HAL Id: tel-00798112
https://tel.archives-ouvertes.fr/tel-00798112
Submitted on 8 Mar 2013
HAL is a multi-disciplinary open access archive for the deposit and dissemination of sci- entific research documents, whether they are pub- lished or not. The documents may come from teaching and research institutions in France or abroad, or from public or private research centers.
L’archive ouverte pluridisciplinaire HAL, est destinée au dépôt et à la diffusion de documents scientifiques de niveau recherche, publiés ou non, émanant des établissements d’enseignement et de recherche français ou étrangers, des laboratoires publics ou privés.
domaine de la recherche scientifique.
Ibrahim Coulibaly
To cite this version:
Ibrahim Coulibaly. La protection des données à caractère personnel dans le domaine de la recherche scientifique.. Droit. Université de Grenoble, 2011. Français. �NNT : 2011GREND009�. �tel-00798112�
THÈSE
Pour obtenir le grade de
DOCTEUR DE L’UNIVERSITÉ DE GRENOBLE
Spécialité : DROIT PRIVE
Présentée par
Ibrahim COULIBALY
Thèse dirigée par M. le professeur Etienne Vergès et codirigée par Mme Isabelle de Lamberterie
préparée au sein du Laboratoire : Centre de Recherches Juridiques (CRJ)
dans l'École Doctorale : Sciences Juridiques (460)
La protection des données à caractère personnel dans le
domaine de la recherche scientifique
Thèse soutenue publiquement le 25 novembre 2011, devant le jury composé de :
M. Jean-René BINET
Professeur à l’Université de Franche-Comté (Rapporteur)
Mme Isabelle de LAMBERTERIE
Directrice émérite de Recherches au CNRS, Paris (Membre)
Mme Frédérique LESAULNIER
Membre de la Direction des Affaires Juridiques de la CNIL (Membre)
Mme Nathalie MALLET-POUJOL
Directrice de Recherches au CNRS, Université de Montpellier I (Rapporteur-Présidente du jury)
M. Etienne VERGES
Professeur à l’Université de Grenoble (Membre)
Si une thèse porte le nom d’une seule personne, elle n’est jamais le travail de cette seule personne. Une thèse est avant tout le fruit d’une étroite collaboration entre le doctorant et son ou ses directeurs. Je voudrais donc remercier ici, en tout premier lieu, mes deux directeurs de thèse. Merci à tous les deux d’avoir accepté de diriger cette thèse mais aussi et surtout de l’avoir conduit jusqu’à sa fin. Merci pour votre patience et votre encadrement sans faille.
Au-delà des directeurs, l’élaboration d’une thèse est aussi l’occasion de nombreuses rencontres et échanges. Une partie de mes recherches a été effectuée au Mali et au Burkina Faso. Au Mali, je présente mes sincères remerciements à M. Touré Aboudramane (enseignant à la faculté de droit) qui m’a encadré durant mon séjour. Je remercie également la famille Coulibaly Fama qui m’a ouvert ses portes. Je pense particulièrement à M. Abdoulaye Papa Doumbia qui m’a accompagné dans tous mes déplacements.
Au Burkina Faso, je remercie Mme Ouattara Alimata-Dah (Présidente de la Commission de l’Informatique et des libertés). Je témoigne également ma reconnaissance à la famille Sawadogo (Arnaud et Telma) pour l’accueil et l’hébergement.
Ces deux séjours de recherche ont été possibles grâce à une aide financière de la Région Rhône-Alpes (Bourse d’incitation à la mobilité internationale). Merci pour cette aide. Je remercie tout particulièrement Mme Monique Galigné.
Je remercie les membres du CCTIRS et surtout la secrétaire principale, Mme Michèle Guillemot.
J’aimerais remercier aussi toute ma famille et mes amis qui m’ont soutenu durant toutes ces
années de thèse. La liste serait longue. En pensant à vous tous, je me limiterai à ma sœur aînée
(Maïmouna Coulibaly), à Assamoi Séraphin Désiré, Gbon Vamara Gbon Coulibaly, Nicolas
Chamot, Julie Courtois, Cyril Constantinoff, Anel Emilie, Daoud Senni, Boughlita Chams-
Eddine, M. et Mme Masson-Villot, Olivier Gallardo et Eugenia, etc. et beaucoup d’autres
encore.
« L’Université de Grenoble n’entend donner aucune approbation ni improbation aux
opinions émises dans cette thèse. Celles-ci doivent être considérées comme propres à leur
auteur ».
Sommaire
SOMMAIRE ... 1
SIGLES ET ABREVIATIONS ... 3
INTRODUCTION ... 8
PARTIE I : L’ENCADREMENT A PRIORI DE LA COLLECTE DES DONNEES A CARACTERE PERSONNEL... 112
TITRE I:LA GARANTIE PREALABLE DE LA QUALITE SCIENTIFIQUE DES PROJETS DE TRAITEMENT DE DONNEES A CARACTERE PERSONNEL A DES FINS DE RECHERCHE SCIENTIFIQUE ... 113
Chapitre 1 : Le contrôle, limité à la finalité légitime du traitement, exercé par les autorités de protection des données personnelles ... 119
Chapitre 2 : La nécessité du contrôle, par les pairs, de la qualité scientifique des projets de traitement de données à des fins de recherche scientifique ... 153
Conclusion du titre 1 ... 327
TITRE II:LE RESPECT DES REGLES RELATIVES A LA DISPONIBILITE JURIDIQUE DES DONNEES A TRAITER ... 329
Chapitre 1 : Les conditions de disponibilité juridique relatives aux données à collecter ou à transmettre ... 339
Chapitre 2 : Le consentement à la collecte et au traitement des données ... 461
Conclusion du titre 2 ... 603
Conclusion de la première partie ... 605
PARTIE II : LE SUIVI ET LE CONTROLE A POSTERIORI DE LA MISE EN ŒUVRE DU TRAITEMENT ... 613
TITREI :LE SUIVI A POSTERIORI DE LA MISE EN ŒUVRE TRAITEMENT ... 615
Chapitre 1 : La compatibilité de la finalité des réutilisations de données avec la finalité légitime initiale de la collecte ... 617
Chapitre 2 : La communication des données à caractère personnel ... 630
Chapitre 3 : La sécurité du traitement et des données : une exigence fondamentale ... 644
Chapitre 4 : La présentation et l’utilisation du résultat du traitement des données ... 672
Chapitre 5 : Les conditions de conservation des données ... 696
Conclusion du titre 1 ... 715
TITREII :LE CONTROLE A POSTERIORI DE LA MISE EN ŒUVRE DU TRAITEMENT ... 716
Chapitre 1 : Le contrôle a posteriori opéré par la personne concernée par les données ... 718
Chapitre 2 : Le contrôle a posteriori opéré par la CNIL ... 912
Chapitre 3 : Le contrôle juridictionnel : l’application dans le domaine de la recherche scientifique du dispositif pénal de la loi Informatique et libertés ... 936
