vue de prévenir des actes considérés comme constituant des violations des droits fondamentaux de l'homme, tels que le stockage illicite de données de caractère personnel qui sont inexactes, l'utilisation abusive ou la divulgation non autorisée de ces données. » (1er paragraphe de la préface, OCD‐, Lignes directrices régissant la protection de la vie privée et les flux transfrontières de données de caractère personnel, 1980).
97 Conseil de l’‐urope, Convention pour la protection des personnes à l’égard du traitement automatisé des
données à caractère personnel », série des traités européens – n° 108, Strasbourg, 28 janvier 1981.
98 Directive 95/46/C‐ du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données.
Introduction
27
Depuis 1995, Internet s’est généralisé et les réseaux sociaux sont apparus. La généralisation du smartphone dans toutes les couches de la population et ses conséquences sur la vie privée imposent une refonte de la protection apportée par la Directive. ‐n 2016, un nouveau règlement99 est adopté après plusieurs années de discussions100, il est approuvé par le Parlement
européen début 2016 et doit être applicable le 25 mai 2018. Ce Règlement général sur la protection des données soumet la collecte des données à caractère personnel au consentement libre et éclairé de la personne physique concernée qui peut retirer son consentement à tout moment101. Il crée un nouveau droit à l’effacement des données102 et encadre la sécurité des
sites de stockage et de traitement desdites données103. Le règlement précise les règles de
circulation des données entre responsables de traitement et sous-traitants104 à l’intérieur du
territoire de l’Union européenne, mais il laisse une marge de manœuvre aux États membres, rendant possible une renationalisation partielle de la protection des données personnelles, qui peut constituer un obstacle à la réalisation du marché unique numérique105 source de valeurs
ajoutées. La dualité protection de la vie personnelle et des données à caractère personnel et libre circulation de ces données reste donc présente.
La ‑rance, avec la loi pour une République numérique106 a modifié la loi informatique et
libertés, en introduisant le droit à l’oubli pour les données collectées auprès d’un enfant mineur, et a ajouté à l’article 1er de cette loi le droit pour toute personne de décider et contrôler les
usages qui seront faits de ses données à caractère personnel, droit proche de la notion
99 Règlement (U‐) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des
personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données).
100 La Commission européenne a proposé de réformer la protection des données le 25 janvier 2012. Le 12 mars
2014, le Parlement européen manifeste son soutien au règlement général en séance plénière avec 621 votes pour, 10 votes contre et 22 abstentions. Le Parlement européen, le Conseil et la Commission parviennent à un accord sur le règlement général le 15 décembre 2015. Le règlement est publié au journal officiel de l’Union européenne le 24 mai 2016. (Source Le contrôleur européen de la protection des données, « Évolution historique du règlement général sur la protection des données », URL : https://edps.europa.eu/data-protection/data- protection/legislation/history-general-data-protection-regulation_fr consulté le 19 mars 2018).
101 Règlement (U‐) 2016/679, article 7. 102 Règlement (U‐) 2016/679, article 17. 103 Règlement (U‐) 2016/679, article 32. 104 Règlement (U‐) 2016/679, articles 27-29.
105 Catherine Barreau, « Le marché unique numérique et la régulation des données personnelles », Annales des
Mines - Réalités industrielles, 2016/3 (Août 2016), pp. 37-41.
106 Loi n° 2016-1321 du 7 octobre 2016 pour une République numérique, publiée au JOR‑ n°0235 du 8 octobre
d’autodétermination informationnelle107, introduisant dans le droit français ces notions prévues
dans le règlement avant son application par les États membres.
La personne physique et les données à caractère personnel font l’objet de textes protecteurs108,
ces informations peuvent être utilisées pour réaliser une surveillance quasi permanente des individus. Avec les évolutions des techniques numériques, il devient possible de collationner et de recouper des informations concernant un individu. Aujourd’hui, il est aisé de localiser géographiquement un individu à partir de certains de ces actes (paiement par carte bancaire, utilisation des transports en commun avec utilisation de cartes R‑ID, utilisation de téléphone portable, caméra de vidéosurveillance…), mais également de capter sa correspondance privée, de connaître ses relations, et de collecter d’autres informations qui restaient, jusqu’à maintenant, propres à la sphère privée109.
