L'établissement d'un tel réseau mondial de communication entraîne par principe le traitement de données personnelles712. Ceux-ci ne sont pas autorisés au coup par coup mais bénéficient d'une
707 Convention internationale des télécommunications d'Atlantic City (1947), Berne, Bureau de l'Union internationale des télécommunications, 1947, article 3:
«1. L'Union a pour objet:
a) de maintenir et d'étendre la coopération internationale pour l'amélioration et l'emploi rationnel des télécommunications de toutes sortes;
b) de favoriser le développement de moyens techniques et leur exploitation la plus efficace, en vue d'augmenter le rendement des services de télécommunication, d’accroître leur emploi et de généraliser, le plus possible, leur utilisation par le public;
e) d'harmoniser les efforts des nations vers ces fins communes. 2. A cet effet et plus particulièrement, I'Union:
a) effectue l'attribution des fréquences du spectre et l'enregistrement des assignations de fréquences, de façon à éviter les brouillages nuisibles entre les stations de radiocommunication des différents pays;
b) favorise la collaboration entre ses Membres et Membres associes en vue de l'établissement de tarifs a des niveaux aussi bas que possible, compatibles avec un service de bonne qualité et une gestion financière saine et indépendante des télécommunications;
c) provoque l'adoption de mesures permettant d'assurer la sécurité de la vie humaine par la coopération des services de télécommunication;
d) procède a des études, élabore des recommandations, recueille et publie des informations concernant les télécommunications, au bénéfice de tous les Membres et Membres associés ».
708 Convention internationale des télécommunications d'Atlantic City (1947), préc., article 1er de l'Annexe 5 intitulée
« Accord entre l'Organisation des Nations-Unies et l'Union internationale des télécommunications »: « Les Nations Unies reconnaissent I'Union internationale des télécommunications, appelée ci-après l' « Union », comme l'institution spécialisée chargée de prendre toutes les mesures appropriées conformes à son Acte constitutif pour atteindre les buts qu'elle s'est fixes dans cet Acte ».
709 Convention internationale des télécommunications de Montreux (1965), Secrétariat de l'Union internationale des télécommunications, Genève.
710 Convention internationale des télécommunications de Malaga-Torremolinos (1973), Secrétariat de l'Union internationale des télécommunications, Genève.
711 DEHOUSSE Franck et ZGAJEWSKI Tania, « De l'U.I.T. À l'O.M.C.: les mutations du droit international des télécommunications », Revue belge de droit international, Bruylant, 1999/1, p. 272.
712 Un tel constat est d'ailleurs opéré par le juge de Strasbourg lui même, dans CEDH, 13 novembre 2007, Muscio c/
Italie, n° 31358/03 : « En l’espèce, le requérant a reçu dans sa boîte électronique des messages au contenu
pornographique, qui ont heurté ses convictions morales. La Cour estime que la réception de communications indésirables ou choquantes peut s’analyser en une ingérence dans la vie privée.
liberté de principe. Cette dernière s'explique par la nécessité pour ces réseaux de traiter de telles données pour leur fonctionnement courant et se traduit par une liberté a priori de circulation de l'information713. Pour ainsi dire, la réglementation du contenu ne doit pas entraver la constitution
du contenant qu'est ce service de transport de l'information. Cela se vérifie par l'exclusion des traitements de données nécessaires à cette infrastructure de communication du champ d'application du droit européen et français des données personnelles. Cette exclusion porte essentiellement sur les traitements permettant indistinctement l'existence et l'optimisation de cette infrastructure. Ces exclusions sont textuelles et jurisprudentielles.
Sur un plan textuel, les instruments relatifs aux données personnelles applicables dans l'ordre interne comportent des exceptions permettant de concilier la protection de ces données avec les exigences d'un fonctionnement minimal du service public international de communications ainsi qu'avec celles de son optimisation.
Les premiers instruments communautaires à l'instar de la directive 95/46 formalisent l'existence de ce lien logique entre l'établissement de réseaux internationaux de communication et l'accroissement mécanique des flux transfrontières de données personnelles714. Cela se traduit par
l'exclusion du champ des traitements de données personnelles d'une part, des exigences d'un service minimal de communication internationale et, d'autre part, de certains traitements de données nécessaires à l'optimisation de ce service. Tel est le cas pour les simples opérations de transit sur le territoire de l'UE715. Tel est le cas pour les procédés permettant une optimisation de la
La Cour observe que la diffusion d’Internet et des systèmes d’échange de courriers électroniques a fait naître des possibilités de communication qui n’existaient pas auparavant. En même temps, une fois connectés au réseau Internet, les utilisateurs de ces systèmes ne jouissent plus d’une protection effective de leur vie privée, s’exposant à la réception de messages, images et informations souvent non sollicités ».
