eglement general sur la protection des donnees
TRANSCRIPT
UNIVERSITE DE POITIERS
FACULTE DE DROIT ET DES SCIENCES SOCIALES
MASTER II — DROIT DES PROPRIETES INTELLECTUELLES
2016-2017
REGLEMENT GENERAL SUR LA PROTECTION
DES DONNEES PERSONNELLES : VERS UNE
REMISE EN CAUSE DU MODELE FRANÇAIS ?
ME
MO
IRE
DE
MA
ST
ER
II Mémoire pour le
Master II — Droit des propriétés intellectuelles
soutenu en septembre 2017
par
Laurélenn BEGNY
DIRECTEUR DU MEMOIRE
Marie-Eugénie LAPORTE-LEGEAIS
Professeur des Universités
— 2 —
REGLEMENT GENERAL SUR LA PROTECTION DES DONNEES PERSONNELLES : VERS UNE
REMISE EN CAUSE DU MODELE FRANÇAIS ?
Résumé en français
La France, présentée comme patrie des droits de l’Homme, a été l’un des premiers pays à s’intéresser de près à la relation droit et Internet, et en particulier à la protection des données personnelles. Elle a ainsi construit patiemment un cadre de protection respectueux de la vie privée de ses citoyens. L’Union européenne a récemment souhaité moderniser son cadre juridique sur le sujet grâce au Règlement Général sur la Protection des Données dont l’application sera effective à partir du 25 mai 2018. Cela signifie-t-il la fin de la spécificité française en la matière ?
Mots-clés en français
Commission Nationale de l'Informatique et des Libertés, Protection des données personnelles, Règlement Général sur la Protection des données, Union européenne, Internet.
GDPR: DOES IT CALL INTO TO QUESTION THE FRENCH FRAMEWORK?
Abstract
France, known for its attachment to Human Rights, has been one of the first countries looking toward the relationship between law and Internet, especially from the data protection point of view. It has therefore patiently built a respectful frame of protection of its citizens’ private life. The European Union has recently wished to modernize its legal framework on this topic with the General regulation on the Data protection which will apply from May 25th, 2018. Does it mean the end of the French specificity on it?
Keywords
Commission Nationale de l'Informatique et des Libertés, Data protection, General Data Protection Regulation, the European Union, Internet.
MASTER DROIT DES PROPRIETES INTELLECTUELLES
Université de Poitiers
Faculté de Droit et Sciences Sociales
Bâtiment E 10
15 rue Sainte Opportune
TSA 81100
86073 Poitiers cedex 09
— 3 —
UNIVERSITE DE POITIERS
FACULTE DE DROIT ET DES SCIENCES SOCIALES
MASTER II — DROIT DES PROPRIETES INTELLECTUELLES 2016-2017
REGLEMENT GENERAL SUR LA PROTECTION DES DONNEES
PERSONNELLES : VERS UNE REMISE EN CAUSE DU MODELE
FRANÇAIS ?
Mémoire pour le
Master II — Droit des propriétés intellectuelles
soutenu en septembre 2017
par
Laurélenn BEGNY
DIRECTEUR DU MEMOIRE
Marie-Eugénie LAPORTE-LEGEAIS
Professeur des Universités
— 4 —
L'université de Poitiers n'entend donner aucune approbation ni improbation aux opinions émises dans ce document ; ces opinions doivent être considérées comme propres à leurs auteurs.
— 5 —
To my professors of Murray Edwards College, Cambridge.
— 6 —
J’adresse mes remerciements aux personnes qui m'ont aidé dans la réalisation de ce mémoire.
En premier lieu, je souhaite remercier Mme Laporte-Legeais, professeur à l'université de Poitiers pour avoir accepté de superviser ce mémoire.
Je remercie aussi M. Zollinger, directeur du Magistère, pour m’avoir accompagnée lors de mon année Erasmus.
Je souhaite particulièrement remercier mes parents pour leur aide à la relecture de mon mémoire.
— 7 —
RÉSUMÉ ET MOTS-CLÉS – SUMMARY AND KEYWORDS
Résumé en français
La France, présentée comme patrie des droits de l’Homme, a été l’un des premiers pays à s’intéresser de près à la relation droit et Internet, et en particulier à la protection des données personnelles. Elle a ainsi construit patiemment un cadre de protection respectueux de la vie privée de ses citoyens. L’Union européenne a récemment souhaité moderniser son cadre juridique sur le sujet grâce au Règlement Général sur la Protection des Données dont l’application sera effective à partir du 25 mai 2018. Cela signifie-t-il la fin de la spécificité française en la matière ?
Mots-clés en français
Commission Nationale de l'Informatique et des Libertés, Protection des données personnelles, Règlement Général sur la Protection des données, Union européenne, Internet.
Abstract
France, known for its attachment to Human Rights, has been one of the first countries looking toward the relationship between law and Internet, especially from the data protection point of view. It has therefore patiently built a respectful frame of protection of its citizens’ private life. The European Union has recently wished to modernize its legal framework on this topic with the General regulation on the Data protection which will apply from May 25th, 2018. Does it mean the end of the French specificity on it?
Keywords
Commission Nationale de l'Informatique et des Libertés, Data protection, General Data Protection Regulation, the European Union, Internet.
— 8 —
SOMMAIRE
Résumé et mots-clés – Summary and keywords.......................................................................................... 7
Sommaire ........................................................................................................................................................... 8
Liste des abréviations .................................................................................................................................... 10
INTRODUCTION .......................................................................................................................... 11
PARTIE I. LE MODELE FRANÇAIS EN MATIERE DE PROTECTION DES DONNEES A
CARACTERE PERSONNEL ...................................................................................................... 14
CHAPITRE I. PRESENTATION DU CADRE GENERAL DE PROTECTION DES DONNEES A
CARACTERE PERSONNEL EN FRANCE ..................................................................................................... 16
Section I. La loi « Informatique et libertés », un acte fondateur .............................................................. 17
§ 1. Place primordiale de la Commission Nationale de l'Informatique et des Libertés ...................... 17
§ 2. Obligations incombant au responsable de traitement ...................................................................... 20
§ 3. Attribution de droits à la personne concernée .................................................................................. 24
Section II. Réaction de l’Union européenne et de la communauté internationale ................................ 27
§ 1. Développement des sources de l’Union européenne ....................................................................... 27
§ 2. Développement des sources internationales ...................................................................................... 30
CHAPITRE II. AVANCEMENT LEGISLATIF INSUFFISANT AU REGARD D’INTERNET ............................. 33
Section I. Caractère évolutif d’Internet ........................................................................................................ 34
§ 1. Internationalisation des flux ................................................................................................................. 34
§ 2. Révolutions technologiques majeures ................................................................................................. 37
Section II. Actualisation complexe du cadre de protection ...................................................................... 40
§ 1. Adaptation des sources nationales ....................................................................................................... 40
§ 2. Adaptation des sources de l’Union Européenne ............................................................................... 42
PARTIE II. L’IMPACT DU REGLEMENT GENERAL SUR LA PROTECTION DES DONNEES
A CARACTERE PERSONNEL ................................................................................................... 46
CHAPITRE I. L’ADOPTION DU REGLEMENT GENERAL SUR LA PROTECTION DES
DONNEES A CARACTERE PERSONNEL .................................................................................................... 48
Section I. Reprise en main de la Commission européenne ....................................................................... 49
§ 1. Fin de la spécificité française via le règlement ................................................................................... 49
§ 2. Notion de guichet unique ...................................................................................................................... 51
Section II. Volonté de responsabiliser les organismes ............................................................................... 54
§ 1. Accountability, définition et mise en pratique ................................................................................... 54
§ 2. Délégué à la Protection des Données, une fonction déterminante ................................................ 57
CHAPITRE II. MISE EN PLACE DE NOUVEAUX CONCEPTS DIRECTEURS ................................................ 61
Section I. Priorité accordée à l’anticipation ................................................................................................. 62
§ 1. Privacy Impact assessment .................................................................................................................... 62
§ 2. Privacy by design et privacy by default ............................................................................................... 65
Section II. Renforcement du contrôle des citoyens sur leurs données à caractère personnel ............. 68
§ 1. Consécration de nouveaux droits pour les citoyens ......................................................................... 68
§ 2. Renforcement des droits préexistants ................................................................................................. 69
— 9 —
CONCLUSION GENERALE ........................................................................................................... 72
ANNEXES .................................................................................................................................... 74
BIBLIOGRAPHIE .......................................................................................................................... 77
ARTICLES DE CODES DE LOI ............................................................................................................................ 78
ARTICLES, PERIODIQUES, REVUES DE PRESSE ET CONTRIBUTIONS ........................................................ 78
DECISIONS DE JUSTICE ..................................................................................................................................... 80
DECRETS ET LOIS .............................................................................................................................................. 80
DIRECTIVES, REGLEMENTS ET PROPOSITIONS ............................................................................................ 80
DOCUMENTS DIVERS ET GUIDES PRATIQUES .............................................................................................. 81
ENQUETES ET SONDAGES................................................................................................................................ 82
LEGISLATION ETRANGERE .............................................................................................................................. 82
OUVRAGES .......................................................................................................................................................... 82
REPORTAGES ET DOCUMENTAIRES ............................................................................................................... 82
SITES INTERNET ................................................................................................................................................. 82
TRAITES ............................................................................................................................................................... 83
TABLE DES MATIERES ................................................................................................................. 84
— 10 —
LISTE DES ABREVIATIONS
AAI .................................. Autorité(s) Administrative(s) Indépendante(s)
ARCEP ............................ Autorité de Régulation des Communications Electroniques et des Postes
ARJEL ............................. Autorité de Régulation des Jeux en Ligne
Art .................................... Article(s)
BCR ................................. Binding Corporate Rules
CADA ............................. Commission d'Accès aux Documents Administratifs
CJUE ............................... Cour de Justice de l’Union Européenne
CSA .................................. Conseil Supérieur de l’Audiovisuel
CNIL ............................... Commission Nationale de l'Informatique et des Libertés
CIL .................................. Correspondant Informatique et Libertés
Concl. .............................. Conclusion
Cons. ................................ Considérant
Conv. EDH ................... Convention Européenne de sauvegarde des Droits de l’Homme et des libertés fondamentales
DPD ................................ Délégué à la Protection des Données à caractère personnel
DUDH ............................ Déclaration Universelle des Droits de l’Homme
EIVP ................................ Etude d’Impacts sur la Vie Privée
FBI ................................... Federal Bureau of Investigation
G29 .................................. Groupe de l’article 29
INSEE ............................. Institut National de la Statistique et des Etudes Economiques
NSA ................................. National Security Agency
OCDE ............................. Organisation de Coopération et de Développement Economique
ONU ................................ Organisation des Nations Unies
RFID ............................... Radio Frequency Identification
RGPD.............................. Règlement Général sur la Protection des Données
TFUE .............................. Traité sur le Fonctionnement de l'Union européenne
UE .................................... Union Européenne
PIDCP ............................ Pacte International relatif aux Droits Civils et Politiques de l’Organisation des Nations Unies
p. ..................................... Page(s)
suiv. ................................. Suivant(s)(e)(es)
— 11 —
INTRODUCTION
— 12 —
« La société de l’information, dans sa globalité et son approche planétaire des phénomènes, porte en effet les mêmes dangers que les autres activités humaines, dont toutefois elle peut décupler les effets. »
Elisabeth Guigou
Colloque « Internet et le droit » - Septembre 2000
Après s’être blessé à l’école militaire, un jeune patriote idéaliste doit revoir ses ambitions et
choisit de servir les Etats-Unis d’une autre manière. Grâce à ses prouesses informatiques, il
devient analyste sous-traitant pour la NSA pour laquelle il identifie les pirates du cyberespace.
Il découvre alors que le gouvernement américain procède à une surveillance massive de la
population mondiale avec la complicité de certaines entreprises américaines. Ainsi, toutes les
télécommunications et données personnelles transitant sur la toile sont susceptibles d’être
consultés par les services d’espionnage des Etats-Unis. Choqué par l’ampleur de la surveillance
et conscient des dérives éthiques qu’impliquent l’intrusion dans la vie privée de chacun, il
décide de rassembler des preuves et de dévoiler au monde entier cette terrible histoire
d’espionnage. Commence alors une traque pour l’homme pouvant faire trembler la plus
grande puissance mondiale et pour qui seul l’exil est désormais envisageable.
Voilà ce que pourrait être le synopsis d’un nouveau film d’action et qui l’a d’ailleurs été1.
Néanmoins, la réalité dépasse la fiction puisqu’il s’agit de la propre histoire d’Edward
Snowden. Cette affaire a pu confirmer les craintes de la population envers un potentiel Big
Brother, c’est-à-dire l’existence d’une surveillance de la population via Internet.
C’est pourtant l’usage même d’Internet par les internautes qui peut aboutir à la violation de
leur vie privée. En effet, sans avoir conscience de la portée des informations qu’ils donnent ou
bien sans volonté de leur part, les internautes peuvent laisser des traces de nature diverse
(géolocalisation, noms de famille, numéro de téléphone, etc…) permettant leur identification2.
La prise de conscience collective vis-à-vis des enjeux impliquant les droits de l’Homme et
notamment le respect à la vie privée, a contribué à la construction d’un arsenal juridique au
sein de l’Union européenne. C’est d’ailleurs l’état français, précurseur à l’époque, qui a posé la
première pierre de l’édifice du cadre de protection des données à caractère personnel grâce à la
loi 78-17 du 6 janvier 1978 « relative à l'informatique, aux fichiers et aux libertés » (la naissance
de cette loi sera retracée par un bref historique).
1 BERNET David, Democracy, GIELNIK Arek et OTTO Sonia, 12 novembre 2015.
2 Une donnée à caractère personnel ou dite donnée personnelle est « Toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement » art. 2 de la loi « Informatique et libertés »
— 13 —
Suite à cela, d’autres dispositions sont venues compléter le cadre de protection des données
à caractère personnel, confrontés à la difficulté suivante : concilier protection des individus et
climat juridique propice au développement technologique.
Dernier en date, le règlement général sur la protection des données personnelles a été
adopté le 14 avril dernier. Celui-ci se présente comme apportant un niveau élevé et uniforme
de protection des données personnelles à travers l’UE tout en attribuant des droits forts aux
consommateurs et en garantissant une concurrence loyale à l’ère du numérique.
On peut alors se demander si le règlement général sur la protection des données
personnelles vient remettre en cause le modèle français en matière de protection des données.
Afin d’y répondre, il est nécessaire de présenter dans un premier temps le cadre général de
protection en France tout en étudiant les possibles sources vectrices de changements (I) avant
d’analyser l’impact du règlement général sur la protection des données personnelles dans sa
forme et dans son fond (II).
— 14 —
PARTIE I.
LE MODELE FRANÇAIS EN MATIERE DE PROTECTION
DES DONNEES A CARACTERE PERSONNEL
— 15 —
— 16 —
CHAPITRE I.
PRESENTATION DU CADRE GENERAL DE PROTECTION DES
DONNEES A CARACTERE PERSONNEL EN FRANCE
La naissance de la loi « Informatique et libertés » intervient dans contexte particulièrement
agité. En effet, un projet d’interconnexion des fichiers administratifs désigné par l’acronyme
SAFARI (Système Automatisé pour les fichiers administratifs et Répertoires des Individus)
avait été mis à jour en 1974 par Philippe Boucher, journaliste. Ce projet, fruit des travaux de
l’équipe de Raymond Marcelin à l’époque Ministre de l’Intérieur, avait été ainsi révélé dans les
colonnes du Monde alors que Jacques Chirac venait d’être nommé lui-même à ce poste dans le
gouvernement de Pierre Messmer.
Cette découverte provoqua un vif tollé de l’opinion publique, faisant écho à des pratiques
condamnables perpétuées sous l’administration vichyssoise. En réaction à ce scandale, un
travail parlementaire avait alors été entrepris sous la supervision du Garde des sceaux Jean
Lecanuet et, dont l’apport principal reste le rapport du Conseiller d´Etat Bernard Tricot. La loi
« Informatique et libertés » sera finalement votée le 6 janvier 1978, érigeant la France comme
une nation garante des libertés individuelles et actant de manière fondatrice un premier cadre
de protection des données personnelles.
Il est intéressant de constater que l’émergence de ces projets liés à la protection des
données intervient toujours suite à des atteintes, potentielles ou avérées, à la vie privée comme
l’affaire Prism, qui a, entre autres, contribué à la réforme du cadre de protection des données
personnelles au sein de l’UE.
Ce premier chapitre de ce mémoire sera consacré à la présentation du cadre général de
protection des données à caractère personnel français, qui a su s’imposer comme un modèle
novateur à part entière à l’époque et qui a invité à un mouvement de réflexion autour de la
législation englobant ce thème.
— 17 —
SECTION I.
LA LOI « INFORMATIQUE ET LIBERTES », UN ACTE FONDATEUR
La loi « Informatique et Libertés » du 6 janvier 1978 pose les premières pierres de l’édifice
juridique en matière de protection des données personnelles à travers trois grands thèmes.