De fait, avec des techniques différentes de celles imaginées et décrites110 par George Orwell111,
Big Brother112 et sa surveillance omniprésente s’immisce dans notre monde moderne et
numérique. Dans les centres commerciaux et les centres-villes, dans les transports en commun, dans les rues et les places des villes et villages, la surveillance des caméras de vidéoprotection113, l’enregistrement des achats, la connaissance par les banques des revenus et
des dépenses, le dévoilement des modes de vie et des centres d’intérêt par les paiements effectués avec une carte bancaire, tels sont les moyens de surveiller les personnes physiques114.
‐n cas de disparition d’un individu, la localisation de son téléphone portable, les paiements et retraits effectués avec sa carte bancaire, permettent à l’enquête de rechercher sa trace éventuelle.
107 CNIL, « La loi pour une République numérique et la protection des données personnelles », 2 décembre 2016,
URL : http://www.cil.cnrs.fr/CIL/spip.php?article2902, consulté le 25 novembre 2017.
108 Yves Poullet, « La loi des données à caractère personnel : un enjeu fondamental pour nos sociétés et nos
démocraties ? », LEGICOM 2009/1 (N° 42), pp. 47-69.
109 Comme l’a révélé ‐dward Snowden en divulguant le programme PRISM des États-Unis d’Amérique en juin
2013. Lire sur le sujet Jean-Paul Deléage, « Avec ‐dward Snowden, l'homme sorti de l'ombre qui voulait éclairer le monde ! », Ecologie & politique, 2014/1 (N°48), pp. 5-12.
110 Le télécran, plaque de métal oblongue, pouvait transmettre les sons et les images sans qu’il soit possible de
savoir si on était surveillé, des hélicoptères pouvaient surveiller à l’intérieur des appartements (George Orwell,
1984, premières pages).
111 George Orwell, 1984, Editions Secker and Warburg, 1949.
112 “Big Brother is watching you” (en français : Big Brother vous regarde) tel est l’avertissement affiché sur les
murs. (George Orwell, 1984, premières pages).
113 Vidéosurveillance de la voie publique et des lieux ouverts au public, Service-Public.fr, vérifié le 16 janvier
2017, URL : https://www.service-public.fr/particuliers/vosdroits/‑2517, consulté le 25 novembre 2017.
114 Gérald Berthoud, « L'horizon d'une surveillance omniprésente ? », Revue européenne des sciences sociales,
Introduction
29
Avec les techniques numériques, l’Allemagne Hitlérienne aurait pu contrôler les mouvements des individus et voir sa puissance de nuisance décuplée. L’étoile jaune, bien que visible, n’a pas la capacité de localisation d’une puce R‑ID, utilisée aujourd’hui pour suivre et assurer la traçabilité des bovins, ovins et autres porcins, voire des objets avec la venue de l’Internet des objets.
Mais, nos régimes démocratiques peuvent également connaître des dérives en utilisant ces moyens puissants et furtifs115 mis à disposition grâce à la technologie numérique. Dans son
livre116, Alex Türk fait état d’un projet européen de géolocalisation des passagers dans les
aéroports, le projet « Op Tag » dévoilé au public en 2006. Ce projet a été testé dans l’aéroport de Copenhague117, mais il semble qu’il n’est pas mis en œuvre opérationnellement118. Couplée
au réseau de vidéosurveillance, une puce R‑ID présente sur la carte d’embarquement doit permettre de repérer les voyageurs flâneurs dans l’aéroport, et qui retardent d’autant la procédure d’embarquement. Cet outil peut être facilement détourné de son usage primaire et devenir un outil policier très contraignant si aucun texte n’encadre son utilisation. Souvent, une invention humaine peut être utile pour la société, mais aussi utilisée contre la société. Ainsi, la fusion nucléaire est utilisée pour la production d’énergie électrique, mais peut aussi détruire l’humanité d’où la nécessité de non-prolifération de ces armes. La technologie est neutre119,
seules son utilisation et la politique peuvent en faire un outil de progrès ou de contrainte pour l’individu.