Chapitre 4 : L’autorégulation : mode pertinent de sanction des comportements fautifs des chercheurs ? ... 965
Conclusion du titre 2 ... 989
Conclusion de la partie 2 ... 991
CONCLUSION GENERALE ... 992
BIBLIOGRAPHIE ... 1001
INDEX ALPHABETIQUE ... 1060
ANNEXES ... 1070
TABLE DES MATIERES ... 1106
Sigles et abréviations
ADELF : Association des épidémiologistes de langue française AFS : Association française de sociologie
AIS : Association des Administrateurs de l’INSEE AJDA : Actualité juridique – Droit administratif AJP : Actualité juridique – Droit pénal
al. : Alinéa
ALD : Actualité législative Dalloz
AMM : Autorisation de mise sur le marché
ANRS : Agence nationale de la recherche sur le SIDA art. : Article
ASTEC : Association des Statisticiens Economistes anciens élèves de l’ENSAE ATU : Autorisation temporaire d’utilisation
Bull. civ. : Bulletin de la Cour de cassation (chambres civiles) Bull. crim. : Bulletin de la Cour de cassation (chambres criminelles) CA : Cour d’appel
CADA : Commission d’accès aux documents administratifs Cass. civ. : Chambre civile de la Cour de cassation
Cass. soc. : Chambre sociale de la Cour de cassation CCC : Contrat, concurrence, consommation
CCDSHS : Comité consultatif pour les données en sciences humaines et sociales
CCE : Communication, commerce électronique
CCNE : Comité consultatif national d’éthique
CCTIRS : Comité consultatif sur le traitement de l’information en matière de recherche dans le domaine de la santé
CE : Conseil d’Etat
CEDH : Cour européenne des droits de l’homme CEPH : Centre d’Etude sur le Polymorphisme Humain
CEREQ : Centre d’études et de recherches sur les qualifications CERS : Comité d’éthique pour la recherche en santé (Burkina Faso) chr. : Chronique
CIB : Comité international de bioéthique (UNESCO)
CIDSP : Centre d’informatisation des données socio-politiques CIL : Commission de l’informatique et des libertés (Burkina Faso) CJCE : Cour de justice des communautés européennes
CNIL : Commission nationale de l’informatique et des libertés CNIS : Conseil national de l’information statistique
CNR : Comité national des registres
CNRS : Centre national de la recherche scientifique concl. : Conclusions
coord. : Coordonné par
CPI : Code de la propriété intellectuelle CPP : Comité de protection des personnes
CREDES : Centre de recherche d’étude et de documentation en économie de santé
CREDOC : Centre de recherche pour l’étude et l’observation des conditions de vie
CSP : Code de la santé publique D. : Dalloz
DARES : Direction de l’Animation de la Recherche et des Etudes statistiques DGS : Direction générale de la santé
dir. : Sous la direction de
DMP : Dossier médicale personnel doct. : Doctrine
DP : Dossier pharmaceutique
Dr. pén. : Droit pénal
DREES : Direction de la recherche, des études, de l’évaluation et des statistiques éd. : édition(s)
ESOMAR : European society for opinion and marketing research et alii (ou et al.): et autres
et s. : et suivantes
EUROSTAT : Office statistique des communautés européennes Gaz. Pal. : Gazette du Palais
HUGO : Human genome organization
idem : renvoie à l’article ou à l’ouvrage cité dans la note précédente IIS : Institut international de statistique
In : Dans
INED : Institut national des études démographiques infra : ci-après
INRETS : Institut national de la recherche sur les transports et leur sécurité INRSP : Institut national de la recherche en santé publique (Mali)
INSEE : Institut national de la statistique et des études économiques INSERM : Institut national de la santé et de la recherche médicale INVS : Institut national de veille sanitaire
IP : Internet protocol
IRD : Institut de recherche pour le développement
IRDES : Institut de recherche et de documentation en économie de la santé J-Cl. Communication : Jurisclasseur communication
J-Cl. Pénal : Jurisclasseur pénal
JCP E : La semaine juridique édition entreprise JCP G : La semaine juridique édition générale Jur. : Jurisprudence
LPA : Les petites affiches n° : numéro(s)
NIR : Numéro d’inscription au répertoire
NTIC : Nouvelles techniques de l’information et de la communication obs. : Observations
OCDE : Organisation de coopération et de développement économiques
OMS (WHO) : Organisation mondiale de la santé
ONU : Organisation des nations unies
OPESCT : Office parlementaire d’évaluation des choix scientifiques et technologiques
p. : page
PMSI : Programme de médicalisation des systèmes d’information pp. : pages
RDC : Revue des contrats RDP : Revue du droit public
RDSS : Revue de droit sanitaire et social Rev. Adm. : Revue administrative
Rev. sc. crim. : Revue de science criminelle RFAP : Revue française d’administration publique RFDA : Revue française de droit administratif RFDC : Revue française de droit constitutionnel RFID : Radiofrequency identification
RGDM : Revue générale de droit médical RGP : Recensement général de la population RIDC : Revue internationale de droit comparé RLDI : Revue Lamy droit de l’immatériel
RNIAM : Répertoire national interrégimes des bénéficiaires de l’assurance maladie
RNIPP : Répertoire national d’identification des personnes physiques RRJ : Revue de recherches juridiques – Droit prospectif
RSA : Résumé de sortie anonyme
RTD. civ. : Revue trimestrielle de droit civil
RTD com. : Revue trimestrielle de droit commercial RTDH : Revue trimestrielle des droits de l’homme
SCSSI : Service central de la sécurité des systèmes d’information
SNIIRAM : Système national d’information interrégimes de l’assurance maladie Somm. : Sommaires commentés
SPF : Société française de psychologie SSM : Services statistiques ministériels supra : ci-dessus
T. corr. : Tribunal correctionnel
TGI : Tribunal de grande instance
UEMOA : Unité économique et monétaire Ouest-africiane UMS : Unité des méthodes statistiques
UNESCO : Organisation des Nations Unies pour l’éducation, la science et la culture
vol. : Volume
Introduction
« La recherche en sciences humaines a besoin de données personnelles. Et, les personnes sur qui portent ces données ont droit au respect de leur intimité et de leurs intérêts.
Comment concilier ces deux exigences ? Comment établir les règles nécessaires ? »1.