Tout d’abord, elle institue la CNIL en tant que gardienne des données personnelles en lui
conférant un statut particulier et en lui attribuant de larges prérogatives. Ensuite, elle met à la
charge du responsable de traitement de nombreuses obligations pour que le traitement soit
effectué dans le respect de la législation. Enfin, elle reconnaît des droits spécifiques au citoyen,
soit la personne concernée par le traitement de données personnelles afin qu’il puisse
contrôler à minima le sort de ces données.
§ 1. PLACE PRIMORDIALE DE LA COMMISSION NATIONALE DE
L'INFORMATIQUE ET DES LIBERTES
La CNIL est le principal acteur de la régulation en matière de données personnelles en
France. Créée en 1978 suite à l’adoption de la loi « Informatique et libertés »3, il s’agit de la
toute première AAI en France. Si d’autres instances similaires telles que la Datainspektion
suédoise et le commissaire à la protection des données du Länd de Hesse d’Allemagne ont vu
le jour auparavant, elle reste reconnue comme l’une des autorités indépendantes de contrôle
de la protection des données personnelles les plus précurseurs en Europe.
Les AAI ne répondent à aucune acception précise tant leur structure et leur champ d’action
hétéroclites diffèrent mais celles-ci sont toutes chargées d’une mission de service d’intérêt
général par le législateur dans un secteur distinct et fonctionnent en toute indépendance, sans
recevoir d’instructions de la part des autorités publiques. On peut notamment évoquer le CSA,
l’ARCEP ou encore l’ARJEL.
Bien qu’autonome, la CNIL répond tout de même au contrôle de la Cour des Comptes et
dispose d’un budget défini chaque année par vote du Parlement. Certains de ses actes peuvent
également faire l’objet d’un contrôle par le Conseil d’Etat.
Au-delà des 195 agents contractuels travaillant dans les différents services la composant
(services des contrôles, services des sanctions par exemple), la CNIL est constituée d’un
collège pluridisciplinaire4 de 18 membres nommés par secteur d’activité (quatre
parlementaires, deux membres du Conseil économique, social et environnemental, six
représentants des Hautes juridictions ainsi que cinq personnalités qualifiées) appelés «
commissaires » parmi lesquels est élu un président, actuellement Madame Isabelle Falque-
3 Correspondant Informatique et Libertés Centre National de la Recherche Scientifique, « Origine de la loi
Informatique et Libertés », 15 novembre 2012, [http://www.cil.cnrs.fr/CIL/spip.php?article1871].
4 Voir annexes figure 1
— 18 —
Pierrotin. Ces « commissaires » sont élus pour un mandat d’une durée de cinq ans
renouvelable une fois (art. 13 de la loi « Informatique et libertés »). Cette diversité de
composition et d’organisation permet notamment de sauvegarder l’indépendance nécessaire à
son statut et à son bon fonctionnement.
L’art. 11 de la loi « Informatique et libertés » du 6 janvier 1978 définit les missions de la
CNIL comme suivant :
« 1° Elle informe toutes les personnes concernées et tous les responsables de traitements de leurs droits et obligations ;
2° Elle veille à ce que les traitements de données à caractère personnel soient mis en œuvre conformément aux dispositions de la présente loi. »
La CNIL a été instituée en vue de sensibiliser les citoyens à la question des données
personnelles et ce, notamment via l’exercice de leurs droits ainsi que d’assister les
professionnels (du service public comme privé) dans leurs démarches de mise en conformité
des traitements. Elle effectue également une veille technologique et juridique vis-à-vis des
innovations impactant la vie privée et collabore avec des institutions homologues pour
élaborer un cadre global de protection.
Ses missions principales se déclinent ainsi en quatre grands thèmes énoncés à l’art. 11 de la
loi « Informatique et libertés ».
Premièrement, elle vise à informer et protéger les particuliers et les professionnels dans
l’exercice de leurs droits ainsi qu’à répondre à leurs demandes en termes de de données
personnelles. Pour cela, la CNIL élabore des ateliers et des conférences visant à la
sensibilisation et à la formation du public à l’utilisation des technologies impliquant les
données personnelles.
Deuxièmement, la CNIL accompagne et conseille les professionnels dans le traitement des
données. Elle met d’ailleurs à leur disposition des outils comme des packs de conformité
sectoriels ou encore des certifications. C’est dans cette démarche d’accompagnement que la
CNIL rend des décisions à valeur réglementaire par l’adoption de délibérations publiées au
Journal officiel pouvant faire l’objet d’un recours pour excès de pouvoir devant le Conseil
d’Etat.
D’autres instruments comme la formulation d’avis sur des projets de loi ou de décret,
d’autorisations pour les traitements les plus sensibles, de recommandations fixant une
doctrine, et de textes-cadres juridiques simplifiant les formalités déclaratives sont autant de
moyens que la CNIL utilise dans sa mission d’accompagnement et d’assistance. Elle est aussi
force de proposition et de consultation devant le Gouvernement, comme elle l’a démontré
— 19 —
dernièrement en rendant un avis sur la loi pour une République numérique5 après consultation
et est en étroite collaboration avec ses homologues européens.
Troisièmement, la CNIL dispose d’un pouvoir de contrôle et de sanction relatif aux
responsables des traitements. En effet, il s’agit de l’une des rares AAI disposant d’un réel
pouvoir de sanction.
À ce titre, elle instruit les déclarations de traitements et délivre selon la procédure des
récépissés, autorisations ou avis. Elle établit aussi une liste déclarative des traitements
consultable par le public. Elle peut contrôler, sur place ou en ligne, la bonne mise en
conformité des traitements avec la loi et peut ainsi perquisitionner des locaux professionnels,
recueillir et accéder à des informations considérées comme utiles.
A l'issue de ces missions de contrôle ou de plaintes, la CNIL peut adresser divers types de
sanctions parmi lesquelles l’avertissement, l’injonction de cesser le traitement, le retrait de
l’autorisation accordée préalablement ou la sanction pécuniaire pouvant monter jusqu’à
150.000 €, et, en cas de récidive, jusqu’à 300.000 €. En cas d'urgence et d'atteinte aux droits et
libertés, la CNIL peut prendre des mesures complémentaires et, si cette atteinte s’avère grave
et immédiate, il alors peut être demandé à la juridiction compétente d’ordonner toute mesure
nécessaire par référé et les infractions à la loi peuvent être dénoncées au Procureur6.
Enfin, la CNIL anticipe et étudie les nouveaux usages numériques par une veille
technologique et juridique. Le dispositif du laboratoire d’innovation numérique de la CNIL
permet ainsi de participer à l’action de réflexion, de partage concernant les implications
techniques, éthiques et sociétales des évolutions et les innovations numériques impliquant
l’utilisation de data au sens large. Ce laboratoire contribue également à l’élaboration de normes
et de labellisations vis-à-vis de ces nouvelles technologies en relation avec les entreprises.
Cependant, celle-ci n’est pas exempte de toutes critiques. En effet, certains n’hésitent pas à
dénoncer ses lenteurs administratives et ce en particulier pour l’instruction de demandes
d’autorisation comme l’explique Guillaume Desgens-Pasanau7.
Cela peut notamment s’expliquer par un budget et une force de travail limités8 face au
nombre croissant de délibérations, de contrôles et de demandes. Entre 2015 et 2017, la seule
demande d’accès au fichier de traitement des antécédents judiciaires a augmenté de 33%9.
5 Loi n° 2016-1321 pour une République numérique, 7 octobre 2016.
6 C. pén., art. 226-16 - 226-24.
7 DESGENS-PASANEAU Guillaume, La protection des données personnelles, LexisNexis, 2e édition, décembre 2015, p.95.
8 Journal officiel (Questions réponses) Sénat, Question écrite n° 11356 de Mme Anne-Marie Escoffier, 17 décembre 2009, p. 2910.
— 20 —
À titre de comparaison, l’Information Commission Office10, équivalent britannique de la
CNIL emploie près de 400 personnes contre seulement 195 pour la CNIL.
Pour pallier ce manque de moyens financiers, la CNIL a évoqué à plusieurs reprises la
possibilité de recourir à un financement privé via des cotisations obligatoires pour les entités
traitant des données personnelles, sans aboutissement11.
Par ses spécificités, la CNIL a su s’imposer comme ayant un rôle essentiel dans la
protection des libertés individuelles des citoyens. Toutefois, la loi « Informatique et libertés »
du 6 janvier 1978 ne peut se résumer à la seule action de la CNIL, car celle-ci crée des
obligations à la charge du responsable de traitement et vient reconnaître des droits aux
personnes dont les données personnelles sont traitées.
§ 2. OBLIGATIONS INCOMBANT AU RESPONSABLE DE TRAITEMENT
Le responsable de traitement des données personnelles est un agent à part entière du
contrôle de la protection de celles-ci auquel incombe un nombre d’obligations. En effet, il
veille au respect de la loi « Informatique et libertés » du 6 janvier 1978 modifiée le 6 août 2004
en déclarant les traitements sous sa responsabilité au CIL et à la CNIL le cas échéant ainsi que
leur modification, conservation ou suppression. Si la définition précise du responsable de
traitement ne faisait pas partie de la loi « Informatique et libertés » du 6 janvier 1978, la
transposition de la directive 95-46 du 24 octobre 1995 est venue préciser la notion en
modifiant l’art. 3 de la loi « Informatique et libertés » du 6 janvier 1978 aux termes duquel le
responsable du traitement est « sauf désignation expresse par les dispositions législatives ou réglementaires
relatives à ce traitement, la personne, l'autorité publique, le service ou l'organisme qui détermine ses finalités et
ses moyens ». Son identification est essentielle pour l’application de la loi « Informatique et
libertés » du 6 janvier 1978 modifiée le 6 août 2004 (Art. 5), notamment en cas de
manquement ou d’infractions car sa responsabilité pénale est engagée12.
La loi « Informatique et libertés » vient ainsi définir les principes à respecter lors de la
collecte, du traitement et de la conservation de données personnelles, des obligations à la
charge du responsable du traitement.
9 Commission Nationale de l'Informatique et des Libertés, « Rapport d’activité 2016 », 2016,
[https://www.cnil.fr/sites/default/files/atoms/files/cnil-37e_rapport_annuel_2016.pdf].
10 Information Commissioner’s Office, « History of the ICO », [https://ico.org.uk/about-the-ico/our-information/history-of-the-ico/].
11 DUMOUT Estelle, « Alex Türk, Cnil : "La Cnil devrait être financée par les entreprises et les administrations" », ZDNet.fr, 28 février 2008, [http://www.zdnet.fr/actualites/alex-turk-cnil-la-cnil-devrait-etre-financee-par-les-entreprises-et-les-administrations-39379100.htm].
12 C. pén., art. 226-16 - 226-24.
— 21 —
i. Assurer une collecte de données régulière
Pour qu’une collecte de données personnelles soit régulière, le responsable du traitement
doit tout d’abord s’assurer de sa loyauté et de sa licéité. La licéité de la collecte correspond à sa
conformité avec la loi « Informatique et libertés ». La première obligation du responsable du
traitement est donc d’obtenir le consentement préalablement à la collecte de données (Art. 7).
Cette contrainte faite au responsable de traitement assure le renforcement de la protection des
données de la personne concernée. Cependant, la loi « Informatique et libertés » du 6 janvier
1978 prévoit des exceptions, encadrées, à la nécessité du recueil du consentement de la
personne concernée par le responsable du traitement. Par exemple, la sauvegarde de la vie de
la personne concernée, propre aux traitements médicaux peut être invoquée pour contourner
ce principe.
Il est d’ailleurs interdit de recueillir et d'utiliser ces données dites sensibles (des
informations qui révèlent les origines raciales ou ethniques, les opinions politiques,
philosophiques ou religieuses, l'appartenance syndicale, la santé ou la vie sexuelle d'une
personne).
En effet, aux termes de l’art. 8 I de la loi « Informatique et libertés », il est interdit pour le
responsable du traitement de collecter ou de traiter des données à caractère personnel qui font
apparaître, directement ou indirectement, les origines raciales ou ethniques, les opinions
politiques, philosophiques ou religieuses ou l’appartenance syndicale des personnes, ou qui
sont relatives à la santé ou à la vie sexuelle de celles-ci. Cet attachement à renforcer la
protection de ce type de données s’explique par le fort risque d’atteinte aux droits et libertés
fondamentales de la personne concernée. Cependant, un régime dérogatoire prévoit de
nombreuses exceptions déclinées à l’art. 8 II de la loi « Informatique et libertés » où la finalité
du traitement exige certains types de données. Il s’agit par exemple des traitements nécessaires
à la constatation, à l’exercice ou à la défense d’un droit en justice ou traitements statistiques
réalisés par l’INSEE. D’autres données à risque bénéficient d’une protection particulière sans
pour autant être considérées comme sensibles. Ainsi, les données relatives aux infractions,
condamnations et mesures de sûreté peuvent être uniquement traitées par les juridictions,
certaines autorités publiques, des auxiliaires de justice et la personne morale victime dans le
cadre de la défense de ses intérêts. Quant au numéro de sécurité sociale attribué à chaque
personne à sa naissance, sa nature identifiante porte de tels risques que son utilisation est
limitée à la sphère « santé-social-travail » et fait systématiquement faire l’objet d’une
autorisation préalable de la CNIL.
En ce qui concerne la loyauté, celle-ci est plus complexe à appréhender car il n’existe pas de
définition légale. Néanmoins, il semble que la loyauté passe par le fait d’informer l’internaute
de la finalité de la collecte de données, de l’identité du collecteur, des destinataires des données
— 22 —
et des droits dont il dispose sur la collecte (opposition, rectification et accès). Dans ce cas, une
collecte indirecte de données est, sauf exceptions (par exemple dans le cadre d’une opération
de parrainage sous respect d’un code conduite13), en principe prohibée.
La finalité est l’objectif principal d’une collecte de données personnelles comme l’utilisation
de données pour des processus de recrutement. Pour respecter le principe de finalité, seules
les données strictement nécessaires (principe de minimisation) à la réalisation de l’objectif
doivent être collectée dans un but déterminé et non plus que ce qui s’avère nécessaire, ni pour
satisfaire un autre objectif (Art. 6 2°).
Enfin, ces données doivent être exactes et mises à jour et ne pas être conservées au-delà de
ce qui est nécessaire vis-à-vis de la finalité du traitement.
ii. Déclaration des fichiers à la CNIL
Suite à la collecte et avant leur mise en œuvre, les traitements de données personnelles
doivent être déclarés à la CNIL. On compte quatre cas spécifiques, à savoir les dispenses de
déclaration, la déclaration normale, la déclaration simplifiée et les autres formalités
particulières (autorisation ou avis de la CNIL).
Tout traitement de données personnelles doit donc être déclaré préalablement à sa mise en
œuvre. La procédure de déclaration prend différentes formes selon le fichier concerné.
Certains traitements sont dispensés de déclaration sur décision de la CNIL. Il s’agit par
exemple des fichiers de membres et donateurs d’une association ou de sites internet
personnels.
La déclaration normale relève quant à elle du régime de droit commun et est indiquée
lorsque le fichier ne relève pas d’une procédure particulière. Aux termes de l’art. 22 de la loi «
Informatique et libertés », la déclaration comporte l’engagement que le traitement satisfasse
aux exigences de la loi et comporte des informations détaillées sur les caractéristiques du
traitement. La déclaration se faisant par voie électronique, le traitement peut être mis en œuvre
dès réception du récépissé de la CNIL attestant de la conformité avec les formalités de
déclaration prévues.
Certains traitements peuvent faire l’objet d’une déclaration simplifiée s’ils sont conformes à
une norme, une méthodologie de référence, un avis ou une autorisation de la CNIL. En effet,
ces traitements des plus courants n’emportant que très peu de risques, ils bénéficient d’une
13 Commission Nationale de l'Informatique et des Libertés, Délibération n°2005-051 portant avis sur un
projet de code de conduite présenté par l'Union Française du Marketing Direct FMD) sur l'utilisation de coordonnées électroniques à des fins de prospection directe, 30 mars 2005.
— 23 —
procédure allégée par rapport au droit commun tel que la norme simplifiée n°48 relative aux
fichiers de clients et prospects14.
En outre, un régime d’autorisation supplémentaire à la déclaration peut être mis en place
lorsque le traitement implique des données sensibles, à risque ou si la finalité du traitement de
données est spécifique15.
Enfin, les art. 26 et 27 de la loi « Informatique et libertés » prévoit que certains traitements
mis en œuvre par des organismes publics ou des organismes privés gérant un service public,
doivent préalablement recueillir l’avis de la CNIL. Il s’agit par exemple des traitements
concernés la sûreté, la défense ou la sécurité publique ou l’utilisation de données biométriques
(empreintes digitales, contour de la main, etc.).