713 Il semble évident que la liberté internationale de communiquer par des moyens immatériels implique par principe le franchissement libre des frontières: RUIZ FABRI Hélène, op. cit., pp. 195-196: « La difficulté vient de ce que, dès lors qu'il y a communication, et le franchissement de la frontière implique la communication, il y a une interdépendance. Se pose alors la question de l'appréhension juridique du mouvement (en tant que prétention à franchir la frontière), avec une alternative: ou la frontière implique une interruption systématique de toute mouvement qui prétend la franchir, ou on admet une unité du mouvement et sa régulation ne peut alors être déterminée en seule référence à la territorialité. Or, on sent bien que l'interruption du mouvement à la frontière est un non-sens pour les communications immatérielles. Dans leur cas et quelle que soit leur substance, le franchissement de la frontière ne peut être déterminé que de façon conventionnelle et il s'agira de déterminer la compétence de l'État dans le monde virtuel ». Dans cette optique, un contrôle préalable des opérations menées sur internet paraît contraire à son objet premier : voir également DE BELLESCIZE Diane, FRANCESCHINI Laurence, Droit de la communication, 2ème édition, PUF, 2011, p. 3.
714 Directive 95/46, préc., préambule, considérant n°6: « considérant, en outre, que le renforcement de la coopération scientifique et technique ainsi que la mise en place coordonnée de nouveaux réseaux de télécommunications dans la Communauté nécessitent et facilitent la circulation transfrontalière de données à caractère personnel »; Directive 2002/58/CE du Parlement européen et du Conseil du 12 juillet 2002 concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques (directive vie privée et communications électroniques), préc., Préambule, considérant n° 6: « L'Internet bouleverse les structures commerciales traditionnelles en offrant une infrastructure mondiale commune pour la fourniture de toute une série de services de communication électronique. Les services de communications électroniques accessibles au public sur l'Internet ouvrent de nouvelles possibilités aux utilisateurs, mais présentent aussi de nouveaux dangers pour leurs données à caractère personnel et leur vie privée ».
715 Directive 95/46, préc., article 4, 1: « Chaque État membre applique les dispositions nationales qu'il arrête en vertu de la présente directive aux traitements de données à caractère personnel lorsque: (…) ; c) le responsable du traitement n'est pas établi sur le territoire de la Communauté et recourt, à des fins de traitement de données à caractère personnel, à des moyens, automatisés ou non, situés sur le territoire dudit État membre, sauf si ces
navigation sur internet comme la mise en mémoire cachée ou les cookies. Ce constat concerne aussi bien les conditions générales de l'organisation technique de la communication qui impliquent la mise en mémoire transitoire d'informations personnelles716 que des applications spéciales. Ces
dernières ne conditionnent pas la transmission même de l'information mais l'optimisent considérablement. Tel est le cas des cookies, qui permettent d'accélérer le chargement des pages internet en déposant sur l'ordinateur de la personne qui navigue sur internet l'équivalent dématérialisé d'un ponton pour permettre un accostement rapide du site sur l'ordinateur en question. Tel est également le cas pour les procédés non directement reliés à Internet mais reposant sur la technologie numérique et l'échange de données comme la géolocalisation717. Dans
un cas comme dans l'autre, le traitement des données personnelles de l'utilisateur du service qu'est internet ou d'un abonnement de téléphonie mobile implique techniquement et par principe qu'il y ait traitement de données personnelles718, que ce traitement soit consenti719 ou non.
Formalisant cette exigence qui n'était qu'implicite avant les NTIC, l'article 4 de la loi relative à l'informatique, aux fichiers et aux libertés dispose dans sa version contemporaine que : « Les dispositions de la présente loi ne sont pas applicables aux copies temporaires qui sont faites dans le cadre des activités techniques de transmission et de fourniture d’accès à un réseau numérique, en vue du stockage automatique, intermédiaire et transitoire des données et à seule fin de permettre à d’autres destinataires du service le meilleur accès possible aux informations transmises »720. Il en va de même pour les dispositions relatives à l'obligation pour tout auteur d'un
716 Directive 2002/58/CE, préc., considérant n° 22: « L'interdiction du stockage des communications et des données relatives au trafic y afférentes par des personnes autres que les utilisateurs ou sans le consentement de ceux-ci ne vise pas à interdire tout stockage automatique, intermédiaire et transitoire de ces informations si ce stockage a lieu dans le seul but d'effectuer la transmission dans le réseau de communications électroniques, pour autant que les informations ne soient pas stockées pour une durée plus longue que le temps nécessaire à la transmission et à la gestion du trafic et qu'au cours de la période de stockage la confidentialité des informations reste garantie. Dans la mesure où l'exige la transmission plus efficace d'informations accessibles au public à d'autres destinataires du service à leur demande, la présente directive ne fait pas obstacle à ce que ces informations soient stockées plus longtemps, à condition qu'elles soient accessibles au public en tout état de cause et sans aucune restriction et que toute donnée concernant les abonnés ou utilisateurs individuels qui les demandent soit effacée ».