C’est sous cette forme là plus qu’une autre, nous semble t-il, et dans cette énonciation là plus que toute autre, que se trouve déterminée dans ses inconnues les plus simples mais les plus pertinentes aussi, la complexe équation posée par le traitement des données à caractère personnel dans le domaine de la recherche scientifique. Il y a lieu d’utiliser le terme
« inconnue » au pluriel car ces inconnues sont nombreuses. S’agissant de l’utilisation des données personnelles ou non, la recherche scientifique ou la finalité de recherche scientifique est une finalité galvaudée
2dont le sens semble échapper au juriste. Mais qu’est-ce que la recherche scientifique ? Dans la même veine, la question peut être posée de savoir qu’est-ce qu’une donnée à caractère personnel ? Quel est le sens de cette expression souvent employée de façon concurrente avec les expressions donnée nominative, donnée à caractère personnel, renseignement personnel (I) ? A partir de la nécessaire définition de ces notions, se pose encore la question de savoir en quoi la recherche a-t-elle besoin des ces données personnelles ? Si ce besoin peut être légitime, les personnes peuvent-elles raisonnablement craindre des risques à l’égard de l’usage scientifique de leurs données personnelles ? Quels
1 Intergroupe Recherche et Statistique, Recherche, Informatique et libertés, Actes du forum du 8 novembre 1999, présentation des actes du forum, p. 1, http://www.cmh.ens.fr/greco/forum/forum.pdf
2 Sur ce fait, D. Thouvenin, Les banques de tissus et d’organes : les mots pour les dire, les règles pour les organiser, LPA 18 février 2005, n° 35, p. 31 ; D. Thouvenin, La loi relative à la bioéthique ou comment accroître l’accès aux éléments biologiques d’origine humaine, I - La légitimité des activités médicales bioéthiques, D.
2005, doct. p. 119
sont ces risques (II) ? Si ces risques sont avérés, comment concilier, alors, les besoins de la recherche scientifique avec la protection des personnes (III) ?
I – De la recherche scientifique et des données personnelles
Nous commencerons par définir la notion juridique de donnée personnelle (A) dans la mesure où c’est cette définition qui permettra de mieux comprendre le sens de l’utilisation qui peut être faite de ces données à des fins de recherche scientifique (B).
A – Des données personnelles
Donnée nominative/donnée personnelle/donnée à caractère personnel. Suivant les
textes relatifs à protection des personnes à l’égard de l’utilisation des informations les concernant, il est généralement fait référence aux expressions de « donnée nominative »,
« donnée personnelle » ou de « donnée à caractère personnel »
3. En France, la loi pionnière du 6 janvier 1978
4se référait, ainsi, initialement aux données nominatives
5. D’autres textes internationaux adoptaient, cependant, l’expression de donnée à caractère personnel. C’est le cas de la Convention du Conseil de l’Europe pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel
6. Si les deux expressions de « donnée nominative » et de « donnée à caractère personnel » ont pu coexister
7dans la loi française, c’est à sa modification en 2004
8, pour transposer une directive communautaire
9, que
3 L’expression « donnée personnelle » est utilisée de façon elliptique pour désigner les « données à caractère personnel ».
4 Loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés. Celle loi est souvent appelée loi « Informatique et libertés ». Nous utiliserons donc souvent cette appellation.
5 Voir notamment l’ancien article 4 de la loi
6 Conseil de l’Europe, Convention pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel, 28 janvier 1981. Cette Convention est souvent dite « Convention 108 ». Voir également, ONU (Organisation des nations unies), Principes directeurs pour la réglementation des fichiers informatisés contenant des données à caractère personnel, 14 décembre 1990 ; OCDE (Organisation de coopération et de développement économique), Recommandation concernant les lignes directrices régissant la protection de la vie privée et les flux de données à caractère personnel, 23 septembre 1980
7 Alors que le texte initial de la loi se référait aux données nominatives, il sera fait référence aux données personnelles lors de l’adjonction, en 1999, d’un Chapitre V ter relatif au « Traitement des données personnelles de santé à des fins d’évaluation ou d’analyse des activités de soins et de prévention ». (Loi n° 99-641 du 27 juillet 1999 portant création de la couverture maladie universelle).
8 Loi n° 2004-801 du 6 août 2004 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel modifiant la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers
l’expression de « donnée à caractère personnel » sera généralisée. En effet, la loi Informatique et libertés modifiée se réfère désormais aux données à caractère personnel. Quels sont le sens et la portée du passage de l’expression de donnée nominative à celle de donnée à caractère personnel ?
Des données nominatives aux données à caractère personnel. La comparaison des
définitions des expressions de « donnée nominative » et de « données à caractère personnel » permet assez rapidement d’établir un rapport d’identité
10entre elles. En effet, si l’ancien article 4 de la loi Informatique et libertés considérait comme « nominatives… les informations qui permettent, sous quelque forme que ce soit, directement ou non, l’identification des personnes physiques auxquelles elles s’appliquent », le nouvel article 2 définit les données à caractère personnel comme « toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, par référence à un numéro d’identification ou à un ou plusieurs éléments qui lui sont propres ». L’objet de la protection visée par ces deux articles est donc bien l’information relative à des personnes physiques identifiables. Il n’y a pas de différence, au fond, quant au contenu de ces deux expressions qui désignent toutes les deux, des informations permettant directement ou indirectement d’identifier les personnes physiques auxquelles elles se rapportent. Si l’expression « donnée nominative » avait l’inconvénient de se focaliser sur le nom en réduisant
11par là-même les moyens d’identification des personnes
12, l’expression « données à caractère personnel » est
et aux libertés. C’est à cette loi modifiée que nous référerons par la suite à travers l’expression « loi Informatique et libertés modifiée ». Pour une présentation générale de la loi, Voir, Le Forum des droits sur l’Internet, Loi
‘informatique et libertés’. Un nouveau cadre juridique pour le traitement des données à caractère personnel, 18 octobre 2004, http://www.foruminternet.org/
9 Parlement européen et Conseil de l’Union européenne, Directive 95/46/CE relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, 24 octobre 1995. C’est à cette directive que nous référerons par la suite dès lors qu’aucune précision n’est donnée sur le titre de la directive européenne.
10 Voir notamment en ce sens, I. de Lamberterie, H.-J. Lucas (dir.), Informatique, libertés et recherche médicale, Edition CNRS, 2001, p. 69, n° 163 ; P.-Y. Marot, Les données et informations à caractère personnel. Essai sur la notion et ses fonctions, Thèse de droit, sous la direction de M. Fabre-Magnan, J. Danet, Université de Nantes, 14 décembre 2007, p. 71
11 Si l’expression « donnée nominative » pouvait formellement être réductrice de l’utilisation de l’information personnelle, il faut observer que la CNIL (Commission nationale de l’informatique et des libertés) a toujours interprété cette expression au sens où elle est entendue aujourd’hui. Elle a fait prévaloir cette expression autant s’agissant des informations permettant directement l’identification des personnes que celles le permettant indirectement. En ce sens, F. Mollo, Les notions de données directement nominatives et indirectement nominatives, in Les sciences sociales et leurs données, Rapport au Ministre de l’Education Nationale, R.