À compter de la réception de la demande d’avis ou d’autorisation, la CNIL doit se
prononcer dans les deux cas dans un délai de deux mois. À expiration du délai, l’avis est réputé
favorable alors que la demande d’autorisation est, elle, réputée rejetée. Ce délai peut cependant
être prolongé sur décision motivée du Président de la CNIL.
iii. Sécuriser ses bases de données et assurer la confidentialité des
données
Le responsable de traitement doit également, aux termes de l’art. 43 de la loi « Informatique
et libertés », prendre toutes précautions utiles, au regard de la nature des données et des
risques présentés par le traitement, pour préserver la sécurité des données et, notamment,
empêcher qu'elles soient déformées, endommagées, ou que des tiers non-autorisés y aient
accès. Cette obligation de sécurité se traduit par la sécurisation des bases de données par des
mesures physiques (système de fermeture) ou informatiques (comme la cryptologie via le
chiffrement des données). Celles-ci peuvent varier en fonction des risques pesant sur ce
fichier, notamment s’il s’agit de données sensibles. De plus, cette obligation de sécurité s’étend
également aux sous-traitants avec lequel le responsable du traitement est amené à travailler
depuis la directive 95-46 du 24 octobre 1995. Ces derniers doivent donc offrir des garanties
suffisantes relatives aux mesures de sécurité. Enfin, le responsable du traitement s’engage à
assurer la confidentialité des données, sous peine d’être pénalement condamné16.
14 Commission Nationale de l'Informatique et des Libertés, norme simplifiée n° NS-048.
15 Voir annexes figure 2
16 C. pén., art. 226-16 - 226-24.
— 24 —
iv. Assurer le respect des droits des personnes concernées
Le responsable du traitement possède également l’obligation d’assurer l’exercice des droits
des personnes concernées. En effet, les personnes disposent de droits qu’elles peuvent exercer
auprès de l’organisme qui détient ces données le concernant : un droit d’accéder à ces
données, de pouvoir les rectifier, de s’opposer à leur utilisation (voir ci-après).
Il apparaît ainsi que les obligations du responsable du traitement aient été pensées en
amont pour garantir les droits de la personne concernée par le traitement de données.
§ 3. ATTRIBUTION DE DROITS A LA PERSONNE CONCERNEE
Le rôle de contrôle est également assuré par la personne concernée, dont les données
personnelles font l’objet d’un traitement. En effet, la personne fichée dispose de droits
spécifiques permettant d’assurer la protection de ses données.
Premièrement, la personne doit être préalablement informée aux termes de l’art. 32 de la loi
« Informatique et libertés » par le responsable du traitement ou son représentant de plusieurs
indications spécifiques telles que l’identité du responsable de traitement, la finalité du
traitement ou encore l’identité des destinataires des données récoltées. Après avoir reçu ces
informations, la personne fichée doit donner son accord express (Art. 2 de la directive 95-46 du
24 octobre 1995) à ce que les données récoltées par le responsable du traitement fassent l’objet
d’un traitement. Bien qu’indiquée à l’art. 7 de la loi « Informatique et libertés », l’obligation de
consentement est en pratique limitée à certaines situations prévues par la loi telle que la
collecte de données dites sensibles et peut s’opérer par l’intermédiaire d’une case à cocher ou
d’une mention visible. Le cas échéant, l’art. 7, prévoit plusieurs exceptions permettant de
contourner cette obligation de consentement notamment si elle relève de la réalisation de
l’intérêt légitime poursuivi par le responsable du traitement ou par le destinataire, sous réserve
de ne pas méconnaître l’intérêt ou les droits et libertés fondamentaux de la personne
concernée.
Une fois ces données traitées, un droit d’accès est accordé à la personne concernée. En
effet, sous réserve de remplir certaines conditions définies à l’art. 40, celle-ci peut, sur
demande au responsable de traitement, accéder aux données traitées la concernant. Une fois
portées à sa connaissance, une action supplémentaire à ce simple droit d’accès peut être
entreprise par la personne concernée si celle-ci désire rectifier ses données. Cette rectification
prend plusieurs formes et va de la simple rectification, au complément jusqu’à l’effacement
total des données la concernant si elles s’avèrent inexactes, incomplètes, équivoques, périmées
ou dont la collecte, l’utilisation, la communication ou la conservation est interdite.
La personne concernée est également fondée à s’opposer, sans frais, à ce que les données la
concernant soient utilisées à des fins de prospection, notamment commerciale, par le
— 25 —
responsable actuel du traitement ou celui d’un traitement ultérieur. De plus, elle est également
fondée à s’opposer si des « motifs légitimes » le justifient. Ceux-ci s’apprécient au cas par cas à la
lumière de chaque situation.
Enfin, s’agissant du droit au déréférencement, plus généralement appelé droit à l’oubli, il a
été consacré par l’évolution jurisprudentielle et notamment par la décision du 13 mai 2014 dite
Google Spain17. Dans cette affaire, la CJUE a contraint les sociétés GOOGLE INC. et GOOGLE
Spain à supprimer de la liste de résultats d’une recherche effectuée sur un moteur de recherche
à partir du nom d’une personne, des liens vers des pages web contenant des informations
relatives à cette personne.
Si la France a garanti cette avancée dans la protection des données personnelles par l’art. 54
de la loi du 7 octobre 2016 pour une République Numérique selon lequel « Toute personne dispose
du droit de décider et de contrôler les usages qui sont faits des données à caractère personnel la concernant, dans
les conditions fixées par la présente loi », les contours de ce droit à l’oubli restent incertains. En
effet, avant de statuer sur plusieurs affaires de déréférencement le Conseil d’Etat a saisi la
CJUE de plusieurs questions préjudicielles dont la réponse est nécessaire à la résolution des
litiges. Ces questions s’articulent notamment autour du statut du moteur de recherche
exploitant en tant que responsable de traitement et sur les obligations de déréférencement
pesant sur les exploitations de moteurs de recherche lorsque ces informations sont contenues
dans des articles de presse18.
De même, sa portée est limitée car si le contenu en faute est déréférencé celui-ci reste
toujours consultable sur le site source. Ces difficultés s’expliquent par l’équilibre délicat entre
ce droit au déréférencement et le droit à la liberté d’information et à l’accès à l’information.
L’entrée en vigueur du RGPD consacrant l’article 17 ce droit à l’oubli (voir partie § 2.
Renforcement.) viendra certainement en éclaircir les perspectives.
Ainsi, la loi « Informatique et libertés » a souhaité que l’un des opérateurs principaux de la
protection des données personnelles soit la personne concernée elle-même en lui procurant un
éventail de droits.
Dès lors, la loi « Informatique et libertés », a mis en évidence le rôle de deux agents, le
responsable du traitement et la personne concernée par celui-ci, au centre de la protection des
données personnelles dans un esprit d’équilibre entre optimisation de l’usage des données
pour l’un et droits et libertés fondamentales pour l’autre.
17 Cour de Justice de l’Union européenne (grande chambre), 3 mai 2014, Google Spain SL et Google Inc.
contre Agencia Española de Protección de Datos (AEPD) et Mario Costeja González, Demande de décision préjudicielle introduite par l'Audiencia Nacional, C-131/12.
18 Conseil d'État, Assemblée, 24 février 2017, 391000.
— 26 —
En définitive, la loi 78-17 du 6 janvier 1978, « relative à l'informatique, aux fichiers et aux
libertés », ou plus couramment appelée « Loi Informatique et libertés », a été et demeure le
texte fondateur de la protection des données personnelles en France. Elle organise la
protection des données des citoyens face aux fichiers, autour de plusieurs principes ; elle
définit les critères de conformité et instaure un organe de contrôle qu’est la CNIL.
— 27 —
SECTION II.
REACTION DE L’UNION EUROPEENNE ET DE LA COMMUNAUTE
INTERNATIONALE
Sous l’impulsion de la loi « Informatiques et Libertés » et du vif débat suscité par la relation
houleuse entre informatique et liberté, de nouvelles sources juridiques ont fait leur apparition,
tant au niveau de l’UE qu’au niveau international, grâce à des textes de nature et de force
différentes.
§ 1. DEVELOPPEMENT DES SOURCES DE L’UNION EUROPEENNE
Le TFUE a introduit le 1er décembre 2009 le principe selon lequel toute personne a droit à
la protection des données à caractère personnel la concernant en son art. 16.
L’entrée en vigueur du traité de Lisbonne a également permis de clarifier le système de
protection des données en associant de nouveaux pouvoirs au Parlement européen au
paragraphe du même art. en prévoyant que « le Parlement européen et le Conseil, statuant
conformément à la procédure législative ordinaire, fixent les règles relatives à la protection des personnes
physiques à l'égard du traitement des données à caractère personnel par les institutions, organes et organismes de
l'Union, ainsi que par les États membres dans l'exercice d'activités qui relèvent du champ d'application du
droit de l'Union, et à la libre circulation de ces données. Le respect de ces règles est soumis au contrôle
d'autorités indépendantes ».
L’intégration de la Charte des Droits Fondamentaux adoptée le 7 décembre 2000 au titre de
l’art. 6 du traité sur l’UE a également permis la consécration explicite de la protection des
données personnelles en son art. 8 aux termes duquel « 1. Toute personne a droit à la protection des
données à caractère personnel la concernant. 2. Ces données doivent être traitées loyalement, à des fins
déterminées et sur la base du consentement de la personne concernée ou en vertu d'un autre fondement légitime
prévu par la loi. Toute personne a le droit d'accéder aux données collectées la concernant et d'en obtenir la
rectification. 3. Le respect de ces règles est soumis au contrôle d'une autorité indépendante. » Dans le même
temps, le traité de Lisbonne lui a assuré une valeur juridique contraignante ce qui implique que
tous les Etats membres et les institutions, organes et autres agences de l’UE ont à respecter
l’art. 8 de cette Charte. Dès lors, celle-ci peut être invoquée par tout Etat membre ou la
Commission européenne devant la CJUE.
Sous l’impulsion des Etats membres, et particulièrement de la France dont le modèle était
alors précurseur, l’UE a voulu se doter d’un cadre de protection des données personnelles par
l’adoption de la directive 95-46 du 24 octobre 1995 relative à la protection des personnes
— 28 —
physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de
ces données qui a été transposée en France par la loi du 6 août 2004.
Il s’agit de la première source de l’UE établissant un socle commun à tous les Etats
membres, qui, alors, étaient à divers stades d’avancement en matière de protection des
données personnelles.
Elle a permis de définir la notion de données à caractère personnel et a posé plusieurs
grands principes dont la légitimation du traitement (vis-à-vis de sa finalité), le type de données
autorisées à être récoltées, le droit d'accès des personnes à leurs données, leur consentement à
la collecte des données et leur droit d'opposition, ainsi que la confidentialité et la sécurité des
traitements.
Depuis, plusieurs actes sont venus s’ajouter à cette directive dont le règlement du 18
décembre 2000, relatif à la protection des personnes physiques à l'égard du traitement des
données à caractère personnel par les institutions et organes de la Communauté et à la libre
circulation des données ; la décision du 15 juin 2001, relative aux clauses contractuelles types
pour le transfert de données à caractère personnel vers des pays tiers en vertu de la directive
95/46/CE ; la décision du 27 décembre 2004, modifiant celle de 2001, en ce qui concerne
l'introduction d'un ensemble alternatif de clauses contractuelles types pour le transfert de
données à caractère personnel vers de pays tiers ; la directive du 12 juillet 2002, concernant le
traitement des données à caractère personnel et la protection de la vie privée dans le secteur
des communications électroniques ; le rapport de la Commission du 15 mai 2003 intitulé
« Premier rapport sur la mise en œuvre de la directive relative à la protection des données
(95/46/CE) » ; la communication de la Commission du 7 mars 2007, intitulée « Suivi du
Programme de travail pour une meilleure mise en application de la directive sur la protection
des données ».
En vertu de l’article 29 de la directive 95-46 du 24 octobre 1995 sur la protection des
données et la libre circulation de celles-ci, un groupe de travail appelé G29, regroupant les
représentants de chaque autorité de contrôle de l’UE sur la protection des données (soit les
équivalents de la CNIL) et de quelques représentants d’autorités de l’UE (un représentant de la
Commission européenne par exemple) a été institué. Il s’agit d’un organe consultatif européen
indépendant ayant plusieurs missions.
Tout d’abord, il veille à l’harmonisation au niveau de l’UE en analysant les transpositions
nationales des directives. Deuxièmement, il contribue à l’élaboration des normes européennes
en adoptant des recommandations. Troisièmement, il conseille la Commission européenne en
assurant une veille sur tout projet pouvant impacter la protection des données personnelles et
les libertés des personnes physiques. Enfin, il rend des avis sur le niveau de protection dans
les pays tiers ne faisant pas partie de l’UE tels que la Norvège, l’Islande et le Lichtenstein.
— 29 —
Le G29 se réunit environ tous les deux mois à Bruxelles en session plénière. Sa présidence
est actuellement assurée par la Présidente de la CNIL dont le mandat expirera en février 2018.
Son rôle consiste à coordonner les actions du groupe, planifier les sessions plénières et en
mener les débats ainsi que d’assurer le suivi des documents édictés par le G29 et de
représenter ce dernier au niveau communautaire et international.
Quant à l’art. 31, il instaure un Comité composé des représentants des Etats membres et
présidé par le représentant de la Commission qui assiste la Commission.
Une autre structure a été instituée à l’occasion du règlement (CE) nº 45/2001 dont le
chapitre V en définit les fonctions ainsi que son statut : le contrôleur européen à la protection
des données.
Il s’agit d’une autorité de contrôle indépendante. Celle-ci est dirigée par un contrôleur,
(Monsieur Giovanni Buttarelli) assisté d’un contrôleur adjoint (Monsieur Wojciech
Wiewiórowski) et est composée d’un groupe de professionnels dont des juristes, des
informaticiens et administrateurs.
Cette autorité vise à contrôler et assurer la protection des données personnelles et de la vie
privée au sein des institutions et des organes de l’UE en préconisant les bonnes pratiques à la
matière. Cet objectif principal se décline en plusieurs missions. Tout d’abord, elle contrôle les
traitements de données personnelles effectués par l’administration de l’UE. Elle conseille
également les institutions et organes de l’UE quant au traitement de données personnelles et
est consultée lors des propositions de législation et autres évolutions politiques. Elle effectue
une veille concernant les nouvelles technologies susceptibles d’affecter la protection des
informations personnelles. Enfin, il joue un rôle d’expert auprès de la CJUE afin d’aider à
l’interprétation de la législation relative à la protection des données et coopère avec les
différentes autorités nationales de contrôle et d’autres organes afin d’établir un cadre cohérent
en matière de protection des informations personnelles (elle siège notamment au sein du
G29).
L’apport de cette directive a donc constitué une étape majeure dans le développement d’un
cadre global et commun de protection des données personnelles au sein de l’UE mais n’a été
que partiellement impactant pour la législation française dont le modèle construit par la loi
« Informatique et libertés » du 6 janvier 2018 avait déjà établi une base solide en la matière et
demeurait inchangée depuis plusieurs décennies.
— 30 —
§ 2. DEVELOPPEMENT DES SOURCES INTERNATIONALES
Suite à la loi « Informatique et libertés » du 6 janvier 1978, de nombreuses sources
internationales se sont, elles aussi, développées. Certaines n’ont pris leur sens qu’à partir du
moment où la question des données personnelles a été abordée car elles ne prévoyaient pas
explicitement leur protection mais l’incluaient sans le savoir. D’autres, en revanche, ont suivi le
modèle construit par la France en reprenant des concepts-clé de la loi « Informatique et
libertés » du 6 janvier 1978 sans pour autant imposer un cadre juridique contraignant.
Il existe plusieurs conventions internationales relatives à la protection des données. La
DUDH a été le premier texte international à consacrer le droit général au respect de la vie
privée (art. 12) en 1948. Construction jurisprudentielle, la notion de vie privée est définie
comme « l'intimité de l'être humain en ses divers éléments afférents notamment à sa vie familiale, à sa vie
sentimentale, à son image ou à son état de santé, qui doivent être respectés en ce qu'ils ont trait à l'aspect le plus
secret et le plus sacré de la personne »19. À la lumière des pratiques d’aujourd’hui, ce concept peut
être entendu comme incluant la protection des données personnelles car celles-ci en
permettant, partiellement ou non, d’identifier des personnes ou d’y rattacher des éléments
précédemment évoqués, relèvent de l’ordre du privé, de l’intime. Ce texte n’emporte pas de
valeur juridique contraignante mais relève plutôt de l’ordre moral et n’a qu’une valeur
déclarative.
Un autre de ces textes afférant à la vie privée est la Conv. EDH signée entre les Etats
membres du Conseil de l'Europe le 4 novembre 1950. Son art. 8 dispose que « toute personne a
droit au respect de sa vie privée et familiale, de son domicile et de sa correspondance ». Dans la même lignée,
PIDCP de l’Organisation des Nations Unies du 16 novembre 1966 érige le droit à la
protection de la vie privée en son art. 17.
Bien que ratifiés par la France, ces textes n’ont eu que peu d’impacts sur la question de la
protection des données personnelles, car ils ne font pas directement mention de celles-ci. De
plus, la France avait déjà admis le principe de vie privée par l’art. 9 du Code civil qui prévoit
que chacun a droit au respect de sa vie privée.
