Menu
02.35.12.00.42 Standard téléphonique 9h à 12h30 et 14h à 19h du lundi au vendredi Paiement en ligne

Demande de rappel téléphonique

S'inscrire à

la lettre d'information

Vous êtes ici : Accueil > Actualités > La protection des données personnelles à l’ère du numérique

La protection des données personnelles à l’ère du numérique

Le 25 mai 2016
Les libertés fondamentales évoluent constamment. La protection des données personnelles à l’ère du numérique a remis bien des questions en cause

 

Si l’affaire des Panama papers nous a appris nombre d’informations fiscales plutôt intéressantes, elle a également mis en lumière une problématique extrêmement actuelle : la protection des données personnelles à l’ère du numérique. 

 

Un arrêt CEDH du 4 déc. 2008 Marper c/ RU a affirmé que « La protection des données à caractère personnel joue un rôle fondamental dans l’exercice du droit au respect de la vie privée et familiale consacré par l’art 8 de la Convention. La législation interne doit ménager des garanties appropriées pour empêcher toute utilisation de donnée à caractère personnel qui ne serait pas conforme au garanties prévues par cet article »

 

En effet, la présidente de la CNIL, Mme Falque-Pierrotin a ajouté que « la frontière entre la vie privée et la vie publique commence à se détendre pour donner naissance à une zone un peu grise dans laquelle les personnes veulent exposer leur vie privée et se servent des données personnelles pour avoir une vie publique et, tout en demandant une protection ». 

 

Elle s’interroge si le droit à la protection des données personnelles ne serait pas un droit distinct aujourd’hui du droit au respect de la vie privée, la clé de voute d’une nouvelle génération de droits qui trouvent à s’exercerions l’univers numérique. 

 

Le développement du numérique peut menacer l’individu dans la protection de ses droits. Mais voilà le problème : les individus publient eux-mêmes des informations personnelles sur les réseaux sociaux. 

 

Internet est dès lors un lieu de liberté d’expression mais aussi de violation des libertés fondamentales. 

 

Le Conseil d’Etat a affirmé dans son Rapport annuel de 2014 que « Le numérique, parce qu’il conduit à la mise en données et à la mise en réseau du monde, pose problème aux droits fondamentaux ». 

 

Il met en question à la fois le contenu de ces droits fondamentaux et leur régime. 

 

Le numérique renforce l’expression de certaines libertés : comme le droit d’expression, mais en fragilise d’autres : tel que le droit à la vie privée. La volonté de la personne est souvent malmenée. Les informations sont colletées malgré l’individu. Le Big Data conduit à s’interroger sur l’utilisation et la protection des données. 

 

  • Origine du droit au respect de la vie privée

 

En droit français , le respect de la vie privée est affirmé parmi les premiers articles de notre code civil : à l’article 9. 

 

Art 9 Code civil : « Chacun a droit au respect de sa vie privée.

Les juges peuvent, sans préjudice de la réparation du dommage subi, prescrire toutes mesures, telles que séquestre, saisie et autres, propres à empêcher ou faire cesser une atteinte à l'intimité de la vie privée : ces mesures peuvent, s'il y a urgence, être ordonnées en référé. »

 

La vie privée est une notion large, floue, et surtout EVOLUTIVE. La conception de la vie privée change selon les générations. 

 

Le respect vie privée au début porte essentiellement sur l’articulation entre plusieurs libertés fondamentales : 

  • la protection vie privée d’une part
  • et la liberté d’information d’autre part

 

Le respect de la vie privée en France est posé par le législateur. Aucun article de la Constitution ne fait mention du droit au respect de la vie privée. Ce n’est pas le cas de toutes les législations européennes : la Constitution espagnole comporte un article protégeant le droit à la vie privée. 

 

En France le droit au respect de la vie privée a fait d’abord partie de la liberté individuelle avant d’etre une partie de la liberté personnelle. 

 

Ce droit au respect de la vie privée ne trouvera un fondement autonome dans l’art 2 de la DDHC de 1789 qu’en 1999 lorsque le conseil constitutionnel a examiné la constitutionnalité de la loi couverture maladie professionnelle. 

 

A l’échelle internationale, la vie privée est protégée par plusieurs articles, notamment dans la Déclaration Universelle des Droits de l’Homme : 

 

La DUDH du 10 déc. 1948 Art 12 : 

« Nul ne sera l’objet d’immixtions arbitraires dans sa vie privée, sa famille, son domicile ou sa correspondance, ni d’atteinte à son honneur ou à sa réputation. Toute personne a droit à la protection de la loi contre de telles immixtions ou de telles atteintes »

 

A l’échelle européenne, la Convention Européenne des droits de l’Homme possède un article 8 qui prône le respect de la vie privée et familiale. 

 

CEDH : Art 8 : Droit au respect de la vie privée et familiale

« 1. Toute personne a droit au respect de sa vie privée et familiale, de son domicile et de sa correspondance. 