Silberman, juin 1999, Annexes juridiques, p. 181 http://education.gouv.fr/rapport/silberman/table.htm
12 A. Lucas, J. Devèze, J. Frayssinet, Droit de l’informatique et de l’Internet, PUF, 2001, p. 77, n° 111
plus neutre et a l’avantage d’indiquer que sont concernées toutes les informations relatives aux personnes physiques et non exclusivement celles comportant le nom. Cette notion est donc plus conforme à la réalité en matière d’identification des personnes
13. Cette clarification étant faite, que recouvre la notion juridique de donnée à caractère personnel ?
Notion de donnée à caractère personnel. Selon le Groupe de l’article 2914
sur la protection des données personnelles, le concept de données à caractère personnel est fondé sur quatre éléments principaux à savoir : « toute information », « concernant », « personne physique », « identifiée ou identifiable »
15. Ces différents éléments se recoupant, nous en retiendrons trois. Il s’agit de « toute information » (1), qui parce que permettant l’identification (3) d’une personne physique fait d’elle la personne concernée (2) par cette information.
1) « Toute information » concernant une personne physique
En se référant à toute information, il s’agissait pour les auteurs de la directive d’avoir une approche globale et large de la notion de donnée à caractère personnel. Ainsi, il n’est pas fait de distinction selon la nature ou la valeur de la donnée selon qu’elle soit banale ou sensible, objective ou subjective, vraie ou erronée. Les informations en cause peuvent autant se rapporter à l’intimité de la personne qu’aux aspects publics de cette dernière comme l’activité professionnelle. Dès lors, « les règles de protection des données à caractère personnel vont au- delà de la protection du concept général du droit au respect de la vie privé et familiale »
16. La notion concerne toutes les informations se rapportant à une personne physique peu important la qualité de cette dernière et peu important le format des données. Il peut s’agir de données numériques, alphabétiques, alphanumériques, graphiques, photographiques ou acoustiques
17.
13 G. Braibant, Données personnelles et société de l’information, Rapport au Premier Ministre sur la transposition en droit français de la directive n° 95/46, La documentation française, 1998, 291 p.
14 Groupe de protection des personnes à l’égard des traitements de données à caractère personnel ou « Groupe de l’article 29 ». Le « Groupe de l’article 29 » a été crée par la directive 95/46/CE du Conseil de l’Europe relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données. Sur le groupe de l’article 29, voir notamment, S. Nerbonne, Le Groupe de l’article 29 est-il en mesure de s’imposer comme le régulateur des régulateurs par ses prises de position ?, in La régulation des données personnelles, LEGICOM, n° 42 – 2009/1, pp. 37-46
15 Groupe de travail « article 29 » sur la protection des données, Avis 4/2007 sur le concept de données à caractère personnel, adopté le 20 juin 2007, p. 6
16 Idem, p. 8
17 CNIL, Voix, image et protection des données personnelles, La documentation française, 1996 ; I. de Lamberterie, H.-J. Lucas (dir.), Informatique, libertés et recherche médicale, précité, p. 69, n° 158 ; N. Mallet-
Même si l’on emploie le singulier, ce qui signifie qu’une seule information suffit, en pratique plusieurs informations sont recueillies sur les personnes ; lesquelles permettent l’identification directe ou indirecte
18.
2) Personne concernée par les données à caractère personnel
Avant de déterminer la catégorie juridique de « personne concernée » par un traitement de données à caractère personnel, une explication du terme « concernant » est nécessaire.
Toute information « concernant » une personne physique. Une information peut être considérée comme « concernant » une personne donnée à travers l’action ou la possibilité de mise en relation de cette information avec la personne considérée. Le terme « concernant » désigne le lien, le rapport plus ou moins direct entre la personne et l’information. Ainsi définie, même si une information se rapporte d’abord à un objet ou un événement, on peut en inférer une information concernant une personne par l’action ou la possibilité de mise en relation qui fera ressortir par exemple une relation d’appartenance (telle maison appartient à telle personne), d’utilisation ou d’influence (telle personne utilise telle machine) ou encore de participation (telle personne a participé à tel événement). Dans le deuxième cas, l’information générée par l’utilisation de la machine mise en relation avec un utilisateur fournit des données à caractère personnel concernant cet utilisateur
19.
Le Groupe de l’article 29 a éprouvé le besoin de cerner le terme « concernant » au regard de trois éléments constitutifs alternatifs de « contenu », de « finalité » ou de « résultat ». Selon le Groupe, « l’élément de ‘contenu’ est présent lorsque des informations ayant trait à une personne particulière sont communiquées, indépendamment de toute finalité de la part du
Poujol, Collecte, utilisation et diffusion des données nominatives à des fins d’enseignement et de recherche, http://hal.archives-ouvertes.fr/docs/00/00/15/72/DOC/Juri7_Mallet_V2.doc, p. 7 ; P. Murat, Le contrôle de l’image de la personne en droit civil, in L’image, Journées de l’Ass. Capitant, Dalloz, 2005, p. 21
18 La référence à « toute information » comme critère de définition de la notion de donnée à caractère personnelle a été critiquée par certains auteurs. En ceci qu’elle ne se limiterait pas aux seules informations permettant l’identification des personnes, cette expression a été considérée comme un dérapage car elle aboutit à élargir à l’extrême le champ d’application de la directive. Or, argue Mme Mallet-Poujol, « certaines données concernant une personne identifiée ne sont pas nécessairement identifiantes et pourraient rester hors du champ de la directive. Il en est ainsi, a fortiori, de données non identifiantes concernant des personnes identifiables ». N.
Mallet-Poujol, La réforme de la loi « Informatique et libertés », RFAP, n° 89, janv.-mars 1999, p. 53
19 Groupe de travail « article 29 » sur la protection des données, Avis 4/2007 sur le concept de données à caractère personnel, précité, pp. 10-13
responsable du traitement
20des données ou du tiers, ou de l’impact de ces informations sur la personne concernée »
21. Quant à l’élément finalité, il serait présent « lorsque les données sont utilisées ou susceptibles d’être utilisées, compte tenu de l’ensemble des circonstances du cas d’espèce, afin d’évaluer, de traiter d’une certaine manière ou d’influencer sur le statut ou le comportement d’une personne physique »
22. Pour sa part, l’élément « résultat » entre en ligne de compte pour considérer une personne comme concernée par une donnée lorsque son
« utilisation est susceptible d’avoir un impact sur certains des droits et intérêts [de cette]
personne, compte tenu de l’ensemble des circonstances du cas d’espèce »
23.