Le premier texte international faisant directement référence à la protection des données
personnelles est apparu seulement quelques années après la loi « Informatique et libertés » du
6 janvier 1978 et est considéré comme la consécration du droit fondamental à la protection
des données personnelles. Il s’agit de la Convention 108 du Conseil de l'Europe, signée le 28
janvier 1981 pour la protection des personnes à l’égard du traitement automatisé des données
personnelles. Son article premier déclare que : « Le but de la présente Convention est de garantir, sur le
territoire de chaque Partie, à toute personne physique, quelles que soient sa nationalité ou sa résidence, le respect
19 Cour d’Appel de Paris, (1e chambre), 5 décembre 1997 D. 1998, IR 32.
— 31 —
de ses droits et de ses libertés fondamentales, et notamment de son droit à la vie privée, à l'égard du traitement
automatisé des données à caractère personnel la concernant ».
Ce premier instrument international juridique contraignant dans le domaine de la
protection des données a su s’adapter vis-à-vis des nouveaux usages et évolutions
informatiques et renforcer sa mise en œuvre par la modernisation. Elle s’effectue notamment
par la mise en place d’un comité consultatif, qui est force de proposition quant à l’application
et la modification du texte grâce à des protocoles additionnels.
Cette modernisation a commencé en 2010 suite au rapport identifiant les domaines
requérant une attention particulière et à la consultation multipartite à l'occasion de la 5ème
édition de la Journée de la protection des données personnelles et du 30e anniversaire de la
Convention 108, le 28 janvier 2011.
En substance, la mise à jour de ce cadre juridique de la protection des données est passée
par la reprise de concepts-clés (notion de consentement à la collecte par exemple ou la
définition du responsable du traitement) en venant les définir et les préciser.
Par ailleurs, au-delà de l’engagement pris par les parties signataires de la Convention
d’intégrer ces principes, une évaluation de conformité via un mécanisme de monitoring pèse
désormais sur les pays partis.
Deux organisations internationales ont pareillement participé au processus de construction
juridique de la protection des données en édictant des lignes directrices. L’OCDE, a
premièrement adopté par recommandation le 23 septembre 1980 des lignes directrices sur la
protection de la vie privée et les flux transfrontières de données20. Celles-ci ont établi de
grands principes tel que le consentement de la personne concernée ou encore l’obligation de
collecte loyale et licite, déjà matérialisés en droit français. Ce texte a dernièrement fait l’objet
d’une révision en juillet 2013 et a renforcé la responsabilisation des entreprises via
l’accountability par l’ajout d’un chapitre.
Par la suite, l’ONU a également adopté des lignes directrices similaires à celles de l’OCDE
par une résolution du 14 décembre 1990. Ces dernières ont toutefois accentué la prérogative
particulière de protection liée aux données sensibles21.
20 Organisation de Coopération et de Développement Économiques, Lignes directrices régissant la protection
de la vie privée et les flux transfrontières de données de caractère personnel, 23 septembre 1980, révisées en 2013.
21 Organisation des Nations Unies, Résolution n°45/95 sur les Principes directeurs pour la règlementation des fichiers personnels informatisés, 14 décembre 1990.
— 32 —
Enfin, d’autres standards internationaux ont émergé sous l’impulsion des représentants des
autorités de protection des données telle que la CNIL. En effet, lors de la 31ème conférence
internationale des commissaires à la protection des données tenue à Madrid du 4 au 6
novembre 2009, une résolution a été votée à l’unanimité établissant un ensemble de principes
communs suite à l’évolution technologique des dernières années22. L’absence d’harmonisation
au niveau international se faisant ressentir, il s’agissait d’offrir une première perspective quant
à l’élaboration d’une nouvelle convention internationale qui n’a pas à ce jour aboutit.
La multiplicité des sources internationales n’a pas suffi à impacter de manière durable le
modèle français lui-même mais a permis une harmonisation minimum, notamment pour les
autres pays d’Europe n’appartenant pas à l’UE.
22 Conférence internationale des commissaires à la protection des données et à la vie privée, Résolution sur
des normes internationales de vie privée, 4-6 novembre 2009.
— 33 —
CHAPITRE II.
AVANCEMENT LEGISLATIF INSUFFISANT AU REGARD
D’INTERNET
Si la loi « Informatique et libertés » était restée inchangée jusqu’à la transposition de 2004,
les efforts législatifs en ce sens se sont fortement accélérés afin d’accompagner au mieux les
évolutions liées à Internet. Le présent chapitre aura pour objet de présenter ces dernières
avancées, tant législatives que technologiques.
— 34 —
SECTION I.
CARACTERE EVOLUTIF D’INTERNET
Depuis son ouverture au grand public, force est de constater que le caractère
intrinsèquement disruptif d’Internet est venu bouleverser les usages en la matière et
l’internationalisation des flux n’a fait qu’amplifier les avancées technologiques déjà présentes.
§ 1. INTERNATIONALISATION DES FLUX
Le phénomène de mondialisation des dernières décennies a été marqué par l’accélération
des échanges internationaux parmi lesquels se trouvent les flux de données personnelles. Cet
intérêt croissant pour les données personnelles s’explique par leur forte valeur marchande
pour les opérateurs économiques à divers degrés (prospection commerciale, adaptabilité du
modèle marketing en fonction des données recueillies, propositions d’offres personnalisées,
etc…) et par leur adaptation à la dématérialisation à l’heure où Internet ne connaît pas de
frontières tangibles.
Dès lors, le nombre de transferts de données personnelles en dehors de la France et de
l’UE n’a cessé de croître. Il s’est par ailleurs accentué du fait de l’externalisation informatique23
plébiscitée par les entreprises recherchant des prestataires à moindre coût et de l’immixtion
d’Internet dans notre vie quotidienne nécessitant un volume de données conséquent et
entraînant de plus en plus de partages de ces dernières.
Par exemple, des flux de données personnelles transitent et sont enregistrées par des pays
francophones lors de la gestion du service client auprès d’entités délocalisées par des
opérateurs de télécommunication ou encore lorsque des personnes créent un compte
personnel auprès d’un réseau social et dont les données nécessaires à leur enregistrement sont
envoyées à des centres de stockage aux Etats-Unis (Selon un article du Monde, les données
personnelles des utilisateurs européens sont archivées dans des serveurs globalement basés aux
Etats-Unis24).
Cette globalisation des échanges de données personnelles alors qu’un cadre international
fort n’a pas été établi n’est pas sans risques et peut entraîner la création de « paradis de
données ».
23 Se dit d’un dispositif par lequel une entreprise fournit à une autre des services qui sont habituellement
assurés en interne, peut être appelé outsourcing.
24 EUDES Yves, « Visite exceptionnelle dans le data center de Facebook, en Suède », M Pixels Chroniques des (R)évolutions numériques, 6 juin 2016, [http://www.lemonde.fr/pixels/article/2016/06/03/les-datas-du-grand-froid_4932566_4408996.html].
— 35 —
C’est pourquoi les transferts de données personnelles hors de l’UE sont, en principe,
interdits, exception faite des pays ayant transposé la directive 95-46 du 24 octobre 1995
(l’Islande, le Liechtenstein et la Norvège) dans leur législation nationale et ceux désignés par la
Commission européenne comme ayant un niveau de protection adéquat (l’Andorre,
l’Argentine, le Canada, les Iles Féroé, l’Ile de Man, de Guernesey, de Jersey, Israël, l’Uruguay et
la Suisse).
Néanmoins, cette internationalisation des flux à direction des pays tiers étant inévitable et
difficile à contrôler, plusieurs outils ont été développés pour s’adapter à cette tendance et
contourner le principe de l’art. 25 de la directive 95-46 du 24 octobre 1995 : les clauses
contractuelles types, les règles internes d’entreprises (Binding corporate rules), l’adhésion aux
principes du Safe Harbor ainsi que les exceptions de l’art. 69 de la loi « Informatique et libertés
» du 6 janvier 1978 modifiée le 6 août 2004.
Premièrement, les entreprises peuvent signer un contrat par lequel les parties s’engagent à
respecter les règles inhérentes à la protection des données personnelles (Comme lors d’un
transfert de données personnelles par un responsable de traitement au sein de l’UE vers un
sous-traitant hors UE). Ce contrat doit présenter des « garanties suffisantes » (Loi « Informatique
et libertés » du 6 janvier 1978) ou un « niveau de protection suffisant » (Directive 95-46 du 24
octobre 1995) au regard de la CNIL qui délivre au cas par cas une autorisation de transfert
après la réception du récépissé du traitement principal. Pour favoriser leur chance de se voir
accorder une autorisation de transfert, les entreprises peuvent s’appuyer sur des modèles de
clauses contractuelles types émises par la Commission européenne.
Alternativement, les entreprises peuvent faire appel à des règles internes pour échapper à
l’interdiction faite aux transferts de données personnelles vers des pays ne disposant d’une
protection adéquate. Celles-ci sont aussi appelées Binding Corporate Rules et sont
particulièrement utilisées par les entreprises multinationales. En effet, ces règles créent un
code de conduite interne contraignant pour toutes les filiales, entités et salariés du groupe
concerné, peu importe leur situation géographique, qui se doivent de le respecter. De plus,
contrairement aux clauses contractuelles, il n’est pas nécessaire d’en conclure autant que de
transferts.
Les avantages des BCR pour l’entreprise sont de posséder un cadre opérationnel et
conforme à la législation en vigueur facilitant la circulation des données intragroupe, de
dégager une image de confiance vis-à-vis des salariés et des clients potentiels et de promouvoir
l’éthique du groupe face à la protection des données.
Sa mise en place reste tout de même complexe. En effet, le groupe concerné doit rédiger
un projet de BCR qui sera ensuite présenté à une autorité de contrôle européenne, telle que la
CNIL, qui aura le rôle de référent parmi les autres autorités de contrôle de chaque pays
— 36 —
concerné par les transferts de données dont l’accord reste nécessaire. Une fois le projet
examiné par l’autorité référente, ce dernier peut faire l’objet d’une reconnaissance mutuelle
pour accélérer la procédure. Lorsqu’une autorité est autorisée à le faire, en considérant que les
BCR répondent à un niveau de protection suffisant en matière des données personnelles, les
autres autorités concernées par les transferts approuvent de manière automatique les BCR.
Pour être autorisées, les BCR doivent inclure un nombre requis de mentions et satisfaire à
plusieurs exigences dont la mise en place d’une procédure d’audit, d’une procédure interne de
gestion des plaintes ainsi que d’un régime de responsabilité.
Le G29 met à disposition des trames de BCR incluant les mentions requises telle que le
document WP15425.
Un autre moyen de contourner l’interdiction faite aux transferts de données personnelles
vers des pays étrangers reste d’établir un système d’encadrement tel que le Safe Harbour.
Le Safe Harbour constitue un ensemble de principes de protection des données établi par le
département du commerce américain et négocié avec la Commission européenne en 200126.
En y adhérant, les entreprises américaines pouvaient ainsi recevoir des données en provenance
de l’UE. Ces principes reprenaient des dispositions issues de la directive 95-46 du 24 octobre
1995 telle que le droit d’accès et de rectification, l’information des personnes, etc…
Néanmoins, ce dispositif a depuis été invalidé par la CJUE dans le cadre d’une question
préjudicielle. Dès lors, constatant que la Commission européenne n’avait pas recherché si les
Etats-Unis, par leur législation nationale ou leurs engagements internationaux assuraient de
manière effective une protection adéquate (soit « […] un niveau de protection des droits
fondamentaux substantiellement équivalent à celui garanti au sein de l’Union en vertu de la directive lue à la
lumière de la Charte27. »), la CJUE a rendu invalide ce dispositif. En outre, les récents
développements de l’affaire Prism lors de laquelle a été rendue publique une surveillance de
masse entreprise par le FBI et la NSA auprès des grands opérateurs du web (Facebook,
Google) n’a pu que renforcer les réticences des pays de l’UE.
Un autre dispositif de certification, considéré comme plus strict, appelé privacy shield, l’a
remplacé depuis le 1er août 2016. La CNIL et le G2928 ont pourtant pointé ses lacunes en
termes de protection des données personnelles. De même plusieurs associations civiles
25 Groupe de travail "Article 29" sur la protection des données, « Document de travail établissant un cadre
pour la structure des règles d’entreprise contraignantes 1271-00-01/08/FR WP 154 », 24 juin 2008.
26 Département du commerce des États-Unis d'Amérique, U.S.-EU Safe Harbor Frameworks, 2000.
27 Cour de Justice de l’Union européenne (grande chambre), 6 octobre 2015, demande de décision préjudicielle au titre de l’article 267 TFUE, introduite par la High Court (Haute Cour de justice, Irlande) C 362/14, concl.
28 Groupe de travail "Article 29" sur la protection des données, « Opinion 01/2016 on the EU – U.S. Privacy Shield draft adequacy decision 16/EN WP 238 », 13 avril 2016.
— 37 —
défendant les droits de l’Homme (les Exégètes Amateurs, Digital Rights Ireland), ont fait part
de leurs inquiétudes en dénonçant dans une lettre ouverte une « loi inadaptée pour protéger les
données des européens »29 et ont attaqué le texte en justice.
Sans utiliser ces différents outils, il est toujours possible pour les entreprises d’invoquer les
exceptions énoncées à l’art. 69 de la loi « Informatique et libertés » de manière ponctuelle et
exceptionnelle pour justifier le transfert des données personnelles de la France vers des pays
tiers. Par exemple si le transfère s’avère nécessaire au regard de la sauvegarde de la vie
publique ou de la vie de la personne concernée par le traitement. En revanche, ces exceptions
ne s’appliquent pas dans les relations de sous-traitance30.
§ 2. REVOLUTIONS TECHNOLOGIQUES MAJEURES
Au-delà de cette internationalisation des flux qui a conduit les pays de l’UE à concentrer
leur attention sur les transferts des données vers des pays tiers, Internet a également été le
vecteur d’un essor technologique ou du moins, a amplifié les usages potentiels de ces
nouvelles technologies.
Parmi ces innovations, on compte notamment les objets connectés, les drones, les puces
dites RFID31, les outils de communication nomades, la géolocalisation, l’accès mobile à
internet, la biométrie, les technologies sans contact pour ne citer qu’elles.
Dans cette partie, il s’agira avant tout de montrer que l’usage grandissant de ces innovations
potentiellement invasives, dans des champs d’application très différents, reste risqué quant à la
protection de la vie privée et des données à caractère personnel.
Les objets connectés utilisant un mécanisme de quantification de soi ou quantified-self
représentent un fort risque de dérive vis-à-vis des droits et libertés fondamentales. Ces objets,
variés dans leurs formes et leurs objectifs (balance et montre connectée, application dédiée sur
smartphone, bracelet-podomètre) collectent divers types de données (activités physiques,
poids, sommeil, etc…) de manière automatisée afin d’établir un bilan fréquent de ces mesures
pour l’utilisateur. Ceux-ci sont de plus en plus plébiscités par les consommateurs (Le marché
29 La Quadrature du Net, « Lettre ouverte internationale des ONG demandant la suspension du Privacy
Shield », 3 mars 2017, [https://www.laquadrature.net/fr/appel_suspension_privacy_shield#footnote1_2c2og9p].
30 Commission Nationale de l'Informatique et des Libertés, « Les transferts de données à caractère personnel hors Union européenne », [https://www.cnil.fr/sites/default/files/typo/document/GUIDE-transferts-integral.pdf].
31 Se dit de puces utilisant le rayonnement radiofréquence pour identifier les objets porteurs d'étiquettes spécifiques passant à proximité.
— 38 —
des wearables32 technologies serait estimé à 30 milliards de dollars à l’horizon 201833et l’on
compte près de 400 outils à l’heure actuelle34).
Bien que l’utilisateur accepte de manière expresse la collecte des données et leur traitement
(Cela se traduit le plus souvent par une case à cocher précédée d’une mention de type
« J’autorise la collecte et l’utilisation de mes données personnelles »), ils n’ont pas toujours conscience de
la grande sensibilité des données recueillies qui vont parfois jusqu’à donner la mesure de la
vitesse du flux sanguin et la température de l’utilisateur comme le fait le bracelet-montre
PulseTracer, alors que ces objets n’ont pas de visée médicale ou de prévention. La CNIL dans
son deuxième numéro des Cahiers Innovation et Prospective35 a d’ailleurs mis en garde sur
l’apparence ludique de ces outils alors que la frontière avec des applications relevant du monde
médical peut s’avérer particulièrement perméable. De plus, en utilisant de manière quotidienne
ces objets, chaque utilisateur met à disposition des centaines d’informations qui font souvent
l’objet de recoupements et de partages en vue d’améliorer la précision de ces objets et d’en
adapter les paramètres. En outre, la compétitivité du data est importante dans la mesure où la
captation de ces données permet d’offrir des offres marketing extrêmement personnalisées36.
Ainsi, on peut facilement imaginer des dérives impliquant ce type d’objets, notamment dans le
cadre de la santé avec une mutuelle offrant des bracelets connectés à ses souscripteurs dans le
but de les contrôler pour ajuster les tarifs en fonction des profils à risques ou non.