717 POULLET Yves, DINANT Jean-Marc et DE TERWANGNE Cécile, L’autodétermination informationnelle à l’ère de
l’Internet, Rapport sur l’application des principes de protection des données aux réseaux mondiaux de
télécommunications, Conseil de l’Europe, 2004.
718 Directive 95/46, préc., préambule, considérant n°28 pour la navigation internet: « L'obligation d'effacer ou de rendre anonymes les données relatives au trafic lorsqu'elles ne sont plus nécessaires aux fins de la transmission d'une communication n'est pas contradictoire avec les procédures utilisées sur l'Internet, telles que celle de la mise en antémémoire (caching), dans le système des noms de domaines, pour les adresses IP ou pour les liens entre une adresse IP et une adresse physique, ou l'utilisation d'informations relatives à la connexion pour contrôler le droit d'accès à des réseaux ou à des services » et considérant n° 35 pour la géolocalisation des équipements de téléphonie mobile: « Dans les réseaux de communications mobiles, des données de localisation indiquant la position géographique de l'équipement terminal de l'utilisateur mobile sont traitées afin de permettre la transmission des communications. Ces données sont des données relatives au trafic couvertes par l'article 6 de la présente directive. Toutefois, les réseaux numériques mobiles peuvent aussi avoir la capacité de traiter des données de localisation qui sont plus précises que ne l'exige la transmission des communications et qui sont utilisées pour la fourniture de services à valeur ajoutée tels que des services personnalisés d'information sur la circulation et de guidage des conducteurs. Le traitement de ces données en vue de la fourniture de services à valeur ajoutée ne devrait être autorisé que lorsque les abonnés ont donné leur consentement. Même dans ce cas, les abonnés devraient disposer d'un moyen simple pour interdire temporairement le traitement des données de localisation et ce, gratuitement ».
719 C'est le cas pour les cookies, qui doivent désormais recueillir le consentement de la personne fichée avant d'être enregistrés sur le disque dur de l'internaute (Ordonnance du 24 août 2011, venant compléter l'article 32 de la loi n° 78-17 du 6 janvier 1978).
traitement de données personnelles d'informer la personne dont les données sont traitées des modalités du traitement. Dans ce cas, la nécessité du traitement de données opéré soit dans une « finalité exclusive de permettre ou de faciliter la communication par voie électronique », soit lorsque ce traitement « est strictement nécessaire à la fourniture d'un service de communication en ligne à la demande expresse de l'utilisateur », permet de se dispenser totalement de cette obligation d'information721.
Il résulte de ce qui précède que dans le droit posé, les opérations techniques nécessaires au bon fonctionnement d'internet bénéficient d'un régime général d'immunité à l'égard des dispositions concernant la protection des données personnelles. La question de l'efficacité technique du réseau implique alors une liberté de principe de traitement dans le cadre étroit de cette seule finalité.
Sur un plan jurisprudentiel, cette exception à l'application du droit des données personnelles pour permettre le fonctionnement sans entraves du service public aussi bien international qu'interne des communications électroniques s'est trouvée confirmée dans l'arrêt Bodil
Lindqvist722. L'intérêt majeur de cet arrêt de la CJCE est de révéler le choix opéré par le juge
communautaire de ne pas faire du droit communautaire des données personnelles un obstacle de principe au développement de l'internet.
En effet, la norme applicable au litige, la directive 95/46 du 24 octobre 1995, comporte un article 25 imposant aux États membres d'interdire tout transfert de données personnelles vers un État tiers dans lequel le niveau de protection des données personnelles ne serait pas considéré comme adéquat par rapport au standard européen723. La rigueur de ce principe est atténuée par
une série d'exceptions assez larges énumérées de manière limitative à l'article 26 de la même directive. Pour autant, ces exceptions ne permettent pas en soi de justifier des limitations au droit des données personnelles dans le but d'un fonctionnement harmonieux du réseau internet. Or, l'opération consistant à mettre en ligne à partir d'un État membre de l'UE des données personnelles sur un site internet aboutit mécaniquement à ce que ces données soient rendues accessibles à partir de n'importe quel point du réseau. Dans ces conditions, la question se pose
précitée, qui énonce que « L'interdiction du stockage des communications et des données relatives au trafic y afférentes par des personnes autres que les utilisateurs ou sans le consentement de ceux-ci ne vise pas à interdire tout stockage automatique, intermédiaire et transitoire de ces informations si ce stockage a lieu dans le seul but d'effectuer la transmission dans le réseau de communications électroniques, pour autant que les informations ne soient pas stockées pour une durée plus longue que le temps nécessaire à la transmission et à la gestion du trafic et qu'au cours de la période de stockage la confidentialité des informations reste garantie. Dans la mesure où l'exige la transmission plus efficace d'informations accessibles au public à d'autres destinataires du service à leur demande, la présente directive ne fait pas obstacle à ce que ces informations soient stockées plus longtemps, à condition qu'elles soient accessibles au public en tout état de cause et sans aucune restriction et que toute donnée concernant les abonnés ou utilisateurs individuels qui les demandent soit effacée ». De manière générale, les dispositions de cette directive visent à exclure en tout ou partie du régime applicable aux traitements de données personnelles les considérations techniques destinées à favoriser le service de communication au public. Ainsi, le 25ème considérant admet la légitimité a priori des témoins de connexion (plus
familièrement connus sous le terme de cookies) au double motif, d'abord économique, que ce dispositif permet de rendre effective des opérations de publicité (donc in fine la réalisation de la liberté d'expression, comme établi supra) et ensuite technique, en ce que ces témoins permettent d'améliorer l'accès du public à internet. 721 Loi 6 août 2004, préc., article 32, II.