Les moyens modernes de surveillance peuvent aussi être utilisés à l’insu d’un individu par les forces de police et de gendarmerie dans le cadre des lois pour la sécurité et contre le terrorisme120.
La personne physique ne doit pas être surveillée en permanence, cette surveillance permanente entrave sa liberté. Dans un État de droit, la sûreté présuppose que l’arbitraire ne réduise pas la
115 ‑urtif, furtive (adjectif, latin furtivus, dérobé, de fur, furis, voleur) définition : qui se fait rapidement, à la
dérobée, de manière à échapper à l’attention ; Littéraire. Qui passe rapidement, presque inaperçu : Des apparitions furtives ; Se dit d’un avion construit de manière à ne pouvoir être détecté que très difficilement par les radars. (Cf. Larousse, http://www.larousse.fr/dictionnaires/francais/furtif_furtive/35637 consulté le 5 mai 2012).
116 Alex Tûrk, La vie privée en péril, des citoyens sous contrôle, Paris O. Jacob, 2011.
117 Cécile Blanchard, Localisation des passagers par RFID ou bluetooth testée à l’aéroport de Copenhague 4 juin
2008, in ReseauxTelecom.net à http://www.reseaux-telecoms.net/actualites/lire-localisation-des-passagers-par- rfid-ou-bluetooth-testee-a-l-aeroport-de-copenhague-18282.html consulté le 5 mai 2012.
118 Lire sur le sujet Janson Hui, « RFID in Airports – Baggage and Passenger Tracking », 8 juin 2008. URL :
http://www.winmec.ucla.edu/rfid/course/2008s/R‑ID%20in%20Airports.pdf, consulte le 1er décembre 2017. 119 Simone Manon, « La technologie est-elle une activité neutre ? », Philolog Cours de philosophie, 13 mars 2008,
en ligne à http://www.philolog.fr/la-technique-est-elle-une-activite-neutre/, consulté le 25 novembre 2017.
liberté d’aller et venir d’un individu. Mais pour jouir de sa liberté, le citoyen va demander à l’État de lui garantir une sécurité, sécurité contre les agressions extérieures, assurée traditionnellement par les forces armées, et sécurité contre les agressions aux personnes ou aux biens, assurée par les forces de police et de gendarmerie. Ce besoin de sécurité ne doit pas être échangé contre une restriction des libertés, comme le proclamait dès 1775 Benjamin ‑ranklin121.
Depuis le 11 septembre 2001, la lutte contre le terrorisme est devenue une préoccupation des États occidentaux et cette protection contre le terrorisme s’est trouvée assortie de nombreuses limites aux libertés des individus (liberté de circulation vers certains pays assortie d’une déclaration préalable, documents d’identité biométriques, restrictions aux libertés fondamentales avec les interceptions possibles des communications privées, etc.), voire de reniement de l’État de droit122. La sûreté des individus123 n’est plus légalement garantie puisque
si les indices convergent, un individu peut être arrêté, emprisonné ou assigné à résidence avant d’avoir commis une infraction liée au terrorisme s’il existe une forte suspicion de la préparation de cet acte124.
Les techniques numériques, qui permettent des surveillances discrètes indécelables, ou difficilement décelables, permettent des atteintes aux libertés et à la vie privée des individus125.
Le droit et la jurisprudence126 doivent permettre de limiter et d’encadrer ces débordements
facilités par les techniques numériques et la dématérialisation des échanges.
La société numérique présente des opportunités pour le développement de certaines libertés, liberté d’expression et liberté de la presse, liberté d’entreprise et d’établissement, mais elle fournit les moyens de surveillance des personnes physiques et, sous couvert de besoins sécuritaires, elle peut attenter aux libertés individuelles. Mais, sous la pression des techniques