Le développement des réseaux sociaux couplé à l’augmentation des terminaux portables
(Près de 4,3 milliards d'abonnements mobiles seraient souscrits en 2017)37 et à d’autres
avancées technologiques telle que la géolocalisation a démultiplié les risques de manquements
à la loi « Informatique et libertés ».
Le réseau social Facebook (FACEBOOK INC. et FACEBOOK IRELAND), d’ailleurs sanctionné
à de nombreuses reprises pour non-respect de la législation en matière de protection des
32 Se dit d’une technologie portable tel qu’un vêtement ou une montre connecté
33 Conférence Wearable and Flexible Technologies World 2014, 14-16 mai 2014.
34 Quantified Self Guide, « 505 tools », [http://quantifiedself.com/guide/].
35 Commission Nationale de l'Informatique et des Libertés, « Le corps, nouvel objet connecté, du quantified-self à la m-santé : les nouveaux territoires de la mise en données du monde », Cahiers IP Innovation et Prospective, vol. 2, [https://www.cnil.fr/sites/default/files/typo/document/CNIL_CAHIERS_IP2_WEB.pdf].
36 GUILLAUD Hubert, « Où va la "quantification de soi" ?», M le magazine du Monde, 3 juin 2006, page [http://www.lemonde.fr/week-end/article/2011/06/03/ou-va-la-quantification-de-soi_1531713_1477893.html].
37 International Telecommunication Union, « ICT, Facts and Figures, 2017», 2017[http://www.itu.int/en/ITU-D/Statistics/Documents/facts/ICTFactsFigures2017.pdf].
— 39 —
données personnelles et de la vie privée, a été nouvellement condamné à une sanction
financière par la CNIL38.
Suite à des contrôles sur place, sur pièces et en ligne afin de vérifier la conformité du réseau
social à la loi « Informatique et libertés », la CNIL avait constaté de nombreux manquements à
cette dernière. Il avait, en particulier, été relevé que le réseau social procédait à une
combinaison massive des données des utilisateurs de Facebook dans un but de ciblage
publicitaire et que ces utilisateurs étaient tracés à leur insu via un cookie39.
En dépit des avertissements fait à ce dernier, les apports correctifs sont restés peu
satisfaisants en regard des atteintes. Dès lors, Facebook a été condamné à payer près de 150
000 € ce qui reste dérisoire vis-à-vis du nombre d’utilisateurs (près de 33 millions rien que
pour la France40) et du chiffre d’affaires dégagé.
D’autre part, les utilisateurs des réseaux sociaux eux-mêmes peuvent induire une mauvaise
maîtrise de leurs données. En effet, si ces derniers ont rempli de leur propre volonté des
champs laissant apparaître leurs préférences et caractéristiques personnelles (religion,
orientation sexuelle, etc…), leur consentement s’oppose à l’interdiction faite à la collecte de
données sensibles. De plus, d’autres mécanismes viennent faciliter l’identification de
l’utilisateur. Par exemple, le système de géolocalisation et de marquage des personnes appelés
tags lorsque l’on publie sur le réseau social des photographies, exposent distinctement les
personnes sur Internet. Ce phénomène est également accentué par la possibilité de commenter
ces publications, de les partager ou encore de les republier. Or, les utilisateurs n’ont pas
toujours conscience de la portée de ces informations. On constate d’ailleurs que les recruteurs
n’hésitent pas à analyser la e-réputation de leurs candidats pour s’en faire une idée bien que ces
pratiques restent illégales.
Seul un paramétrage adapté (profil à disposition d’un cercle restreint plutôt que du public
par exemple) couplé à une conduite responsable peut limiter cette exposition de soi parfois
imprudente.
Ainsi, il semble apparaître une difficile conciliation entre innovation technique parfois trop
intrusive dont le développement accru ne devrait pas être freiné, respect et adaptation d’une
législation contraignante et bureaucratique et la confiance, voire la naïveté des citoyens à
l’égard de ces technologies.
38 FERRAN Benjamin, « La Cnil condamne Facebook à 150.000 euros d'amende », 18 mai 2017,
[http://www.lefigaro.fr/secteur/high-tech/2017/05/16/32001-20170516ARTFIG00118-la-cnil-condamne-facebook-a-150000-euros-d-amende.php].
39 Se dit d’un fichier texte déposé sur le disque dur de l’internaute lors de la visite de ce dernier sur un site web, permettant de reconnaître l’internaute lors d’une visite ultérieure.
40 COËFFÉ Thomas, « Chiffres Facebook – 2017 », Blog du modérateur, le médias des professionnels du digital, 28 juin 2017 [https://www.blogdumoderateur.com/chiffres-facebook/].
— 40 —
SECTION II.
ACTUALISATION COMPLEXE DU CADRE DE PROTECTION
Le caractère évolutif d’Internet a rendu l’actualisation des sources juridiques en matière de
protection des données personnelles particulièrement difficile pour le législateur, tant au
niveau national que communautaire, n’ayant pas assez de recul pour anticiper les usages et
pratiques des internautes et des entreprises.
§ 1. ADAPTATION DES SOURCES NATIONALES
L’adaptation des sources nationales s’est majoritairement faite sous l’influence de l’UE.
Cependant, il est fréquent que la France anticipe la législation européenne en adoptant des
mesures préalablement à l’entrée en vigueur des textes, voire dépasse le niveau d’exigence
requis en la matière.
Ce sont les évolutions techniques qui ont, en partie, dicté la modification de la loi
« Informatique et libertés » du 6 janvier 1978. C’est dans ce contexte que la directive 95-46 du
24 octobre 1995 a été transposée en France par la loi du 6 août 200441. Seul l’art. 1er originel
de la loi « Informatique et libertés » a été conservé, le reste résultant de la loi du 6 août 2004.
Une partie des dispositions s’attache à tout traitement de données quelque qu’il soit alors
que la seconde partie s’applique spécifiquement aux traitements automatisés. Au-delà de
l’actualisation de la terminologie (les données « nominatives » sont par exemple devenues
« données à caractère personnel »), la loi vient définir des obligations à la charge des responsables de
traitement et des droits à l’égard des personnes concernées, dont l’explication a précédemment
été donnée dans le cadre de ce mémoire (voir partie 3 § Attribution de droits à la personne
concernée). Une autre des nouveautés de 2004 est l’allègement des formalités administratives
dans certains cas (aucune déclaration n’est requise si les conditions des dispositions prévues
aux art. 25, 26 et 27 ou au deuxième alinéa de l'art. 36 sont remplies). Enfin, la loi 6 août 2004
vient consacrer le statut du correspondant à la protection des données à caractère personnel
dit CIL, sorte de relai de la CNIL au sein de l’organisme en charge des traitements de données
personnelles. De manière générale, il est le référent sur les questions afférentes à la protection
des données personnelles, tient le registre des traitements de l’organisme comportant des
données personnelles. Enfin, il répond également à l’objectif de simplification des formalités
administratives en se substituant aux déclarations normales et simplifiées et veille à la bonne
41 Loi n° 2004-801 du 6 août 2004 relative à la protection des personnes physiques à l'égard des traitements de
données à caractère personnel et modifiant la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés.
— 41 —
application de la loi tout en établissant un bilan annuel de son action pour le responsable du
traitement et est tenu à disposition de la CNIL42.
Deuxièmement, la loi n° 2004-575 pour la confiance dans l'économie numérique du 21 juin
2004, transposant la directive européenne 2000/31/CE relative à certains aspects juridiques
des services de la société de l'information, et notamment du commerce électronique, dans le
marché intérieur (« directive sur le commerce électronique ») du 8 juin 2000 mais également
certaines dispositions de la directive 2002/58/CE concernant le traitement des données à
caractère personnel et la protection de la vie privée dans le secteur des communications
électroniques du 12 juillet 2000 ont également été transposées. Elle poursuivait l’objectif de
soutenir le commerce électronique au sein de l’UE. Initialement, la transposition aurait dû
avoir lieu en janvier 2002 mais a pris du retard en raison de l’opposition des acteurs de
l’Internet, principalement de la part des fournisseurs d’accès à internet43. La loi n°2004-575
pour la confiance dans l'économie numérique du 21 juin 2004 a axé ses efforts sur
l’encadrement de la pratique du spam44, notamment au titre de l’art. 22 selon lequel : « Est
interdite la prospection directe au moyen d’un automate d’appel, d’un télécopieur ou d’un courrier électronique
utilisant, sous quelque forme que ce soit, les coordonnées d’une personne physique qui n’a pas exprimé son
consentement préalable à recevoir des prospections directes par ce moyen ». Des exceptions à ce principe
sont donc exprimées, par lequel la pratique du spam est autorisée sous réserve d’obtenir le
consentement de l’intéressé.
La dernière loi relevant de la protection des données personnelles et de la vie privée est la
loi n° 2016-1321 pour une République numérique du 7 octobre 2016. Celle-ci a pour objectif
de trouver un équilibre entre circulation des données, protection des individus concernés par
ces données et démocratisation de l’accès au numérique.
Certaines de ces dispositions viennent anticiper le RGPD et ne seront que traitées dans la
seconde partie du présent mémoire.
L’art. 54, en modifiant l’article premier la loi « Informatique et libertés » du 6 janvier 1978,
est venu entériner le droit à ce qu’on peut qualifier d’autodétermination informationnelle, soit
l’engagement de l’individu dans la maîtrise de ses données. Un arsenal de dispositions
contribue à cette volonté de remettre l’individu au cœur de la question de la protection des
données personnelles. On peut compter parmi elles un droit à l’oubli spécifique aux mineurs
auquel est rattaché une procédure accélérée, la possibilité d'organiser sa succession numérique
après son décès (Soit le sort réservé à ses données personnelles) (Art. 63 de la loi n° 2016-1321
42 Voir annexes figure 3
43 BOUCHIN Sabrina, CARRAL Régis, « Les FAI (Fournisseurs d'Accès à l'Internet) contre la LCEN (Loi pour la Confiance dans l'Economie Numérique) », Revue Stratégie Internet n°84, février 2004.
44 Se dit de l’envoi massif de courriers, pour la plupart de nature commerciale.
— 42 —
pour une République numérique du 7 octobre 2016 modifiant l’art. 40 de la loi « Informatique
et libertés »).
En outre, la loi n° 2016-1321 pour une République numérique du 7 octobre 2016 vient
renforcer et étendre les prérogatives de la CNIL. La CNIL peut désormais ordonner aux
responsables de d’infractions la loi « Informatique et libertés » qu’ils informent chacune des
personnes concernées par cette dernière de leur condamnation à leur frais. L’autorité peut
dorénavant appliquer une amende allant jusqu’à 3 millions d’euros.
La loi contribue aussi au rapprochement entre la CADA et la CNIL. En effet, le Président
de la CNIL a désormais la possibilité de siéger au sein de la CADA et réciproquement. De
plus, si les deux entités ont à débattre sur un sujet d’intérêt commun, il leur est possible de se
réunir en un collège unique.
Dans la perspective de faciliter la mise en place de l’open data, la CNIL devra juger de la
conformité des processus d’anonymisation des données personnelles en attribuant des
certifications ou en homologuant des méthodes.
L’open data ou encore l’ouverture des données publiques est en effet l’un des autres points
clé de cette loi. Selon l’art. premier de cette loi, les documents administratifs communiqués par
les différents acteurs publics doivent être publiés « dans un standard ouvert, aisément réutilisable et
exploitable par un système de traitement automatisé ». Les données de ces documents seront ainsi
librement communicables si et seulement si, la nature du document les regroupant l’autorise.
Cette mesure concerne également les décisions de justice au titre des art. 12bis A et B aux
termes desquels celles-ci seront mises la disposition du public à titre gratuit dans le respect de
la vie des personnes concernées. Cette ouverture à la publicité des données contenues dans
des décisions de justice a d’ailleurs été appuyée par un communiqué de presse du 3 mai 2016
du Conseil National du Numérique45 et par l’adoption d’un art. concernant les données
contenues dans les décisions de juridictions administratives (art. 1er).
§ 2. ADAPTATION DES SOURCES DE L’UNION EUROPEENNE
Si la directive 95-46 du 24 octobre 1995 reste l’un des piliers de la protection des données
personnelles et de la vie privée au sein de l’UE, d’autres textes sont venus actualiser les sources
européennes en la matière.
En effet, la directive 95-46 du 24 octobre 1995 a tout de même su s’adapter face aux
impératifs qu’exigent les multiples transferts de données en direction de pays comme
45 Conseil National du Numérique, « Le Conseil national du numérique dresse un bilan mitigé de l’examen au
Sénat du projet de loi pour une République numérique », p.2, 3 mai 2016, [https://cnnumerique.fr/wp-content/uploads/2016/05/Se%CC%81nat_Communique%CC%81-de-presse-PJL-nume%CC%81rique.pdf]
— 43 —
précédemment expliqué (voir partie § 1. Internationalisation des flux). De plus, en faisant
preuve d’une certaine neutralité technologique dans ses mots, elle a pu, jusqu’à à un certain
point, accompagner les changements du monde de l’Internet. En effet, la directive n’attache
qu’un sens très général au « traitement de données à caractère personnel » en le définissant comme
« toute opération ou ensemble d’opérations effectuées ou non à l’aide de procédés automatisés et appliquées à des
données à caractère personnel, telles que la collecte, l’enregistrement, l’organisation, la conservation, l’adaptation
ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, diffusion ou
toute autre forme de mise à disposition, le rapprochement ou l'interconnexion, ainsi que le verrouillage,
l'effacement ou la destruction. » (Art. 2b).
Dès lors, en employant des mots dépourvus de sens technologique précis, la directive a
permis d’englober tout type de traitements quels qu’ils soient, sans viser spécifiquement un
service, et donc de protéger toutes les données personnelles qui en font l’objet.
Malgré ce choix de neutralité technologique judicieux, plusieurs problèmes ont fait leur
apparition. En effet, comme l’avait déclaré en 2012 Viviane Reding, alors Vice-présidente de la
Commission européenne et commissaire à la Justice, aux Droits fondamentaux et à la
Citoyenneté : « En Europe, l'adoption de la directive de 1995 avait marqué une étape importante pour la
protection effective des données à caractère personnel et de la vie privée. Cependant, les disparités nationales dans
sa transposition ont abouti à des écarts de protection en fonction de l'Etat membre. (...) Une modernisation des
règles en vigueur s'impose donc »46.
C’est donc dans cette optique que la directive 2002/58/CE dite Vie privée et communications
électroniques ou encore e-privacy du 12 juillet 2002 est venue couvrir les aspects laissés de côté par
la directive 95-46 du 24 octobre 1995. Elle fait partie du paquet Télécom, adopté en 2002 et
mis à jour en 2009 comprenant la directive-cadre 2002/21/CE et incluant quatre directives
particulières ainsi que deux règlements: la directive 2002/20/CE dite autorisation ; la directive
2002/19/CE dite accès; la directive 2002/22/CE dite service universel; la directive
2002/58/CE dite vie privée et communications électroniques; le règlement (CE) n°
1211/2009 instaurant un organe des régulateurs européens des communications électroniques
(ORECE); le règlement (UE) n°531/2012 relatif à l'itinérance sur les réseaux publics de
téléphonie mobile. Le Parlement européen et le Conseil de l’UE ont adopté cette directive
abrogeant celle en date du 15 décembre 1997 sur le traitement des données à caractère
personnel et la protection de la vie privée sur les réseaux numériques et de télécommunication
mobile qui traitait essentiellement des questions de sécurité et de confidentialité des données
46 REDING Viviane, « Pourquoi nous réformons la protection des données numériques », Les Echos, 14
mars 2012, [https://www.lesechos.fr/14/03/2012/LesEchos/21144-072-ECH_pourquoi-nous-reformons-la-protection-des-donnees-numeriques.htm].
— 44 —
relatives à la facturation des communications téléphoniques, à l'identification de l'appelant,
ainsi qu'au contrôle des appels et des appels non sollicités.
En effet, la directive 2002/58/CE a permis l’encadrement du traitement des données
personnelles via l’utilisation de cookies en exigeant que l’internaute soit informé par le
responsable du traitement de l’utilisation de ces cookies et puisse s’y opposer. Elle met en
place des règles sur le traitement des données par les fournisseurs de services de
communications électroniques, vise à assurer la confidentialité des communications ainsi que
la sécurité des réseaux, encadre le traitement des données relatives au trafic et à la localisation,
et pose le principe de l’interdiction du spamming sauf consentement expresse du destinataire
avant de lui envoyer des messages commerciaux.
Aujourd’hui, la Commission souhaite réformer cette directive dont la dernière révision
remonte à 2009, afin de faire face à l’inquiétude grandissante des personnes vis-à-vis de la
protection de leur vie privée et de la confidentialité de leurs données. L’objectif visé par la
Commission est de parvenir à cette refonte dans le même temps que l’entrée en vigueur du
RGPD en mai 2018 pour parvenir à une modernisation complète du cadre juridique applicable
en matière de protection des données personnelles. Cette réforme de la directive e-privacy est
envisagée sous la forme d’un règlement et le projet de texte a été publié le 10 janvier dernier.