Aussi pédagogique que soit cette explication, elle ne nous semble pas nécessaire. Le critère relatif au contenu est celui qui se rapproche le plus de la définition du terme
« concernant » car visant la caractéristique de l’information en tant qu’elle peut être mise en rapport avec une personne. Ce faisant, elle a une valeur informative sur la personne. Par son contenu, l’information a « trait » à une personne. Toutefois, l’élément relatif au contenu, qui est nécessaire, est susceptible d’être remis en cause car limitée à la communication des données. Même non communiquée, une personne ne demeure pas moins concernée par l’information détenue sur elle par un tiers. Selon nous, le critère relatif à la finalité est critère non nécessaire et surabondant par ailleurs. En effet, les données n’ont pas à être collectées ou utilisées en vue d’une finalité particulière pour que les personnes auxquelles elles se rapportent soient concernées par elles. Du simple fait de leur existence et la possibilité de la
20 Le responsable du traitement est défini à l’article 3 de la loi Informatique et libertés comme la personne, l’autorité publique, le service ou l’organisme qui détermine ses finalités et ses moyens, sauf désignation expresse par les dispositions législatives ou réglementaires relatives à ce traitement. L’élément fondamental d’une telle définition est le pouvoir de décision qui caractérise le responsable du traitement. C’est lui, en effet, qui en détermine la finalité et les moyens. Ce pouvoir de décision doit être autonome comme l’a considéré la CNIL.
Selon la Commission, le responsable se caractérise par « son autonomie dans la mise en place et la gestion d’un traitement » (CNIL, Transferts de données à caractère personnel vers des pays non membres de l’Union européenne, mai 2005, p. 10). En cela, le responsable se distingue du sous-traitant. La détermination du responsable d’un traitement peut être de droit ou de fait. En dehors des hypothèses dans lesquelles un responsable sera désigné par des dispositions législatives ou réglementaires, « en fait », il faudra rechercher la personne physique ou morale qui détermine les moyens et finalité du traitement (A. Bensoussan, Informatique et libertés, Editions Francis Lefebvre, 2008, p. 41, n° 311).
21 Groupe de travail « article 29 » sur la protection des données, Avis 4/2007 sur le concept de données à caractère personnel, précité, p. 11
22 Idem
23 Idem, p. 12
mise en relation entre l’information et la personne, celle-ci est réputée concernée par ces données indépendamment de toute finalité
24.
Par ailleurs, tout traitement de donnée ayant par principe une finalité, point n’est besoin de rechercher une finalité spéciale pour considérer les personnes comme concernées par des données pouvant être rattachées à elles. Le critère relatif au résultat est un critère inopérant car se voulant exclusif du critère relatif au contenu – lequel est indispensable (c’est la valeur informative de la donnée) – et du critère de finalité – lequel est nécessaire. Par ailleurs, la notion d’impact inhérente au critère résultat est susceptible de se manifester au travers du critère contenu. La valeur informative de la donnée constitue déjà un impact sur la personne en l’identifiant par exemple, en informant sur son comportement. Ainsi, la circonstance de l’impact est superflue car cette éventualité est inhérente à la mise en œuvre de tout traitement de données d’une part, et, d’autre part, les données ne cessent pas d’être à caractère personnel en l’absence de prise de décision à l’égard de la personne.
Au final, l’appréhension du terme « concernant » comme signifiant l’action ou la possibilité de la mise en relation d’une information et d’une personne est, selon nous, le critère nécessaire et suffisant. Cela ressort clairement de tous les exemples cités dans l’avis et notamment le dernier concernant l’impact de l’information sur les personnes. Si les informations sur la localisation de taxis par satellite concernent
a priori ces véhicules, ellesdeviennent des données à caractère personnel car permettant de contrôler les performances des chauffeurs de taxi, mais pour ce faire, ne suffit-il déjà et simplement que ces informations soient mises en relation avec ces personnes ? Est-il encore besoin de chercher un quelconque impact de l’utilisation des données ?
Personne concernée par les données25
. Les questions devant être résolues au titre de la détermination de la personne concernée par le traitement des données sont diverses et peuvent s’avérer délicates dans certains cas. Au-delà de l’opposition entre personnes physiques et morales, la détermination de la personne concernée peut à l’occasion être rendue ardue
24 L’exemple cité par le Groupe pour étayer ce critère est celui de l’historique des appels d’un poste fixe implanté dans une entreprise et susceptible d’être utilisé par une pluralité de personnes (employés, personnel de nettoyage, etc.). Selon l’avis, « à des fins diverses, les informations sur l’utilisation de cet appareil peuvent concerner l’entreprise, l’employé ou le personnel de nettoyage ». Mais il faut observer, en l’espèce, que du simple fait de la possibilité de rattacher l’utilisation du poste à une personne donnée, on crée de l’information la concernant sans qu’il soit besoin de rechercher une quelconque finalité à un tel rattachement.
25 Article 2 al 5 de la loi Informatique et libertés modifiée
lorsque que plusieurs personnes sont susceptibles d’être concernées par les mêmes informations. Si ces hypothèses sont assez simples en cas d’homonymie
26par exemple, il en va autrement s’agissant de données génétiques, de données relatives à des personnes décédées.
Personnes physiques/personnes morales. En principe, les personnes concernées par la
protection légale sont les personnes physiques. A contrario, les personnes morales se trouvent exclues
27du champ de cette protection. Toutefois, dans certaines situations, la loi trouvera à s’appliquer s’agissant par exemple des personnes physiques représentants légaux de personnes morales lorsque celles-ci sont nominativement désignées dans un fichier
28.
Personnes vivantes/personnes décédées. Les personnes physiques concernées par la
protection des données à caractère personnel sont, en principe, les personnes vivantes. Cela résulte de deux dispositions de la loi Informatique et libertés modifiée. D’une part, l’article 56 alinéa 3 qui prévoit que « les informations concernant les personnes décédées, y compris celles figurant sur les certificats des causes de décès, peuvent faire l’objet d’un traitement de données, sauf si l’intéressé a, de son vivant exprimé son refus par écrit ». Ce qui signifie notamment qu’une tierce personne ne pourrait s’opposer à sa place au traitement de ses données après sa mort si elle ne s’est, de son vivant, pas prononcée en ce sens. Cela est par ailleurs corroboré par l’article 40 alinéas 6 et 7 qui ne reconnaissent aux héritiers des personnes décédées que le droit de faire mettre à jour le traitement par le responsable en tenant compte de la circonstance du décès.
Cependant, le fait que la protection des données soit limitée aux personnes vivantes, ne signifie pas que des données concernant des personnes décédées peuvent être traitées sans respect des exigences de la loi Informatique et libertés. S’agissant du microfilmage des registres d’état civil de plus de cent ans par les Mormons, la CNIL exigera des garanties sur la finalité et sur l’opération de microfilmage. En 1985, s’agissant de l’avenant à l’accord, elle
26 Sanctionnant le manquement à l’obligation de sécurité, les juges ont admis que toutes les personnes homonymes sont justiciables des dispositions de la loi sur la protection des données lorsque le traitement des données leur cause un préjudice quelconque (refus de crédit par exemple). Cour d’appel de Paris, 15 février 1994, CNIL, 15ème Rapport d’activité 1994, p. 36-37/462 ; Cour de cassation, 19 décembre 1995 confirmant l’arrêt du 15 février, CNIL, 16ème Rapport d’activité 1995, p. 35 et p. 472
27 Voir en ce sens, CE, 3 juillet 2002, reproduit in CNIL, 23ème Rapport d’activité 2002, pp. 397-399
28 Sur les conditions d’applicabilité de la loi aux personnes morales. Voir notamment, CNIL, Délibération n° 84- 28 du 3 juillet 1984. J. Frayssinet, A propos du droit d’accès des personnes morales, D. 21 mai 1992, n° 80, p.
