Contenu du sommaire : La régulation des données personnelles

Trente ans après sa création, la CNIL affiche un bilan contrasté quant à la mise en œuvre des missions qui lui ont été confiées. À de nombreux égards, sa solidité est établie tant ses missions se sont développées. C'est notamment le cas en matière d'alerte et d'information. Elle a acquis un large crédit en raison de son indépendance, de la pertinence de ses analyses et propositions, de l'à-propos de ses prises de position mais également de l'équilibre de ses appréciations. Certes, la CNIL n'est pas toujours suivie mais elle est entendue et suscite la réflexion sur des sujets très divers. C'est dans sa mission de contrôle qu'elle affiche un bilan plus modeste. Initié par la dénonciation, ce contrôle est parcellaire et manque de souplesse. Les pouvoirs de contrôle et de sanction se justifient au regard de l'incompréhension avérée des autorités de police en ce domaine. Mais les efforts de collaboration entre ces autorités et la CNIL se font désormais sentir et modifient la mission de cette dernière. Son rôle social a pris une importance croissante du fait du déploiement des TIC et des recherches en matière de terrorisme. Sa mobilisation très active ne contribue cependant pas à rassurer l'opinion publique. Le manque de moyens alloués est évident même si cela ne l'empêche pas d'en maximiser l'efficacité en rendant des expertises de qualité. ■

La loi pénale, de par ses fonctions, est un outil de régulation intéressant. Une approche schématique de la loi de 1978 peut amener au constat selon lequel les règles et les principes de protection des données personnelles sont envisagés par le droit pénal. La question qui se pose est de savoir s'il joue ou non son rôle de régulation pour assurer le respect de la législation protectrice des données personnelles, conformément à l'intention du législateur. Théoriquement, le dispositif doit permettre de sanctionner les plus importants manquements aux règles posées par la loi. Or, la rédaction des textes est parfois ambiguë, en raison de l'absence de soin apportée à l'articulation de la loi de 1978 avec le Code pénal, et les sanctions disproportionnées. La mise en œuvre du dispositif reste quantitativement faible. Partant, le contentieux pénal n'offre pas suffisamment de visibilité en la matière. Le manque de cohérence de la jurisprudence pénale relative au contentieux de la loi de 1978 modifiée n'encourage pas son développement et son utilisation pour en faire un outil de régulation du droit de la protection des données personnelles. ■

Le Groupe « article 29 », créé par la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 sous la forme d'organe consultatif, se transforme progressivement en un acteur majeur de la protection des données au plan européen mais aussi mondial. Le développement d'une société de l'information mondialisée se traduit par des traitements et des échanges massifs de données à caractère personnel à l'échelle planétaire supposant une implication forte du G29. Pour y faire face, le G29 mène des expertises techniques afin de rédiger des avis pointus et opérationnels et de mettre en place des boîtes à outils pragmatiques de nature à remédier aux transferts de données. C'est notamment pour cette raison que le G29 assure la promotion de l'harmonisation de la protection des données pour qu'un niveau élevé de protection existe dans l'Union européenne. Le G29 joue par ailleurs un rôle déterminant auprès des institutions européennes puisqu'il lui appartient de formuler des positions communes sur les grands sujets touchant à la protection des libertés et au développement économique des nouvelles technologies. Reste que le manque de moyens paralyse quelque peu l'action du groupe et l'empêche de remplir pleinement ses défis. ■

Des informations à caractère personnel circulent sur la Toile avec ou sans le consentement des personnes concernées. Les moteurs de recherche, l'adhésion à des réseaux sociaux permettent l'exploitation de données dans le cadre de finalités qui ne sont pas toujours clairement affichées. Des sociétés de marketing définissent, à partir des données collectées, le profil de consommation des internautes afin de leur envoyer des bannières publicitaires adaptées. Les internautes sont soumis au profilage de façon intensive. De même, la présence de RFID permet plus largement l'enregistrement des individus dans le cadre de leur vie quotidienne. La distinction entre vie privée et espace public s'efface pour laisser place au village global répondant, du moins en apparence, au principe de transparence comme les villages traditionnels. La comparaison entre les villages traditionnels et le village global est trompeuse. Les bienfaits du village global sont contestables. Les frontières entre espace public et espace privé étant abolies, c'est la responsabilité de chaque acteur qui permet d'introduire en droit des TIC certains principes du droit de l'environnement. À partir de ce constat, il convient de repenser la législation de protection des données pour la survie des libertés. ■

Le Correspondant informatique et libertés, avec sa mission de diffusion d'une véritable culture Informatique et libertés, est un acteur incontournable. Il participe véritablement à la régulation des pratiques. La désignation d'un CIL par les entités procédant au traitement automatisé des données à caractère personnel a permis d'assurer « l'application interne des dispositions nationales » et « de tenir un registre des traitements [...] garantissant de la sorte que les traitements ne sont pas susceptibles de porter atteinte aux droits et libertés des personnes concernées ». Cette désignation dispense certes de l'obligation de déclaration auprès de la CNIL mais en contrepartie, elle a pour objet d'assurer que l'informatique se développera sans danger pour les droits des usagers, des clients et des salariés. Le correspondant a donc un rôle de conseil et de suivi dans la légalité de déploiement des projets informatiques et, plus largement, de la gestion de données à caractère personnel. Il propose les solutions permettant de concilier protection des libertés individuelles et intérêt légitime des professionnels. Cette fonction n'est cependant pas obligatoire et n'exonère en rien le responsable de traitement de ses responsabilités. Par ailleurs, les CIL venant d'horizons différents ne sont pas formés à l'exercice de la fonction. L'une des priorités est donc d'asseoir son statut. ■