Ce règlement viserait tout d’abord à renforcer la protection de la vie privée dans toutes les
communications électroniques en étendant les règles aux plateformes en ligne offrant des
services de communication électroniques dites OTT (Over-the-top) ou encore HOFAI (Hors
Offre du Fournisseur d’Accès à l’Internet), soit incluant des acteurs tels que Facebook, Gmail
ou Skype. En effet, la directive e-privacy s’applique principalement aux fournisseurs de services
de télécommunication traditionnels (chargés de transmettre des signaux sur un réseau de
communications électroniques) au contraire des OTT, alors que ceux-ci sont utilisés de
manière substituable par les internautes.
De plus, le règlement propose de simplifier la collecte du consentement de l’internaute à la
présence de cookies via des options de configurations proposées par les sites. Il ne sera pas
nécessaire d’obtenir le consentement dans le cas de cookies non-intrusifs visant à améliorer
l’expérience en ligne des internautes.
En outre, en matière de prospection, électronique comme téléphonique, une interdiction
générale de prospection des personnes physiques est posée, sauf consentement préalable des
personnes concernées. Par ailleurs, les démarcheurs devront utiliser un indicatif spécial dédié
aux appels commerciaux et ne pourront plus masquer leur numéro.
Enfin, la sanction prévue en cas de manquements aux obligations prévues par ce règlement
sera sévère puisqu’elle pourrait monter jusqu’à 20 millions d’euros ou 4% du chiffre d’affaires
mondial.
— 45 —
Ainsi, la France a su s’imposer comme garante des libertés individuelles en construisant un
modèle respectueux des droits des citoyens grâce à la loi « Informatique et libertés » tout en
intégrant en son sein les actualisations nécessaires au regard des évolutions technologiques.
Néanmoins, la vague sécuritaire, les dérives récemment découvertes ainsi que les craintes des
citoyens ont, en partie, contribué à la refonte du cadre de protection des données personnelles
au niveau de l’UE. Reste à savoir si le RGPD s’inscrit dans la même optique que le modèle
français, dont l’esprit peut être résumé par l’art. 1 de la loi « Informatique et libertés » :
« L'informatique doit être au service de chaque citoyen. Son développement doit s'opérer dans le cadre de la
coopération internationale. Elle ne doit porter atteinte ni à l'identité humaine, ni aux droits de l'homme, ni à
la vie privée, ni aux libertés individuelles ou publiques. »
— 46 —
PARTIE II.
L’IMPACT DU REGLEMENT GENERAL SUR LA
PROTECTION DES DONNEES A CARACTERE
PERSONNEL
— 47 —
— 48 —
CHAPITRE I.
L’ADOPTION DU REGLEMENT GENERAL SUR LA PROTECTION
DES DONNEES A CARACTERE PERSONNEL
La nouvelle législation européenne sur la protection des données vise à créer un
ensemble de règles uniformes à travers l'UE, dont l’objectif principal est de renforcer la
confiance des citoyens et des entreprises dans le numérique. Après plus de quatre ans de
négociations, le règlement vient donc remplacer la principale directive en la matière datant de
1995 alors qu’Internet n’en était qu’à ses balbutiements. Le présent chapitre viendra expliquer
comment s’est traduite la volonté de la Commission européenne dans ce projet.
— 49 —
SECTION I.
REPRISE EN MAIN DE LA COMMISSION EUROPEENNE
Opter pour un instrument juridique spécifique réduisant à néant toute possibilité
d’interprétation ainsi que mettre en place un système globalisé de contrôle vient confirmer la
volonté de la Commission européenne de reprendre la main sur le cadre commun de
protection des données personnelles, et ce, au détriment des modèles nationaux qui ont pu
être développés au cours des dernières décennies tel que le modèle français.
§ 1. FIN DE LA SPECIFICITE FRANÇAISE VIA LE REGLEMENT
Malgré les ajustements législatifs au cours des années, le projet de réforme de la directive
95-46 du 24 octobre 1995 s’est imposé de lui-même face au développement des technologies,
de l’internationalisation des flux et plus récemment, d’une volonté commune des entreprises
ainsi que de l’inquiétude grandissante des citoyens (67 % des Européens sont inquiets de ne
pas avoir l’entière maîtrise des informations qu’ils fournissent en ligne47). Ce projet se
caractérise par sa longueur (près de 120 pages et 99 articles) et sa grande richesse de
dispositions. Rendu public par la Commission européenne le 25 janvier 2012, il a suscité un vif
débat auprès des associations de professionnels, de défense des libertés en ligne ainsi que des
autorités de contrôle et est même considéré comme l’un des projets ayant engendré le plus de
lobbying.
Pensé en amont comme un outil de la stratégie numérique de l’UE, et après quatre longues
années de négociations, le paquet données personnelles a été adopté le 14 avril 2016 après son
passage devant le trilogue (Commission européenne, Conseil de l’UE et Parlement européen).
Ce projet est constitué de deux propositions législatives, à savoir une directive destinée aux
autorités administratives relative à la protection des données à caractère personnel traitées à
des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la
matière, et d’activités judiciaires connexes, elle garantit que les données personnelles relatives
aux victimes, témoins et suspects seront protégées dans le cadre d'enquêtes criminelles et
d'autres actions des pouvoirs publics ; ainsi qu’un règlement visant à moderniser le cadre
communautaire et à harmoniser les législations des Etats membres sur le sujet.
Le rapporteur du règlement au Parlement européen, Jan Philipp Albrecht, vient résumer
l’apport du règlement en reconnaissant « un vote très fort, pour donner des droits forts au consommateur
47 Sondage Eurobaromètre, « Eurobaromètre spécial n°431 sur la protection des données », juin 2015, p.9
[http://ec.europa.eu/commfrontoffice/publicopinion/archives/ebs/ebs_431_en.pdf].
— 50 —
et permettre plus de concurrence à l’âge du numérique »48. Ce règlement viendra ainsi assister les
personnes physiques dans le contrôle de leurs données personnelles et en parallèle, assurer aux
entreprises de tirer profit du bénéfice de la modernisation et de l'uniformisation des règles sur
le Marché Unique. Ceci s’effectuera à l’avenir dans un cadre commun global puisque selon
l’art. 3 « le présent règlement s'applique au traitement des données à caractère personnel effectué dans le cadre
des activités d'un établissement d'un responsable du traitement ou d'un sous-traitant sur le territoire de
l'Union, que le traitement ait lieu ou non dans l'Union. »
Si la directive était auparavant le moyen privilégié par les institutions de l’UE en matière de
réformes quant à la protection des données personnelles et de la vie privée, il apparaît
désormais que la volonté des institutions se traduise par la modification de l’instrument
juridique de référence. Ce choix de l’instrument juridique est crucial car la directive et le
règlement sont fondamentalement différents dans leur application. Rappelons qu’au titre de
l'art. 288 du TFUE « Pour exercer les compétences de l'Union, les institutions adoptent des règlements, des
directives, des décisions, des recommandations et des avis ».
La directive est un acte normatif de l’UE qui donne des objectifs à atteindre par les Etats
membres tout en fixant généralement le délai au terme duquel la législation transposée doit
être adoptée. Ceci entraîne plusieurs conséquences dont le laps de temps s’écoulant entre
l’adoption de la directive et le temps de transposition par le législateur national (jusqu’à
plusieurs années) qui explique en partie, le décalage entre les pratiques courantes
(particulièrement en matière de technologies) et les règles de droits ; une transposition erronée,
partielle voire incomplète de la directive dans l’ordre juridique interne ; enfin une perte
d’harmonisation juridique là où les Etats membres ont adapté la directive en fonction de leurs
propres considérations nationales.
Contrairement à la directive qui laisse place à une certaine autonomie dans l’interprétation,
le règlement ne doit pas être transposé en droit national et est d’application immédiate dans
son intégralité. Il est donc obligatoire pour tous les Etats membres dès son entrée vigueur,
précisée par le règlement lui-même ou le cas échant dans les 20 jours suivant sa publication au
Journal officiel de l’UE. Outre le grain de temps évident, l’avantage du règlement réside dans
l’uniformisation effective des législations nationales dans l’ensemble des Etats membres.
Derrière cette volonté de produire un cadre général cohérent de protection, la Commission
souhaite finalement ériger la protection des données personnelles comme l’une des ambitions
futures de l’UE par le biais d’un règlement.
48 GUITON Amaelle, « L'Europe s'accorde sur la protection des données personnelles », Libération, 17
décembre 2015, [http://www.liberation.fr/futurs/2015/12/17/l-europe-s-accorde-sur-la-protection-des-donnees-personnelles_1421077].
— 51 —
Cependant, cette volonté vient mettre à mal la spécificité française. En effet, la France a été
l’un des premiers membres de l’UE à vivement s’intéresser à la protection des données en
établissant une règlementation stricte. C’est cette même règlementation qui avait alors initié le
mouvement du développement communautaire en matière de protection des données. De
plus, la France s’était toujours efforcée de garantir un niveau élevé de protection par ses choix
de transposition des directives européennes et avait consacré la CNIL comme la gardienne des
données personnelles. Parfois critiquée pour ses lenteurs administratives et sa procédure
bureaucratique, la France avait tout de même construit un modèle, à l’avant-garde, respectueux
des droits des citoyens au cours des décennies passées.
§ 2. NOTION DE GUICHET UNIQUE
L’un des autres aspects de ce règlement se traduit par la reprise en main de la Commission
européenne sur les autorités de contrôle, et ceci à l’avantage des entreprises. En effet, le
règlement vient simplifier les formalités administratives auprès des autorités de contrôle en
créant le principe de la compétence unique au titre de son art. 60 selon lequel : « L'autorité de
contrôle chef de file coopère avec les autres autorités de contrôle concernées conformément au présent article en
s'efforçant de parvenir à un consensus. L'autorité de contrôle chef de file et les autorités de contrôle concernées
échangent toute information utile. ». Ce guichet unique ou encore appelé one-stop-shop permet à une
entreprise ayant plusieurs filiales établies dans des Etats membres distincts de ne répondre
qu’à une seule autorité de contrôle appelée chef de file. C’est cette autorité de contrôle chef de
file qui est l’interlocutrice unique et privilégiée de l’entreprise, les autres autorités des différents
États membres devant ensuite coopérer entre elles.
Le critère de sélection retenu pour désigner l’autorité de contrôle chef de file est « le lieu
d’établissement principal » de l’entreprise, soit généralement là où se trouve le siège de l’entreprise
ou bien l’endroit où les décisions relatives à la protection des données personnelles se
prennent et où les principaux traitements de données s’opèrent.
Cette évolution permet, outre l’accélération des procédures, de renforcer la compétitivité
des entreprises dans la mesure où les entreprises seront désormais plus à même de rivaliser
avec la « concurrence régulièrement peu loyale d’opérateurs Internet installés en dehors de l’UE (Etats-Unis,
Asie) qui bénéficient d’une relative impunité sur la gestion de nos données personnelles, compte tenu de la
difficulté à les contrôler lorsque les sièges sociaux ou les serveurs informatiques sont installés à l’autre bout du
monde. » comme l’explique Guillaume Desgens-Pasanau49.
Par ailleurs, il existe des mesures supplémentaires à cette notion de guichet unique. En
effet, lorsqu’une décision doit être prise par une autorité de contrôle secondaire, cette dernière
49 Ibidem
— 52 —
doit obtenir l’avis de l’autorité de référence par un processus de contrôle de cohérence. En
revanche, en cas de désaccord entre celles-ci, la Commission européenne peut décider
d’imposer un blocage sur les décisions d’une autorité de contrôle. Cette possibilité reste, selon
les experts, plutôt restreinte car contester les décisions d’une autre autorité reviendrait à
affaiblir la légitimité du système d’autorités de contrôle en général.
De plus, le guichet unique ne semble pas faire l’unanimité auprès des autorités de contrôle.
Pour certaines, cela aboutirait à un phénomène semblable à celui de jurisdiction shopping50. En
l’occurrence, on peut imaginer qu’une entreprise choisisse d’installer son établissement
principal dans le ressort d’une autorité peu zélée en termes de protection des données
personnelles tel que Luxembourg. Dès lors, le pouvoir de régulation pourrait être concentré
entre les mains de quelques autorités seulement. La Présidente de la CNIL, Madame Isabelle
Falque- Pierrotin a mis en garde contre l’effet néfaste de ce principe qui pourrait rendre la
compétence de certaines autorités « résiduelle »51.
Par ailleurs, le principe de guichet unique soulève un réel problème vis-à-vis des personnes
dont les données sont utilisées à des fins de traitements : comment les citoyens pourront-ils
défendre leurs droits fondamentaux ? En effet, en cas litige, les citoyens devront saisir
l’autorité chef de file de l’entreprise incriminée à laquelle est imputée un manquement à la loi.
Concrètement, si un utilisateur français de Facebook constate un défaut dans le traitement de
ses données personnelles, il devra saisir non pas la CNIL, mais son équivalent irlandais, la
Data Protection Commissioner, car il s’agit de l’autorité chef de file en raison de l’établissement du
siège de Facebook dans ce pays, ou bien le juge irlandais selon la nature de l’affaire. Ce type de
scenario risque bel et bien de se réaliser car le régime fiscal attractif de l’Irlande attire de
nombreuses entreprises américaines établissant leur siège social (Apple, Google, Twitter,
LinkedIn, Microsoft pour ne citer qu’elles). Or, se pourvoir auprès d’une autorité étrangère ou
d’un juge étranger rend l’exercice des droits en matière de protection des données personnelles
et de la vie privée des citoyens d’un Etat membre différent particulièrement délicat et
fastidieux. Les systèmes juridictionnels de chaque Etat membre sont uniques et les lois
nationales ont leurs propres spécificités et comme expliqué précédemment, les autorités de
contrôle nationales en dépit de leur statut commun d’indépendance, peuvent, tant en termes
de moyens financiers qu’humains, largement différer (voir § 1. Place primordiale de la
commission nationale de l'informatique et des libertés). De plus, chaque Etat membre
possède une histoire singulière en termes de construction de sa législation relative à la
protection des données personnelles, certains pays tels que les Pays-Bas ont attendu la
50 Se dit de la possibilité de sélectionner le tribunal compétent en fonction de critères préférentiels.
51 AUFFRAY Christophe, « Données personnelles : le guichet unique solution « d’impunité » pour les géants du Web ? », ZDnet.fr, 30 janvier 2014, [http://www.zdnet.fr/actualites/donnees-personnelles-le-guichet-unique-solution-d-impunite-pour-les-geants-du-web-39797493.htm].
— 53 —
transposition de la directive pour s’y intéresser alors que d’autres comme la République
Tchèque52 ou l’Espagne53 l’ont érigé au titre de droit constitutionnel, ce qui peut aboutir à des
divergences quant à l’importance consacrée à ce domaine.
Finalement, ceci pourrait conduire à un potentiel éloignement entre les autorités de
contrôle nationales et leurs citoyens, qui ne joueraient alors plus qu’un rôle limité dans le cadre
de la protection de données personnelles.
52 République Tchèque, Charte des droits et libertés fondamentaux, 9 janvier 1991, art. 10.
53 Espagne, Constitution, 27 décembre 1978, art. 18.
— 54 —
SECTION II.
VOLONTE DE RESPONSABILISER LES ORGANISMES
Un autre point-clé de ce règlement réside dans la volonté de responsabiliser les organismes
en les invitant eux-mêmes à participer à la protection des données personnelles ainsi qu’en leur
proposant de nommer un délégué à la protection des données personnelles pour les assister
dans cette démarche.
§ 1. ACCOUNTABILITY, DEFINITION ET MISE EN PRATIQUE
Ancré dans les pratiques anglo-saxonnes, le concept d’accountability vient de faire son
apparition au titre du nouveau règlement. Il est d’ailleurs visé au cons. 74 de ce règlement tel
que suivant : « Il y a lieu d'instaurer la responsabilité du responsable du traitement pour tout traitement de
données à caractère personnel qu'il effectue lui-même ou qui est réalisé pour son compte. Il importe, en
particulier, que le responsable du traitement soit tenu de mettre en œuvre des mesures appropriées et effectives et
soit à même de démontrer la conformité des activités de traitement avec le présent règlement, y compris l'efficacité
des mesures. Ces mesures devraient tenir compte de la nature, de la portée, du contexte et des finalités du
traitement ainsi que du risque que celui-ci présente pour les droits et libertés des personnes physiques. »
Bien que nouveau au sein de l’UE, le concept n’est pas totalement récent car il tire son
origine des travaux concernant les lignes directrices de l’OCDE de 198054 et ceux de la
Coopération économique pour l'Asie-Pacifique relatif à la protection des données
personnelles55. D’autres y ont plus récemment fait référence comme la norme ISO/IEC
29100 : 2011 Privacy framework56 ou lors de la conférence internationale annuelle des
Commissaires à la protection des données et de la vie privée57.
Bien qu’il ne connaisse pas d’équivalent à proprement parler dans la loi « Informatique et
libertés » ainsi qu’au sein de l’UE, la CNIL l’a traduit comme « l‘ engagement responsable ».
Concrètement, c’est l’obligation pour les entreprises de mettre en œuvre des mécanismes et
des procédures internes permettant de démontrer le respect des règles relatives à la protection
des données. Cela recouvre notamment la documentation et l’audit des mesures prises pour
maintenir la conformité.