2. Il ne peut y avoir ingérence d'une autorité publique dans l'exercice de ce droit que pour autant que cette ingérence est prévue par la loi et qu'elle constitue une mesure qui, dans une société démocratique, est nécessaire à la sécurité nationale, à la sûreté publique, au bien-être économique du pays, à la défense de l'ordre et à la prévention des infractions pénales, à la protection de la santé ou de la morale, ou à la protection des droits et libertés d’autrui. » 

 

La CEDH a procédé à une interprétation extensive et dynamique de la notion de vie privée. Pour la Cour c’est une notion large, non susceptible d’une définition exhaustive qui recouvre l’intégrité physique et morale de la personne et peut donc englober de multiples aspects de l’identité d’un individu tel le nom ou d’autres éléments se rapportant à l’image. 

 

La notion de vie privée s’applique à la vie privée de tout à chacun mais aussi à la vie sociale des individus : le droit au nom, la protection de l’image, l’identité sexuelle et sociale, l’environnement salubre, l’intégrité physique et psychologique, l’emploi etc. 

 

Charte des droits fondamentaux : art 7 : « Toute personne a droit au respect de sa vie privée et familiale, de son domicile et de ses communications. »

 

Le numérique rend beaucoup plus facile l’identification des personnes même avec des données en apparence anonymes. En effet il a été affirmé qu’un petit nombre de beta données (4 positions géographiques) suffisaient à identifier de manière unique, dans 95% des cas, l’identité d’un individu utilisant un réseau de téléphonie mobile. 

 

Ce qui a fondamentalement changé c’est que la collecte des données n’est plus seulement le fait d’organismes publics, mais aujourd’hui surtout d’entreprises privées, de réseaux sociaux. 

 

Toutes les questions autour des collectes d’informations sont renouvelées en raison de l’ampleur des données. 

 

  • L’Adaptation nécessaire du cadre de la protection des données personnelles

 

Autrefois les données personnelles étaient cantonnées à ces informations : âge, sexe et situation familiale. Aujourd’hui le domaine est beaucoup plus large : le nombre de pas effectués dans la journée, les battements de coeurs par exemple. Il est impossible de poser les contours des données personnelles. Même les adresses IP permettent d’identifier les personnes. 

 

Données de plus en plus subjectives : prenons l’exemple d’une opinion, elle peut évoluer, et est surtout contextuelle. 

 

L’identification des données personnelles est délicate. Ce n’est pas parce que les données personnelles sont anonymes qu’elles ne permettent pas de nous identifier. La question de protection des données est centrale. 

 

Le système de protection français assez novateur est remis en cause par le développement du numérique parce que le numérique n’est pas comme le dit le Conseil d’Etat, « un outil docile pouvant être mis en oeuvre selon la volonté de son maitre, il induit des transformations qui échappent à la volonté de ses utilisateurs ». 

 

La loi informatique et libertés loi de 1978 doit s’adapter. C’est l’objet du projet de loi pour une république numérique. En droit de l’UE le cadre de la protection des données personnelles est fixé par la directive de 1995 vient d’etre adaptée par le règlement du 27 avril 2016. 

 

Dans le cadre du conseil de l’Europe, la Convention 108 de 1981 est aussi entrain d’être modernisée. 

 

  • Droit français : de la loi de 1978 à la loi pour une République numérique

 

La loi informatique et libertés du 6 janvier 1978 a pour origine des raisons dépassées aujourd’hui. Cette loi repose sur un principe simple : 

 

L’Article 1er a été conservé malgré les évolutions de la loi et dispose que « L’informatique doit être au service des citoyens et ne doit pas porter atteinte ni à l’identité ni aux DH ni à la vie privée ni aux libertés individuelles ou publiques ». 

 

La loi s’applique au traitement automatisé d’informations nominatives définies comme étant toutes les informations qui permettent, sous quelque forme que ce soit, l’identification des personnes physiques auxquelles elle s’appliquent. Toute collecte de donnée doit se conformer aux dispositions protectrices de la liberté individuelle, et notamment assurer à toute personne le droit d’accéder à ces données personnelles et par ailleurs de limiter la collecte des données. 

 

Ce droit à la protection des données nominatives a été admis par le conseil constitutionnel en 2003. Depuis, le conseil constitutionnel reprend régulièrement ce considérant : 

 

Conseil constitutionnel DC 13 mars 2014 : «  la liberté proclamée par l’art 2 de la DDHC de 1789 implique le droit au respect de la vie privée; que, par suite, la collecte, l’enregistrement, la conservation, la consultation et la communication de données à caractère personnel doivent être justifiées par un motif d’IG et mis en oeuvre de manière adéquate et proportionnée à cet objectif ». 

 

Pour le conseil constitutionnel, le droit à la protection des données personnelles découle du droit au respect de la vie privée. Il ne s’agit pas encore d’un droit autonome. 

 

Le conseil constitutionnel doit se poser 2 questions : 

  • quelle est la finalité de la collette : est-elle justifiée par un motif d’IG ?
  • la collecte est-elle proportionnée à cet objectif ?