253
considérera que « seules les informations permettant d’établir la généalogie peuvent être enregistrées et que les données relatives à l’origine ethnique, aux causes de décès, aux opinions religieuses et aux professions citées dans les documents ne peuvent être mémorisées
»
29. Nous verrons par la suite que l’utilisation des données relatives à des personnes décédées présente des enjeux justifiant une évolution des textes
30.
Enfants à naître, mineurs, majeurs protégés. La situation du mineur et des majeurs
protégés ne soulève pas de difficultés particulières pour leur reconnaissance comme des personnes concernées lorsque des informations les concernant sont traitées. En application des règles régissant l’incapacité
31, il appartiendra aux représentants légaux d’exercer les droits de ces personnes en leur nom
32. La situation des enfants à naître est plus particulière. Faut-il considérer que les informations les concernant méritent une protection autonome de celle de leurs parents ? La Recommandation du Conseil de l’Europe relative à la protection des données médicales se prononce en ce sens en recommandant que « les données médicales relatives à un enfant à naître devraient être considérées comme des données à caractère personnel et jouir d’une protection comparable à celle des données médicales d’un mineur »
33. Comme s’agissant des personnes décédées, nous verrons qu’une évolution des textes est également possible
34. Il en de même lorsque les données peuvent se rapporter à plusieurs personnes à la fois
35.
Collecte indirecte de données. Par la collecte indirecte des données, sont visées ici les
situations dans lesquelles la personne qui fournit les informations n’est pas elle-même concernée. Par nécessité ou par opportunité, la conduite de certaines enquêtes peut passer par
29 CNIL, Délibération n° 87-44 du 28 avril 1987 de la C.N.I.L. portant un avis favorable sur le projet d'avenant à l'accord du 28 octobre 1960 conclu entre la direction des Archives de France et la Société généalogique de Salt Lake City ; CNIL, 8ème Rapport d’activité 1989, pp. 210-211
30 Infra, p. 793 et s.
31 Voir par exemple, M. Brusorio, Droit civil 1. Personnes, incapacités, famille, 2ème éd., 2010, Orléans : Paradigmes
32 Voir par exemple, l’article 58 de la loi Informatique et libertés s’agissant du traitement des données personnelles des mineurs et majeurs protégés dans le cadre de la recherche dans le domaine de la santé. « Sont destinataires de l'information et exercent les droits prévus aux articles 56 et 57 les titulaires de l'autorité parentale, pour les mineurs, ou le représentant légal, pour les personnes faisant l'objet d'une mesure de tutelle ».
33 Conseil de l’Europe, Recommandation n° R (97) 5 relative à la protection des données médicales, 13 février 1997, article 4. 5
34 Infra, pp. 792-793
35 Infra, p. 796 et s.
des tiers détenteurs d’informations sur d’autres ou à même de répondre à leur place
36. Dans ce cas, la CNIL retient opportunément que « les personnes sur qui des données sont collectées sont des personnes concernées même si l’information n’est pas directement donnée par eux
»
37.
Résultats du traitement des données. Lorsque par le biais d’un sondage, il est recueilli
l’opinion des personnes sondées sur une tierce personne identifiée, cette dernière peut-elle être considérée comme concernée par les résultats du sondage caractérisant l’opinion de la population sur elle ? Peut-elle, ce faisant, se prévaloir d’un droit d’accès aux informations (aux résultats du sondage) comme se rapportant à elle ? Alors que la CNIL avait, en toute logique, répondu par l’affirmative
38, le Conseil d’Etat
39et la Cour de cassation
40se sont prononcés en sens contraire.
Ces deux positions sont critiquables
41à deux niveaux d’analyse : les données brutes recueillies et les résultats du traitement. D’une part, les données brutes recueillies portent sur la personne objet du sondage car son identité est recueillie et indiquée aux personnes sondées pour qu’elles donnent leur opinion sur elle. S’agissant, d’autre part, des résultats, ceux d’un sondage, en l’espèce, dès lors qu’ils demeurent associés à une personne identifiée, ils sont des données à caractère personnel car se rapportant à elles
42. Dans le domaine de la recherche,
36 Sur cette pratique, voir la Déclaration de l’Institut International de la Statistique sur l’éthique professionnelle, 1985, 4. 3. (b)
37 CNIL, 9ème Rapport 1988, p. 180-181
38 CNIL, 14ème Rapport d’activité 1993, pp. 216-217. CNIL, Délibération du 19 juin 1983 portant recommandation sur les traitements mis en œuvre par les instituts de sondage
39 CE, 9 juillet 1997, CNIL, 18ème Rapport 1997, pp. 61 et 389
40 Cass. crim., 12 mai 1998, CNIL, 19ème Rapport, p. 307-308. Selon la Cour de cassation, « les résultats d’un sondage portant sur une personne, qui représentent l’état statistique, à un moment donné, de l’opinion de la population sur celle-ci, ne constituent pas une information nominative au sens de l’article 4 de la loi du 6 janvier 1978 ; qu’il s’en déduit que, dès lors que les résultats ne lui sont pas opposées, cette personne ne saurait bénéficier du droit d’accès et des prérogatives qui en découlent, prévues par les articles 34 et suivants de ladite loi, ni exiger la communication du nom du commanditaire de l’opération ».
41 Voir en ce sens, J. Frayssinet, Les sondages et la distinction entre données personnelles et données personnalisées, Expertises, février 1999, p. 23 ; F. Lesaulnier, L’information nominative, Thèse de droit, sous la direction de P. Catala, Paris II, 4 juillet 2005, p. 38. L’auteur révèle que des considérations d’ordre économique sont à l’origine de ces décisions.