54 Organisation de Coopération et de Développement Économiques, Lignes directrices régissant la protection
de la vie privée et les flux transfrontières de données de caractère personnel, 23 septembre 1980, révisées en 2013.
55 Asia-Pacific Economic Cooperation, Cross Boarder Privacy Rules (CBPR), 2004.
56 ISO/IEC 29100, International standard, information technology - security techniques – privacy framework, 15 décembre 2011.
57 Conférence internationale des commissaires à la protection des données et à la vie privée, Résolution sur des normes internationales de vie privée, 4-6 novembre 2009.
— 55 —
Si le régime juridique antérieur relevait principalement de l’ordre du déclaratif (Selon l’art.
22 et suivants « Sauf désignation d’un correspondant informatique et libertés » ou certains cas particuliers, la
mise en œuvre de tout traitement doit être précédée par une déclaration auprès de la CNIL. »), le RGPD
vient bouleverser les usages en la matière en supprimant l’obligation de déclaration si les
traitements ne constituent pas un risque réel pour la vie privée des personnes concernées. En
ce qui concerne les autorisations, le régime sera maintenu dans la législation nationale dans
certains cas ou bien pourra être remplacé par une consultation préalable nécessitant une étude
d’impact sur la vie privée (une partie sera dédiée à ce cas précis).
En contrepartie de ce supposé allègement administratif, l’entreprise devra être en mesure
de démontrer sa conformité en cas de contrôle par une autorité de contrôle nationale.
Cependant, le bénéfice pour les responsables des traitements de données n’est pas aussi
appréciable que ce que l’on pourrait imaginer.
En effet, l’accountability induit de nouvelles obligations à la charge du responsable du
traitement.
Tout d’abord, au titre de l’art. 5 §2, le responsable du traitement doit être en mesure de
démontrer que les dispositions de l’art. 5 ont été respectées, soit que la collecte des données et
le traitement ont été faits dans le respect des règles relatives à la protection des données.
De plus, l’art. 12 lui impose de rédiger des procédures simples et transparentes relativement
aux modalités d’exercice des droits des personnes concernées.
Par ailleurs, il doit tenir un registre interne recensant toutes les activités de traitement mis
en œuvre au titre de l’art. 30. Ce registre doit contenir certaines informations obligatoires telle
que la finalité du traitement, les noms et coordonnées du responsable de traitement, une
description des catégories de personnes et de données concernées.
De plus, il est soumis une obligation de documentation représentant un travail préparatoire
conséquent. Cette documentation permet de prouver que les mesures appropriées ont été
prises et que celles-ci s’avèrent justifiées au regard de la législation.
De manière pratique, l’accountability se concrétise par la mise en place d’une réelle politique
de protection des données personnelles, par la sensibilisation du personnel (Guide pratique
d’utilisation des données personnelles par exemple), la vérification des procédures mises en
place (Rapport régulier ou conduite d’audit) ou encore la création d’un code de conduite.
L’accountability s’inscrit finalement dans une démarche de responsabilisation et d’éthique de
l’entreprise, et vient souligner le rôle offert à l’entreprise qui devient elle-même un acteur de la
régulation des données personnelles. Un parallèle peut être fait avec les BCR (voir 1. §
Internationalisation des flux) qui eux-mêmes invitent à une responsabilisation de
l’entreprise traitant des données personnelles hors de l’UE.
— 56 —
En ce sens, François-Pierre LANI, avocat associé du cabinet Derriennic Associés compare
habilement l’accountability à un processus de qualité : « Dans l’alimentaire par exemple, les grosses
entreprises mettent en place un ensemble de règles pour assurer la traçabilité de la fabrication des aliments. Et
bien en parallèle de ce processus, il y aura exactement la même chose pour les données. Et cela s’appellera
processus données personnelles »58.
En établissant le principe d’accountability au cœur du règlement, un poids est enlevé tant aux
entreprises qu’aux autorités de contrôle qui pourront désormais se consacrer à d’autres actions
telle que la sanction des entreprises manquant à leurs obligations en matière de données
personnelles.
Cette relative souplesse n’est pas sans contreparties car, comme expliqué précédemment,
elle s’accompagne de nouvelles obligations à la charge de responsable du traitement. Il reste
tout de même quelques incertitudes à l’aube de l’entrée en vigueur du règlement en mai 2018.
D’une part il s’agit de délimiter les standards de l’accountability, doit-il s’agir d’une simple
documentation de quelques pages ou bien de la mise en place d’une gouvernance des données
en profondeur dans l’entreprise ? Quelle grille de lecture sera utilisée par les autorités de
contrôle lors des futures vérifications ?
D’autre part, les entreprises concernées par la législation relative à la protection des
données personnelles semblent peu informées de ce changement majeur et des mesures à
prévoir qu’il implique et lorsqu’elles le sont, seules 10 % des entreprises françaises estiment
pouvoir y parvenir59. Le 27 mars dernier, la Présidente de la CNIL a d’ailleurs exhorté les
entreprises et les acteurs publics à se conformer le plus rapidement : « Le message numéro un […]
c'est qu'il faut absolument qu'ils se mettent en marche pour être prêts sur le règlement européen […] C'est un
message d'alerte à destination des acteurs, tenez-vous prêts ! »60.
Gageons que les acteurs se seront mis en conformité à échéance car ils ne souhaiteront
probablement pas se risquer à une sanction pécunière, dont le montant a d’ailleurs été
augmenté par le RGPD.
58 LANI François-Pierre, « "Accountability", coresponsabilité, "Privacy by Design" » : bien comprendre les 3
piliers du RGPD », MAG IT, 24 mars 2017, [http://derriennic.com/accountability-coresponsabilite-privacy-by-design-bien-comprendre-les-3-piliers-du-rgpd/].
59 Consultation Medef, mars 2017.
60 Agence France Presse, « Données personnelles : la Cnil exhorte les sociétés à se préparer », Le Parisien, 27 mars, [http://www.leparisien.fr/high-tech/donnees-personnelles-la-cnil-exhorte-les-societes-a-se-preparer-27-03-2017-6800838.php].
— 57 —
§ 2. DELEGUE A LA PROTECTION DES DONNEES, UNE FONCTION
DETERMINANTE
Un rôle de Détaché à la Protection des Données ou Data Protection Official avait déjà été
prévu par la directive 95-46 du 24 octobre 1995 mais il n’occupait qu’une place minime dans la
protection des données personnelles, restreint à l’obligation de notification aux autorités de
contrôle (art. 18 et 20). Certains Etats membres avaient, quant à eux, approfondi ce rôle en lui
reconnaissant un véritable statut. Dans le cadre de la loi de réforme du 6 août 2004, la France
avait instauré la fonction de CIL.
Ce dernier est une personne bénéficiant « des qualifications requises pour exercer ses missions » au
titre de l’art. 22. Le décret d’application du 20 octobre 200561 vient apporter plus de précisions
à cette définition en indiquant qu’il peut s’agir d’une personne physique ou morale, d’un
employé de l’organisme ou, sous certaines conditions, d’une personne extérieure à celui-ci.
En contrepartie de la désignation d’un CIL dans un organisme, une dispense de déclaration
(relevant de la déclaration normale ou simplifiée) est accordée. En plus de cet allègement des
formalités, les missions du CIL sont très diverses (art. 49 et 50 du décret d’application) :
- Il tient et met à jour le registre des traitements automatisés et assure leur accessibilité ;
- Il veille en toute indépendance au respect de la loi « Informatique et libertés » au sein de
l’organisme ;
- Il reçoit les demandes et les réclamations des concernées par les traitements ;
- Il rend compte de son action par l’établissement d’un bilan auprès du responsable de
traitement et le met à disposition de la CNIL ;
- Il informe, conseille et recommande les responsables de traitement.
Il peut également incomber au CIL des missions non-prévues par la loi telles que
l’élaboration des dossiers de formalités auprès de la CNIL pour certains traitements, la
sensibilisation du personnel aux dispositions législatives en matière de données personnelles, la
création d’une politique internet de protection des données à caractère personnel, pour n’en
citer que quelques-unes.
L’une des mesures phares du RGPD est donc la consécration de cette fonction de DPD
tout en approfondissant les missions lui incombant. Contrairement au CIL dont la désignation
est facultative, celle du délégué est imposée dans certains cas.
61 Décret n°2005-1309 pris pour l'application de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux
fichiers et aux libertés, 20 octobre 2005, version consolidée au 14 août 2017.
— 58 —
L’art. 37 du RGPD indique dans quels cas la désignation d’un DPP est obligatoire tel que
suivant : « Le responsable du traitement et le sous-traitant désignent en tout état de cause un délégué à la
protection des données lorsque :
1. le traitement est effectué par une autorité publique ou un organisme public, à l’exception des juridictions
agissant dans l’exercice de leur fonction juridictionnelle ;
2. les activités de base du responsable du traitement ou du sous-traitant consistent en des opérations de
traitement qui, du fait de leur nature, de leur portée et/ou de leurs finalités, exigent un suivi régulier et
systématique à grande échelle des personnes concernées ; ou
3. les activités de base du responsable du traitement ou du sous-traitant consistent en un traitement à
grande échelle de catégories particulières de données visées à l’article 9 et de données à caractère personnel
relatives à des condamnations pénales et à des infractions visées à l’article 10. ».
Ce sont donc les traitements emportant le plus de risques, ceux à grande échelle de
données sensibles ou de données de suivi des personnes de manière régulière et systématique,
et la nature administrative de l’organisme qui rendent la présence d’un DPD indispensable.
Le G29 a apporté son éclairage en ce qui concerne l’acception de « suivi régulier et systématique
des personnes à grande échelle » et d’« activité de base »62.
Pour déterminer si le traitement est effectué à grande échelle, plusieurs facteurs peuvent
entrer en compte tel que le nombre de personnes concernées, le volume de données ou encore
l’étendue géographique de l’activité de traitement. L’« activité de base », quant à elle, est
considérée comme l’activité clé lui permettant de réaliser ses objectifs financiers ou celle
inévitablement liée au traitement. (Certains avancent les chiffres suivants mais le règlement
laisse une marge d’appréciation certaine :
- des traitements portant sur 5000 personnes ou plus sur une durée de douze mois ;
- des traitements de données sensibles, de localisation ou portant sur des enfants, des
salariés dans des fichiers de grande ampleur ;
- une activité de base impliquant un suivi régulier et systématique des personnes
physiques.).
Toutefois, rien n’interdit aux organismes pour lesquels la nomination n’est pas imposée de
nommer un DPD, et ce d’autant plus que les sanctions se sont durcies avec la mise en place
du RGPD.
62 Groupe de travail "Article 29" sur la protection des données, « Guidelines on Data Protection Impact
Assessment (DPIA) and determining whether processing is “likely to result in a high risk” for the purposes of Regulation 2016/679 17/EN WP 248», 4 avril 2017.
— 59 —
Quant à leur profil professionnel, excepté le fait que les DPD doivent être en mesure
d'exercer leurs fonctions et missions en toute indépendance (Cons. 97 et art. 37 § 5), seul un
niveau de connaissances spécialisées est requis ainsi que le suivi d’une formation continue
(entretien de ses connaissances spécialisées) sans plus de mentions spécifiques.
Par ailleurs, les missions du DPD sont, elles, bien plus développées que celles du CIL car il
doit mettre en conformité l’ensemble de l’organisme tel que requis par le RGPD. En effet, aux
termes de l’art. 39, les missions du DPD sont à minima de «
1. informer et conseiller le responsable du traitement ou le sous-traitant ainsi que les employés qui procèdent
au traitement sur les obligations qui leur incombent en vertu du présent règlement et d’autres dispositions du
droit de l’Union ou du droit des États membres en matière de protection des données ;
2. contrôler le respect du présent règlement, d’autres dispositions du droit de l’Union ou du droit des États
membres en matière de protection des données et des règles internes du responsable du traitement ou du sous-
traitant en matière de protection des données à caractère personnel, y compris en ce qui concerne la répartition
des responsabilités, la sensibilisation et la formation du personnel participant aux opérations de traitement, et
les audits s’y rapportant ;
3. dispenser des conseils, sur demande, en ce qui concerne l’analyse d’impact relative à la protection des
données et vérifier l’exécution de celle-ci en vertu de l’article 35 ;
4. coopérer avec l’autorité de contrôle ;
5. faire office de point de contact pour l’autorité de contrôle sur les questions relatives au traitement, y
compris la consultation préalable visée à l’article 36, et mener des consultations, le cas échéant, sur tout autre
sujet. »
Les missions se sont donc renforcées, en particulier le rôle de conseil et de sensibilisation
sur les nouvelles obligations du règlement (notamment en matière de conseil et de vérification
de l’exécution des analyses d’impact).
Par ailleurs, les organismes doivent fournir à leur délégué les ressources nécessaires à leurs
missions (Par exemple en lui donnant accès aux données ou encore en lui permettant de se
former).
La principale interrogation pesant sur ce métier d’avenir s’articule autour de son
recrutement. S’il peut être recruté en interne ou externe ou encore mutualisé, peut-on
décemment remplacer les CIL actuels par des DPD ?
En termes d’opportunités, il serait aisé de faire évoluer la fonction de CIL vers la fonction
élargie de DPD. Plusieurs associations telle l’Association Française des Correspondants à la
protection des Données à caractère Personnel ont milité pour que soit aménagée une clause
— 60 —
du grand-père63. Cette clause permet ainsi à un individu, en l’occurrence le CIL, de ne pas être
défavorisé par la nouvelle loi, et ainsi de continuer à bénéficier de ses avantages. Cette clause
serait toutefois limitée dans le temps afin de permettre aux individus de se conformer à la
nouvelle législation et aux CIL actuels qui le souhaitent et qui répondent aux nouvelles
exigences d’être confirmés dans leur fonction en tant que DPD.
Cependant, le périmètre des missions évolue de manière considérable et il serait inopportun
d’opérer une fusion des fonctions sans être certain que les CIL actuels aient mis à jour leurs
acquis grâce à un système de formation continue.
63 Se dit d'une clause spécifique qui permet à un individu de bénéficier d'un ancien juridique qui pourrait lui
être plus favorable par rapport au nouveau cadre.
— 61 —
CHAPITRE II.
MISE EN PLACE DE NOUVEAUX CONCEPTS DIRECTEURS
La Commission européenne a ainsi su s’imposer pour reprendre la main sur ce sujet qu’est
la protection des données personnelles. Son principal défi est de trouver l’équilibre adéquat
entre renforcer la confiance auprès de l’ensemble des citoyens de l’UE en leur assurant un
niveau élevé de protection et favoriser l’innovation numérique par l’assouplissement des
règles. La conciliation de ces deux objectifs semble être délicat lorsque l’on sait qu’une
législation trop sévère peur brider l’innovation et, inversement une législation trop souple peut
faciliter les atteintes aux droits des citoyens mais de nouveaux concepts directeurs viennent
s’affirmer en respect de ces deux idées principales, ceux-ci seront présentés dans ce chapitre.
— 62 —
SECTION I.
PRIORITE ACCORDEE A L’ANTICIPATION
La démarche de responsabilisation des organismes entreprise par le RGPD est également
caractérisée par la place prépondérante que revêt l’anticipation. En effet, c’est en amont du
traitement de données personnelles que le responsable de traitement devra documenter ses
actions pour être en conformité au RGPD. En outre, le citoyen est remis au cœur du projet de
cette réforme du cadre légal de protection des données personnelles au sein de l’UE en
consacrant et renforçant certains de ses droits, intervenant à tout moment du cycle de vie des
données personnelles.
§ 1. PRIVACY IMPACT ASSESSMENT
L’application du RGPD impose à certains organismes la réalisation d’une étude d’impacts
sur la vie privée (EIVP), encore appelée Data Protection Impact Assessment. En effet, aux termes
de l’art. 35 du RGPD, les traitements susceptibles de présenter un risque élevé pour les droits
et les libertés des personnes physiques (le traitement à grande échelle de données sensibles ou
impliquant de nouvelles technologies par exemple) nécessitent avant leur mise en œuvre, une
analyse de l'impact des opérations de traitement envisagées sur la protection des données à
caractère personnel. Il s’agit en fait d’un document rédigé par le responsable de traitement
pouvant être assisté du DPD dont l’objectif est de relever les risques vis-à-vis de la protection
des données personnelles des personnes concernées.
La réalisation est rendue ainsi obligatoire pour :
- Les traitements à grande échelle ;
- La surveillance systématique à grande échelle d’une zone accessible au public
(notamment la vidéosurveillance) ;
- Les décisions automatiques produisant des effets juridiques (pour des offres de
prestations, ou le choix de contractualisation) ;
- Le traitement de données sensibles (données de santé, opinions politiques, orientation
sexuelle) ;
- L’évaluation ou la notation basée sur des données personnelles, y compris le profilage
et la prédiction ;
- Le traitement de données biométriques, de données relatives à des condamnations
pénales et à des infractions ;
— 63 —
Les autorités de contrôle nationaux comme La CNIL pour la France, sont en charge
d’éditer la liste de recensement des traitements nécessitant une EIVP (art. 35 §4) et la liste des
traitements n’en nécessitant pas (article 35§5). Le G29 a, par ailleurs, recommandé qu’une
EIVP soit effectuée de manière récurrente afin d’aider les responsables de traitements dans
leur mise en conformité.