Le projet de loi « Création et Internet », appelé aussi « HADOPI », n'est pas neutre au regard du dispositif « Informatique et libertés ». Le droit d'auteur est confronté à la vie privée des internautes qui contribuent de par leur comportement à fragiliser le droit à la copie privée et à rendre public l'espace privé. Les ayants droit ne sont pas restés en marge de cette évolution, en officialisant le « traçage » et le « fichage » des internautes friands de téléchargement de fichiers protégés par le droit d'auteur. Le projet de loi « HADOPI » lisse les obstacles que constitue la protection des données personnelles en ouvrant des brèches dans le système de protection de la loi de 1978. En effet, le droit d'auteur vient alors imparfaitement réguler les données personnelles en renforçant le traçage des internautes et de leurs données de connexion, en légalisant de nouveaux fichiers sans en contrôler véritablement la finalité, et en identifiant bien imparfaitement les internautes dans le cadre de la fameuse « riposte graduée ». Le dispositif issu de ce projet met en place des tolérances que l'on peut qualifier d'inacceptables si l'on s'en tient à la protection des données personnelles. ■

Les relations de travail constituent un cadre d'application particulièrement délicat de la loi du 6 janvier 1978, notamment en raison de la spécificité du contrat de travail. Or, toute activité de direction, de contrôle et de discipline nécessite la mise en place d'une surveillance, ce qui implique de collecter des informations sur la vie du salarié au temps et au lieu du travail. Par ailleurs, les facteurs de productivité dépendent bien souvent des compétences des individus que l'on révèle au gré des investigations réalisées au cœur de leur vie intime. Les techniques de collecte de l'information connaissent donc un essor sans précédent mais font apparaître parallèlement des questions spécifiques au droit du travail. C'est la raison pour laquelle la loi de 1978 coexiste avec d'autres règles spécifiques au droit du travail. C'est toute la difficulté de la régulation des données personnelles dans ce domaine. La question est alors de savoir jusqu'où un employeur peut poursuivre son exploration, notamment de la personnalité de ses salariés ainsi que des actes qu'ils accomplissent pendant le travail. L'application combinée du droit de l'informatique et du travail protège les salariés en limitant les recherches inquisitoires de l'employeur et en cantonnant strictement la collecte et l'utilisation de données à caractère accusatoire. ■

Les juridictions nationales, et notamment, les juridictions françaises, ne sont pas unanimes sur la question de la qualification de l'adresse IP. Dès qu'il s'agit de protection des données, les juridictions nationales ont naturellement tendance à se référer à la terminologie en usage dans leur législation ou dans le débat national, qui peut ne pas être tout à fait conforme à celle utilisée dans la directive 95/46/CE. L'allégation selon laquelle les informations ne constituent des « données à caractère personnel » que si elles permettent d'identifier une personne physique illustre cette erreur d'interprétation. Le Groupe « article 29 » était conscient qu'il existait une certaine disparité dans les pratiques nationales et a tenté de parvenir à une acception commune de la notion de données à caractère personnel afin de permettre davantage de cohérence et une meilleure harmonisation entre les conceptions nationales au sein de l'Union européenne. Il est un principe du droit communautaire que les dispositions nationales devraient être interprétées, autant que possible, conformément aux directives pertinentes. L'avis du groupe vise à apporter une aide en ce sens. Par conséquent, les adresses IP devraient être considérées comme des données à caractère personnel dans de nombreux cas, mais pas nécessairement dans tous les cas. ■

Le concept de donnée personnelle est lié à la notion d'identification. C'est en ce sens qu'il convient d'appréhender la question relative au statut juridique de l'adresse IP. Certes, il s'agit tout d'abord d'une donnée technique puisqu'elle permet de reconnaître les ordinateurs connectés au réseau Internet communiquant entre eux. L'adresse IP est attribuée à l'utilisateur par son fournisseur d'accès qui est ainsi capable de déterminer auquel de ses clients le numéro correspond. Cependant, une adresse IP ne reconnaît pas tous les internautes. Parmi les informations véhiculées par Internet, seules les adresses IP des émetteurs sont susceptibles de détecter l'origine géographique des appels et toutes ne sont pas françaises. Or, face à cette internationalisation, les internautes éprouvent le besoin de protéger leur vie privée. Très rapidement, la question s'est posée de savoir si l'adresse IP était ou non une donnée personnelle. Les réponses varient souvent avec les acteurs. ■

Les mécanismes économiques, avec le recours à l'arbitrage des marchés et à la concurrence entre les acteurs économiques, pourraient être favorables à la protection des données à caractère personnel. L'analyse de cette protection suppose que l'on s'intéresse à la régulation des marchés par la réglementation. À ce titre, il convient d'aborder l'idée selon laquelle la rémunération du consommateur pour la diffusion de ses données personnelles représenterait un moyen de contribuer à la protection de celles-ci. Cependant, l'approche patrimoniale des données personnelles induit de façon pratiquement obligatoire l'apparition de nouveaux acteurs qui auraient vocation à agréger les données personnelles des particuliers puis à les vendre sur le marché pour le compte de leurs mandataires. Cette approche se heurte à de nombreuses critiques et à des obstacles pratiques. Il n'en est pas de même pour l'approche qui consiste pour certains acteurs économiques à faire de la protection de la vie privée un avantage concurrentiel en mesure de favoriser la diffusion des pratiques les plus respectueuses de la vie privée de l'individu. La régulation économique des données personnelles revient alors à récompenser les « gentils » par opposition à une régulation par le droit qui aurait pour vocation de punir les « méchants ». ■