42 Il en est ainsi de la catégorie (segment) dans laquelle un client est classé par une banque en fonction des informations qu’elle détient sur lui (CNIL, 14ème Rapport d’activité 1993, p. 59 et s.). Alors que l’établissement soutenait que le segment qui résultait de traitements statistiques, n’était pas une information nominative dans la mesure où il ne permettait pas l’identification d’un client, le Conseil d’Etat confirmera la position de la CNIL à savoir que « si le segment… ne constitue pas à lui seul une information nominative, … il le devient dès lors qu’il est associé à une personne identifiée ou indirectement identifiable et figure dans un traitement automatisé » (CE,
une telle solution pourra s’avérer être pénalisante si elle est invoquée pour s’opposer au droit des personnes au retour d’informations sur les résultats d’une recherche à laquelle elles ont participé
43. La mise en œuvre de ce droit au retour d’informations suppose que les personnes concernées soient identifiables.
3) Identifiabilité de la personne concernée par les données
L’identification des personnes est l’un des critères énoncés tant par la loi Informatique et libertés que la directive pour le bénéfice de la protection qu’elles mettent en place. Cette identification est au cœur de la législation Informatique et libertés, sa raison d’être
44. Ainsi, les études de fond entreprises sur la notion d’ « information nominative »
45ou celle de « données et informations à caractère personnel »
46se rejoignent-elles pour révéler une unité fonctionnelle de ces notions autour de deux constantes : l’indentification des personnes dans le premier cas, l’identification et la surveillance des personnes dans le second cas. « Le concept de donnée personnelle est [donc] lié à la notion d’identification »
47. Cela est d’autant plus vrai que la loi et la directive prennent le soin de déterminer les circonstances dans lesquelles cette identification est possible et celles dans lesquelles elle ne l’est pas et dans lesquelles leurs dispositions ne s’appliquent pas.
Identifier une personne est un processus permettant ou aboutissant à sa caractérisation, à sa singularisation, à la révélation de son identité, ce qui permet de la distinguer des autres personnes physiques
48. Cette identification des personnes peut se faire par une grande variété de moyens. Si l’on pensera tout de suite au nom, l’identification des personnes est également possible à travers d’autres éléments comme un « numéro d’identification, un ou plusieurs
7 juin 1995, Caisse régionale de Crédit mutuel agricole de Dordogne, Caisse nationale de Crédit agricole, CNIL, 16ème Rapport d’activité 1995, p. 31 et p. 458).
43 Infra, p. 825 et s. (Droit au retour individuel d’informations sur les résultats de la recherche).
44 C’est pour cette raison que la loi initiale se référait aux données nominatives, c’est-à-dire comportant le nom, pour bien mettre en relief cette identification des personnes concernées. Selon l’ancien article 4 de la loi Informatique et libertés, « sont réputées nominatives… les informations qui permettent, sous quelque forme que ce soit, directement ou non, l’identification des personnes physiques auxquelles elles s’appliquent ».
45 F. Lesaulnier, L’information nominative, thèse précitée. L’identification est présentée ici comme un « sésame simple et unique » (p. 43).
46 P.-Y. Marot, Les données et informations à caractère personnel. Essai sur la notion et ses fonctions, thèse précitée
47 C. Guerrier, Les aspects techniques de la régulation des données personnelles : la question du numéro IP, in La régulation des données personnelles, LEGICOM, précité, p. 128
48 Sur l’identification des personnes, voir notamment, J. Pousson-Petit, L’identité de la personne humaine. Etude de droit français et de droit comparé, Bruylant, 2002
éléments spécifiques, propres à son identité physique, physiologique, psychique, économique, culturelle ou sociale »
49. Cette formule n’a pas été reprise telle quelle par le législateur français qui se réfère plutôt à « un ou plusieurs éléments »
50qui sont propres à la personne.
On peut, cependant, considérer que les deux formules ne divergent pas. Comme le laissent entrevoir les textes, l’identification des personnes peut être directe ou indirecte.
Données d’identification directe. Les données d’identification directe des personnes sont
par excellence, les nom et prénom. A cela, il faut ajouter l’image (fixe ou animée
51) ou la voix
52des personnes qui permettent aussi de sûrement les identifier
53.
Données d’identification indirecte. La catégorie des données d’identification directe ne
soulève pas de difficultés majeures contrairement à celle des données d’identification indirecte ou permettant indirectement l’identification des personnes auxquelles elles se rapportent
54. Les données d’identification indirecte sont celles qui ne permettent pas directement à elles seules de dévoiler ou déterminer l’identité de la personne à laquelle elles s’appliquent mais qui associées avec d’autres ou dans un contexte précis permettront cette identification. On pense notamment à des données comme le numéro de téléphone ou de sécurité sociale, l’adresse géographique, une plaque d’immatriculation, les empreintes digitales
55, la voix, l’adresse électronique, la date de naissance, etc.
Notion. « Un jeu de données individuelles est dit indirectement nominatif s’il est anonyme
[ne contient pas le nom de la personne à laquelle il se rapporte] et contient un certain nombre de données qui permettent d’identifier la personne dans la limite d’un délai, d’un coût et
49 Directive 95/46/CE, précité, article 2 (a)
50 Loi Informatique et libertés modifiée, article 2 alinéa 2
51 Il s’agit des photos et des vidéos.
52 Sur la voix comme élément d’identification des personnes, voir notamment, D. Huet-Weiller, La protection juridique de la voix humaine, RTD civ. 1982, p. 497 ; M. Serna, La voix et le contrat : le contrat sur la voix, CCC, septembre 2009, chr. 9, pp. 4-8. La voix comme élément d’identification directe des personnes fait, cependant, l’objet d’une contestation par certains scientifiques.
53 CNIL, Voix, image et protection des données personnelles, La documentation française, 1996 ; N. Mallet- Poujol, Protection de la vie privée et des données personnelles, Legamedia, février 2004, p. 21
54 Voir, F. Mollo, Les notions de données directement nominatives et indirectement nominatives, précité, pp.
180-182
55 Sur l’identification des personnes par des données biométriques, voir notamment, CCNE, Avis n° 98 portant « Biométrie, données identifiantes et droits de l’Homme », 20 juin 2007
d’une activité raisonnable »
56. Par cette définition, l’on saisit que la possibilité d’identification des personnes suppose la détention d’un ou plusieurs éléments permettant de découvrir l’identité des personnes. C’est ce que prévoit l’article 2 alinéa 2 de la loi Informatique et libertés modifiée en retenant que « pour déterminer si une personne est identifiable, il convient de considérer l’ensemble des moyens en vue de permettre son identification dont dispose ou auxquels peut avoir accès le responsable du traitement ou toute autre personne ».
Application. En application de cette définition, lors d’une mission de vérification sur
place réalisée auprès d’une société (CEGEDIM) productrice d’une base de données médicales, la CNIL, conclura en la possible réidentification des patients. Le système de traitement automatisé de données fonctionnait sur la base d’une télétransmission, par les médecins adhérant au dispositif, d’informations sur leur pratique médicale (consultation, traitement, prescription médicamenteuse). Ces informations médicales devaient ensuite être utilisées par la société BKL (consultant du groupe CEGEDIM) à des fins de recherches épidémiologiques. Les informations concernant les patients (sexe, année de naissance, département, contexte familial, etc.) sont transmises sous un numéro du patient composé d’un numéro identifiant le médecin et attribué par la société CEGEDIM et d’un numéro séquentiel attribué par un logiciel. Même si les noms, prénoms et adresse des patients n’étaient pas télétransmis, ce qui permettait de considérer que l’anonymat des patients était garanti, la CNIL réfutera cette argumentation. Pour ce faire, elle s’en tiendra à « la maîtrise totale de l’ensemble des fonctionnalités du logiciel ainsi que la procédure d’extraction des données depuis le fichier local du médecin »
57qui était assurée par la société CEGEDIM ; cette maîtrise totale permettant à la société CEGEDIM, de réaliser les opérations qu’elle souhaitait comme la récupération du fichier de télétransmission conservé sur le poste de travail du médecin. Ce faisant, une identification des patients concernés était possible.