722 CJCE, 6 novembre 2003, Bodil Lindqvist, aff. C-101/01, Rec., 2003, p. I-12971.
723 L'article 25,1 de la directive 95/46, qui figure au chapitre IV intitulé «Transfert de données à caractère personnel vers des pays tiers», est libellé comme suit: « Les États membres prévoient que le transfert vers un pays tiers de données à caractère personnel faisant l'objet d'un traitement, ou destinées à faire l'objet d'un traitement après leur transfert, ne peut avoir lieu que si, sous réserve du respect des dispositions nationales prises en application des autres dispositions de la présente directive, le pays tiers en question assure un niveau de protection adéquat ».
légitimement de savoir si une telle opération, qui emporte matériellement les mêmes effets qu'un transfert de données personnelles à destination potentielle de l'ensemble des États à partir desquels le réseau internet est accessible, constitue un transfert de données personnelles vers un pays tiers. Si tel était le cas, cela reviendrait à imposer aux autorités de contrôle des États membres d'examiner la légalité de l'intégralité des opérations de mise en ligne d'informations personnelles, en imposant à toute personne physique ou morale se livrant à une telle opération des formalités administratives allant de la déclaration à la procédure d'autorisation préalable. Une telle tâche paraît impossible à accomplir dans un contexte de libre-circulation de l'information, en ce qu'elle équivaudrait à soumettre tout créateur de contenu en ligne, même à titre occasionnel comme un blogueur ou un contributeur occasionnel sur un forum, aux formalités préalables d'un régime de police administrative spéciale (voir infra, deuxième partie, titre 2). Dans ces conditions, le fait de considérer l'inscription sur un site de données personnelles comme un transfert de données personnelles vers un pays tiers aurait logiquement conduit au cloisonnement territorial du réseau internet.
Dans cette affaire, la Cour commence par qualifier les comportements litigieux de Mme Lindqvist, consistant en l'inscription sur un site internet de données personnelles relatives à des collègues de travail724. Afin de déterminer si l'opération litigieuse constitue ou pas un transfert de
données personnelles, la Cour raisonne en deux temps.
En premier lieu, elle clarifie d'un point de vue technique la chaîne d'opérations impliquées par la mise en ligne de données sur un site internet. L'opération consistant pour un utilisateur d'internet à mettre en ligne des données se traduit d'un point de vue technique par la transmission par l'utilisateur de ces données vers son fournisseur de service d'hébergement. Ce dernier « gère l'infrastructure informatique nécessaire pour assurer le stockage de ces données et la connexion du serveur qui héberge le site Internet. Cela permet la transmission ultérieure de ces données à toute personne qui s'est connectée à Internet et demande à les obtenir. Les ordinateurs qui constituent cette infrastructure informatique peuvent être situés, et même sont souvent situés, dans un ou plusieurs pays autres que celui du lieu d'établissement du fournisseur de services d'hébergement, sans que la clientèle de celui-ci en ait ou puisse raisonnablement en prendre connaissance »725. De cette nature technique, le juge communautaire déduit que, d'un point de
vue purement factuel, une opération de mise en ligne de données sur un site internet n’entraîne pas ipso facto communication de ces données à des tiers établis dans des États extérieurs à l'UE. En effet, une personne établie dans un pays tiers devra réaliser des opérations volontaires pour accéder à ces données. Dans ces circonstances, « les données à caractère personnel qui arrivent sur l'ordinateur d'une personne située dans un pays tiers, en provenance d'une personne qui les a chargées sur un site Internet, n'ont pas été transférées directement entre ces deux personnes mais au travers de l'infrastructure informatique du fournisseur de services d'hébergement où la page est stockée »726.
En second lieu, dans la mesure où la directive 95/46 ne détermine pas le contenu de la notion