 

Le contrôle de proportionnalité est un élément extrêmement important pour vérifier si la collecte est conforme aux droits et libertés fondamentaux. 

 

Le cadre de la protection a été modifié par la loi du 6 aout 2004 relative à la protection des personnes physiques à l’égard des traitements de données à caractère personnel : dans l’objectif de transposer la directive européenne de 1995 en droit français. 

 

Tous les articles hormis le 1er ont été réécrits. En effet, dorénavant, les internautes ont le droit de consulter un site marchand sans avoir à s’identifier par nom, prénom et adresse e-mail. L’internaute peut s’opposer à recevoir par e-mail des documents de prospection commerciale non sollicitée, revenir sur cette décision, etc. 

 

Voici les principes qui gouvernent la collecte d’informations

 

  • la finalité du fichier, dans quel but le fichier se constitue-t-il ? 
  • la pertinence des données récoltées : adéquation, proportionnalité
  • la conservation des données doit être limitée dans le temps 
  • la nécessité de sécuriser les données 
  • le respect du droit des personnes : le droit d’information, le droit d’accéder aux données, le droit de les rectifier mais aussi droit de s’opposer à leur utilisation. 

 

Certains principes posés jusqu’à présent dans la loi sont aujourd’hui inadaptés : ex le fait qu’avant toute constitution d’un fichier il faille avertir la CNIL. Cela n’est plus adapté à l’heure du Big Data, le contrôle a priori des fichiers n’est plus possible. 

 

Cela va entrainer une modification du rôle de la CNIL puisqu’il va falloir doter cette Autorité administrative indépendante (AAI) du pouvoir d’effectuer le contrôle en permanence et pas seulement a priori sur ses fichiers : tout au long de la collecte des données et non seulement au moment de la création du fichier. 

 

La CNIL va devoir veiller à l’équilibre entre la surveillance, l’innovation qu’il ne faut pas freiner et la protection des données. La loi aura inséré un certain nombre de propositions du tout nouveau règlement européen sur la question. 

 

  • Le Droit de l’UE : de la directive 95/46 au règlement du 27 avril 2016

 

Les données doivent aussi pouvoir circuler librement au sein de l’UE. 

 

L’importance du marché intérieur apparait dès l’intitulé de la directive de 95. Directive 95/46 du 24 oct. 1995 du Parlement Européen et du Conseil, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données :  

 

Charte des droits fondamentaux : Art 8 : « Protection des données à caractère personnel

1. Toute personne a droit à la protection des données à caractère personnel la concernant.

2. Ces données doivent être traitées loyalement, à des fins déterminées et sur la base du consentement

de la personne concernée ou en vertu d’un autre fondement légitime prévu par la loi. Toute personne a le droit d’accéder aux données collectées la concernant et d’en obtenir la rectification.

3. Le respect de ces règles est soumis au contrôle d’une autorité indépendante. »

 

Avant l’entrée en vigueur de la charte des droits fondamentaux, la CJUE assurait la protection grâce à l’interprétation de la directive 95/46. De plus cette directive avait créé un groupe de protection des personnes à l’égard du traitement des données à caractère personnel et à la libre circulation des données, dénommé GT : « groupe de travail art 29 »

 

En 2001, l’Europe a adopté un règlement qui reprend la directive de 1995 mais qui concerne les institutions et organes européens. La directive 1995 est complétée en 2002 par la directive 2002 58 concernant les communications électroniques. 

 

Mais surtout, un Règlement général sur la protection des données a été adopté le 14 avril 2016. Publié le 4 mai 2016, il entrera en vigueur le 24 mai 2016 et sera applicable à partir du 25 mai 2018. Le but affiché de ce règlement est de renforcer la protection des données en Europe. 

 

« Le droit à la protection es données personnelles n’est pas un droit absolu, il doit être considéré par rapport à sa fonction dans la société et être mis en balance née d’autres Droits Fondamentaux conformément au principe de proportionnalité »

 

Il s’agit d’un droit à l’information sur le traitement des données et d’un droit à la communication des données sous une forme claire, accessible et compréhensible améliorés. 

 

Le règlement conforte un droit à l’oubli et consacre un nouveau droit : le droit à la portabilité, qui existait dans la téléphonie mobile qui rend plus effective la maitrise des données personnelles par la personne elle-même. Les mineurs font également l’objet d’une protection particulière.

Pour garantir ces nouveaux droits, les pouvoirs des autorités sont renforcés : elles pourront prononcer des sanctions administratives jusqu’à 4% du Chiffre d’Affaires mondial de l’entreprise concernée, ce qui est extrêmement dissuasif. 

 

Autre innovation : les autorités de protection des données pourront prononcer des décisions conjointes pour constater la conformité d’un organisme comme pour prononcer une sanction. Une des priorité du marché actuel, c’est le marché unique numérique

 

Le règlement conduit à une simplification pour les entreprises puisque la réglementation sera unifiée : il n’y aura plus de disparité des droits sur le territoire de l’UE.