A cet égard, l’identifiabilité de la personne doit présenter un certain degré de certitude et ne pas se limiter une « simple possibilité hypothétique »
58de distinguer cette personne.
Entrent en ligne de compte, les coûts engendrés par l’identification, l’intérêt escompté par le responsable du traitement, les intérêts en jeu pour les personnes, les risques de
56 G. Lang, Vocabulaire de la statistique et de la protection juridique des données individuelles, Courrier des statistiques, n° 107, septembre 2003
57 CNIL, Délibération n° 02-024 du 23 avril 2002 relative à la mission de vérification sur place effectuée auprès de la société CEGEDIM
58 Groupe de l’article 29, Avis sur la notion de donnée à caractère personnel, précité, p. 16
dysfonctionnement organisationnels, l’état de l’avancement technologique, la durée de conservation des données, la finalité visée par le responsable du traitement.
L’utilisation de codes ou de numéros renvoyant à l’identité des personnes ou permettant de déduire cette identité doit être considérée comme un traitement de données à caractère personnel permettant indirectement l’identification des personnes. Le domaine de la recherche est particulièrement concerné par ce fait dans la mesure où, si des données d’identification directe ne sont toujours conservées dans les fichiers, des codes existent en général qui permettent de revenir à l’identité des personnes pour soit valider les données de recherche, poursuivre la recherche auprès des mêmes personnes, assurer un suivi à long terme. Cette possibilité de retour sur l’identité des personnes doit conduire à considérer que les personnes concernées sont potentiellement identifiables. C’est ce qu’a notamment conclu la CNIL s’agissant d’une biobanque
59en considérant que « le fonctionnement de la sérothèque montre qu’actuellement aucune donnée directement nominative n’est recueillie et enregistrée ; toutefois, il faut signaler que chaque échantillon est référencé par le numéro de patient attribué par le centre qui a adressé le prélèvement, lequel conserve la correspondance entre ce numéro et le nom du patient considéré »
60.
Données génétiques et identification des personnes. L’information génétique permet
l’identification des personnes physiques. En effet, l’analyse de la molécule d’ADN peut s’effectuer sur les aspects codants et non-codants. « L’analyse portant sur des séquences dites
‘codantes’ permettra d’obtenir des informations relatives à la santé de l’intéressé : malformation génétique, prédisposition à telle maladie… L’ADN « non-codant » est utilisé pour l’identification, il donne une image de notre singularité par la mise en exergue des polymorphismes situés sur la molécule d’ADN »
61. C’est pour cette raison que la CNIL
59 Banque de matériel biologique. Pour une étude détaillée, infra, p. 183 et s.
60 CNIL, 15ème Rapport d’activité 1994, p. 276. Voir dans le même sens, CNIL, Délibération n° 85-76 du 26 novembre 1985 portant avis sur un traitement automatisé d’informations nominatives mis en œuvre par la direction départementale des affaires sanitaires et sociales de Seine-Saint-Denis relatif à l’enquête sur l’état de dépendance des enfants inadaptés accueillis dans les établissements spécialisés de Seine-Saint-Denis ; CNIL, 15ème Rapport d’activité 1994, p. 285 ; CNIL, Délibération n° 94-091 du 25 octobre 1994 portant avis sur une recherche réalisée par l’INSERM (unité 315) concernant l’évaluation d’un test de dépistage néonatal de la mucoviscidose ; CNIL, Délibération n° 89-80 du 11 juillet 1989 portant avis sur le projet d’arrêté du ministre chargé de la Santé relatif à l’informatisation des déclarations obligatoires de tuberculose ; CNIL, Délibération n°
93-041 du 11 mai 1993 portant sur la demande d’avis présentée par le ministre de l’Economie et des Finances, relative à l’enquête sur les transports et les communications en 1993-1994
61 E. Lajarthe, L’identification biologique en matière pénale, in L’identité de la personne humaine. Etude de droit français et de droit comparé, précité, p. 481 (note 51)
soulignait le « caractère éminemment nominatif du moindre prélèvement de sang en tant que porteur d’un message ADN contenant le génome, identifiant potentiel de chaque être humain de façon unique »
62. Cela étant, l’information génétique ne permet pas à elle seule d’identifier directement la personne. Son association avec d’autres données
63s’avère nécessaire.
Données statistiques agrégées. Le résultat d’un traitement de données à des fins
statistiques est une « information synthétique »
64représentée généralement sous forme de tableaux, listes ou pourcentages dans lesquels il n’est, en principe, plus possible de déterminer l’identité des unités enquêtées. Toutefois, derrière cette affirmation de principe, des résultats statistiques peuvent indirectement permettre l’identification des personnes auxquelles elles se rapportent s’ils sont agrégés à une petite échelle, c’est-à-dire s’ils portent sur un petit nombre de personnes. Le Conseil National de l’Information Statistique (CNIS)
65et la CNIL l’ont toujours admis et ont toujours posé la nécessité de fixer des seuils en-dessous desquels des résultats d’enquêtes statistiques ne peuvent être diffusés au risque de permettre une réidentification des personnes concernées
66.
Cependant, la détermination du seuil à partir duquel les données agrégées peuvent ou non permettre la réidentification des personnes ne va pas de soi. Ainsi, la fixation d’un seuil général de 5000 habitants en dessous duquel les fichiers-tableaux du recensement général de la population de 1990 ne pouvaient être diffusés a suscité un contentieux. Contestant ce seuil, l’Association des utilisateurs de données publiques avait alors saisi le Conseil d’Etat qui se prononcera le 7 octobre 1998
67. S’il remet en cause la fixation générale du seuil de 5000 habitants parce que ne procédant à « aucune différenciation tenant à la nature des informations recueillies et aux différents supports contenant les données », Conseil d’Etat confirme cependant la doctrine de la CNIL selon laquelle « les données statistiques agrégées à un niveau insuffisant permettent indirectement l’identification des personnes physiques
62 CNIL, 15ème Rapport 1994, p. 275
63 L’identité de la personne ou numéro renvoyant à cette identité. CNIL, 12ème Rapport 1991, pp. 92-93
64 G. Lang, Vocabulaire du droit de la statistique et de la protection juridique des données individuelles, précité
65 CNIS, Rapport d’activité, 1997, Tome I, n° 40, p. 328 et Tome II, n° 41, février 1998, p. 14
66 CNIL, 14ème Rapport d’activité 1993, p. 117
67 CNIL, 19ème Rapport d’activité 1998, pp. 309-310