Selon la CNIL, une EIVP repose sur deux piliers, premièrement « les principes et droits
fondamentaux dits "non négociables", qui sont fixés par la loi et doivent être respectés et ne
peuvent faire l’objet d’aucune modulation, quels que soient la nature, la gravité et la
vraisemblance des risques encourus » et deuxièmement, « la gestion des risques sur la vie
privée des personnes concernées, qui permet de déterminer les mesures techniques et
d’organisation appropriées pour protéger les données personnelles »64.
Afin de mettre en œuvre une telle démarche et dans un souci d’accompagnement, la CNIL
a publié plusieurs guides (PIA-1, la méthode : Comment mener une étude d'impact sur la vie
privée65, PIA-2, l'outillage : Modèles et bases de connaissances de l'étude d'impact sur la vie
privée66, PIA-3, les bonnes pratiques : Mesures pour traiter les risques sur les libertés et la vie
privée67) pour permettre aux organismes concernés d’établir de manière méthodique une
EIVP.
Cette analyse permet finalement édifier un traitement de données personnelles respectueux
de la vie privée des personnes concernées, d’apprécier les potentiels impacts sur celle-ci, et de
parvenir au respect du règlement.
Pour la réaliser, 4 grandes étapes peuvent être suivies mais son exercice reste libre et seules
les dispositions prévues à l’art. 35 §7 doivent être obligatoirement contenues dans l’EIVP.
De manière résumée et en suivant les préconisations de la CNIL, une étude préalable du
contexte doit être premièrement effectuée. Celle-ci vient délimiter et décrire les traitements
considérés (collecte, finalité, durée de conservation), leurs supports matériels et les
responsabilités liées aux traitements. L’étude du contexte doit notamment comprendre « une
évaluation de la nécessité et de la proportionnalité des opérations de traitement au regard des finalités ».
64 Commission Nationale de l'Informatique et des Libertés, « PIA-1, la méthode : Comment mener une étude
d'impact sur la vie privée », [https://www.cnil.fr/sites/default/files/typo/document/CNIL-PIA-1-Methode.pdf].
65 Ibidem
66 Commission Nationale de l'Informatique et des Libertés, « PIA-2, l'outillage : Modèles et bases de connaissances de l'étude d'impact sur la vie privée », [https://www.cnil.fr/sites/default/files/typo/document/CNIL-PIA-2-Outillage.pdf].
67 Commission Nationale de l'Informatique et des Libertés, « PIA-3, les bonnes pratiques : Mesures pour traiter les risques sur les libertés et la vie privée », [https://www.cnil.fr/sites/default/files/typo/document/CNIL-PIA-3-BonnesPratiques.pdf].
— 64 —
Deuxièmement, une étude des mesures (juridiques, techniques et organisationnelles) est
réalisée afin de recenser les mesures préexistantes au traitement ou en prévision, venant limiter
les risques sur la vie privée et assurer la mise en conformité avec les exigences légales.
Troisièmement, une étude des risques est envisagée pour apprécier les risques liés à la
sécurité des données. Elle se décompose en deux parties pour faciliter l’identification et
l’analyse des parties. D’un côté, est répertorié tout évènement pouvant être impactant sur les
données personnelles (vol, divulgation, effacement, détérioration des données par exemple) et
auquel est accordé un niveau de gravité. De l’autre côté, est listé tout ce qui peut amener à ces
scenarii. Les deux catégories sont croisées pour juger de la sévérité et de la vraisemblance de
ces événements potentiels.
Enfin, la dernière étape consiste à valider, ou non, le choix des mesures existantes et
prévues permettant de traiter les risques. Si celles-ci ne s’avèrent pas suffisantes au regard des
risques encourus, des mesures correctrices sont apportées et l’analyse est alors recommencée
jusqu’à aboutir à une solution satisfaisante.
Pour une conformité optimale, l’actualisation de l’EIVP reste indispensable et il est
important de prendre en compte les différents facteurs susceptibles de le modifier (mise en
place d’un nouveau support technique contenant des données personnelles par exemple). De
plus, si une relation de sous-traitance des données est mise en place, il convient de contrôler
l’élaboration des EIVP des sous-traitants, gage de sécurité pour les responsables de
traitements en premier lieu.
S’il n’est pas obligatoire d’établir des EIVP, hormis les cas de figure précités, il semble
fortement conseillé d’y procéder car ces dernières constituent des pièces justificatives en cas
de contrôle par l’autorité nationale en charge afin de démontrer la bonne conformité aux
exigences légales et ce, particulièrement dans la situation où le traitement concerné était
auparavant soumis à une obligation d’autorisation de la part de l’autorité de contrôle.
L’EIVP vient ainsi parfaitement s’inscrire dans la démarche de l’accountability, qui désigne la
capacité de chaque entreprise à entreprendre des démarches mettant en œuvre des
mécanismes et des procédures internes permettant de démontrer le respect des règles relatives
à la protection des données.
L’application de cette méthode par les entreprises revêt désormais une importance cruciale
et devrait ainsi participer à leur responsabilisation vis-à-vis de la protection des données
personnelles. La seule difficulté apparente reste l’application d’une telle analyse qui nécessite
des compétences à la fois juridiques, techniques et organisationnelles.
— 65 —
§ 2. PRIVACY BY DESIGN ET PRIVACY BY DEFAULT
Un des autres aspects prévalents de ce règlement est l’importance accordée à deux
principes, le privacy by design et le privacy by default par les entreprises, au titre de l’art. 25.
Le privacy by design ou Protection intégrée de la vie privée (PIVP) est une expression qui a
été pour la première fois employée au début des années 1990 par la Commissaire à la
protection des données de l’Etat d’Ontario au Canada, Ann Cavoukian68.
Ce principe désigne le fait que le respect de la vie privée et des données personnelles doit
être pris en compte dès la conception d’un produit ou d’un service technologique. Celui-ci
rejoint la pensée de Lawrence Lessig, figure majeure d’Internet, qui dans son article Code is
Law69 avait déjà exprimé un point de vue similaire en avançant que les technologies pouvaient
d’elles-mêmes apporter des solutions satisfaisantes.
« [ndt] À propos de la liberté dans le cyberespace] Ce régulateur, c’est le code : le logiciel et le matériel qui
font du cyberespace ce qu’il est. Ce code, ou cette architecture, définit la manière dont nous vivons le cyberespace.
Il détermine s’il est facile ou non de protéger sa vie privée, ou de censurer la parole. »
Le concept de privacy by design a depuis été consacré comme « un élément essentiel de la protection
fondamentale de la vie privée » à l’occasion de la 32ème conférence internationale des commissaires
à la protection des données et de la vie privée de 2010 à Jérusalem70.
Le privacy by design part ainsi du principe que la protection de la vie privée doit être envisagée
de manière proactive et préventive et ce, dès la conception d’une nouvelle technologie pour
éviter qu’elle n’entraîne de nombreuses violations de la protection des données. Ceci s’inscrit
parfaitement dans les situations où cadre légal n’est pas toujours au jour des avancées
technologiques.
L’art. 25, alinéa 1 du règlement disposant que : « Compte tenu des techniques les plus récentes et des
coûts liés à leur mise en œuvre, le responsable du traitement applique, tant lors de la définition des moyens de
traitement que lors du traitement proprement dit, les mesures et procédures techniques et organisationnelles
appropriées de manière à ce que le traitement soit conforme aux prescriptions du présent règlement et garantisse
la protection des droits de la personne concernée. », la protection de la vie privée dès la conception
s’envisage ainsi par la prise de mesures techniques concernant les systèmes et infrastructures
recevant ou envoyant des données personnelles, et organisationnelles vis-à-vis les pratiques de
l’entreprise en matière de traitement de données. Néanmoins, on peut souligner la souplesse
68 CAVOUKIAN Ann,«Privacy by Design The 7 Foundational Principles», août 2009,
[https://www.ipc.on.ca/wp-content/uploads/Resources/7foundationalprinciples.pdf].
69 LESSIG Lawrence, « Code is Law – On Liberty in Cyberespace », Harvard Magazine, 2000, traduction Framaland, [https://framablog.org/2010/05/22/code-is-law-lessig/].
70 Conférence internationale des commissaires à la protection des données et à la vie privée, Resolution on Privacy by Design, 27-29 octobre 2010.
— 66 —
accordée au responsable de traitement n’ayant qu’une obligation de moyens à sa charge, le
respect de la vie privée et des données personnelles étant appréciée relativement aux
évolutions techniques et à leurs coûts.
À titre d’exemple, de nombreux smartphones sont désormais dotés d’un lecteur
d’empreintes digitales utilisé dans le système de verrouillage de l’appareil. Or, les données
biométriques récoltées par ce biais sont hautement sensibles. Suivant le principe du privacy by
design, l’innovation technologique derrière le lecteur d’empreintes a dû être conçue de façon à
ce que la vie privée soit protégée, grâce à un cryptage des données par exemple.
Selon Madame Ann Cavoukian, le concept repose sur 7 piliers résumés tels que suivants :
1. Des mesures proactives et préventives
2. Une protection implicite et automatique
3. Une intégration de la vie privée dans la conception des systèmes et au cœur des
pratiques
4. Une protection intégrale
5. Une sécurité de bout en bout, durant toute la durée de la conservation des données
6. Assurer la visibilité et la transparence
7. Respecter la vie privée des utilisateurs (en privilégiant les intérêts des particuliers)
Preuve de l’engouement autour du privacy by design, les entreprises conscientes de l’image
qu’elles revoient en termes d’éthique et de crédibilité, n’hésitent plus à l’utiliser comme un
outil marketing leur permettant promouvoir leurs produits. Ainsi, lors de la présentation de
iOS 9, Apple a mis l’accent sur la protection des données personnelles en présentant des
mesures respectueuses de la vie privée : ainsi les données alimentant l’assistant Siri ne sont pas
partagées avec des tiers, ni associées à un compte nominatif, et les données stockées sur
iCloud sont désormais chiffrées71. Cet argument de vente est commun à d’autres entreprises
telle que Cozy proposant des serveurs personnels en ligne dans « le plus total respect de votre
vie privée, puisque vos données sont stockées dans un espace que vous contrôlez ».
Il en va de même pour les technologiques appliquant le principe du privacy by default, qui, lui
aussi, permet de dégager une image de confiance auprès des utilisateurs. Cependant, celui s’axe
non plus sur l’outil envoyeur ou récepteur de données, mais sur le traitement des données en
lui-même. Ainsi, l’entreprise traitant des données personnelles doit garantir par défaut le plus
haut niveau possible de protection des données et cette obligation se prolonge tout au long de
71 CHAMPEAU Guillaume, « La nouvelle obsession d’Apple ? Protéger votre vie privée. », Numerama,
Sciences, 9 juin 2015, [http://www.numerama.com/magazine/33336-la-nouvelle-obsession-d-apple-proteger-votre-vie-privee.html].
— 67 —
la conservation et de l’utilisation des données. L’art. 25 du RGPD prévoit ainsi que le
responsable de traitement mette en place des mécanismes visant à garantir que :
- seules sont traitées les données nécessaires à chaque finalité du traitement ;
- les données ne sont pas conservées au-delà du minimum nécessaire à ces finalités ;
- les données ne sont pas rendues accessibles à un nombre indéterminé de personnes
physiques.
Concrètement, cela se matérialise par la possibilité pour l’utilisateur de configurer ses
paramètres de confidentialité pour éviter une exploitation abusive des données (Demande de
consentement pour activer le service de géolocalisation par exemple) ou encore une
réutilisation des données à d’autres finalités que celles initialement prévues.
Les principes de Privacy by design et Privacy by Default apparaissent comme de nouvelles lignes
directrices dans le cadre de protection des données personnelles et viennent davantage
responsabiliser les entreprises afin que ces dernières assurent le respect des règles en matière
de protection des données.
— 68 —
SECTION II.
RENFORCEMENT DU CONTROLE DES CITOYENS SUR LEURS DONNEES A
CARACTERE PERSONNEL
Si la loi « Informatique et libertés » du 6 janvier 1978 modifiée le 6 août 2004 consacrait
déjà les droits des personnes concernées, le RGPD vient, quant à lui, les renforcer et les
développer. De manière générale, la personne concernée se voit faciliter l’exercice de ses
droits, encore étendus.
§ 1. CONSECRATION DE NOUVEAUX DROITS POUR LES CITOYENS
Le traitement des données des mineurs de moins de 16 ans a particulièrement retenu
l’attention du législateur européen qui lui a consacré un régime spécial. En effet, selon l’art. 8 §
1 du RGPD, tous traitements de données concernant des mineurs de moins de 16 ans sera
considéré comme illégal sans l’accord préalable du titulaire de l’autorité parentale. Cette
majorité digitale revêt une importance considérable lorsque l’on connaît l’appétence du jeune
public pour l’Internet. En 2017, les 13-19 ans surfaient sur le web près de 15 heures par
semaine selon une étude annuelle d'Ipsos publiée cette année72. Toutefois, les États membres
peuvent abaisser cet âge par la loi sans qu’il ne soit inférieur à 13 ans. Or, on peut imaginer
que les mineurs contournent cette restriction lorsqu’ils n’ont pas l’âge requis en allant sur des
sites d’autres Etats membres où leur âge ne requiert pas une autorisation parentale.
Bien que cette disposition se veuille protectrice envers les mineurs, il reste difficile
d’imaginer des mécanismes innovants pour recueillir l’accord du titulaire de l’autorité parentale
sans que cela soit trop aisé à contourner pour un mineur (une simple case à cocher par
exemple) ou bien trop complexe (mise en place d’une signature électronique, copie des papiers
d’identité, etc…).
L’art. 20 du RGPD vient également consacrer le droit à la portabilité. Celui-ci permet à la
personne concernée de récupérer les données collectées dans un format facilement réutilisable
et lisible dans la perspective de les transmettre à un tiers (fournisseur d’accès à internet, réseau
social, etc…). On peut légitimement dire qu’il est là plus question de faciliter la concurrence au
sein du Marché Unique que de promouvoir les droits des citoyens.
De plus, en cas d’accès non autorisé à des données personnelles tel qu’un piratage, la
personne concernée doit désormais être prévenue. En effet, le RGPD développe aux termes
de l’art. 33 une obligation de signalement (data breach notification) pour les responsables de
traitement ainsi que les sous-traitants aux personnes concernée dans un délai maximal de 72h
72 Ipsos France, « Junior Connect’ 2017 », 14 mars 2017, p.11
[http://www.ipsos.fr/sites/default/files/doc_associe/junior_connect_2017_-_resultats.pdf].
— 69 —
suivant la découverte de la violation. Néanmoins, la violation en question doit s’avérer
gravement problématique pour les « droits et libertés des personnes physiques » pour emporter cette
obligation de notification. L’art. 34 du RGPD vient d’ailleurs préciser cette disposition en
employant le mot « élevé » pour définir le risque susceptible de survenir suite à la violation.
Reste à interpréter ce qui sera entendu par le mot « élevé », ce qui sera vraisemblablement le
rôle du juge.
Est également introduit le droit à une information complète en langage clair, intelligible et
aisément accessible aux personnes concernées par les traitements de données (Art. 12). Ainsi,
au moment où les données sont collectées, un grand nombre d’informations de divers types
sont nécessairement communiquées aux personnes concernées telles que dénombrées par l’art.
13 (Et l’art. 14 dans le cas où les données à caractère personnel n'ont pas été collectées auprès
de la personne concernée) parmi lesquelles :
- L'identité et les coordonnées du responsable du traitement et, le cas échéant, du
représentant du responsable du traitement ;
- Les finalités du traitement auquel sont destinées les données à caractère personnel ainsi
que la base juridique du traitement ;
- Lorsque le traitement est fondé sur l'article 6, paragraphe 1, point f), les intérêts
légitimes poursuivis par le responsable du traitement ou par un tiers ;
- Les destinataires ou les catégories de destinataires des données à caractère personnel,
s'ils existent ;
- La durée de conservation des données à caractère personnel ou, lorsque ce n'est pas
possible, les critères utilisés pour déterminer cette durée ;
- Le droit d'introduire une réclamation auprès d'une autorité de contrôle.
Cette liste exhaustive d’informations s’ajoute aux nouvelles contraintes incombant au
responsable de traitement qui devra probablement mettre un place un outil informatif
suffisamment concis et clair à l’intention des personnes concernées.
§ 2. RENFORCEMENT DES DROITS PREEXISTANTS
L’accès de la personne concernée à ses données personnelles est facilité par le
renforcement de ses droits. Ainsi, les personnes peuvent rectifier et faire effacer leurs données
au titre de l’art. 16 suivant lequel : « La personne concernée a le droit d'obtenir du responsable du
traitement, dans les meilleurs délais, la rectification des données à caractère personnel la concernant qui sont
inexactes » et l’art. 17 suivant lequel : « La personne concernée a le droit d'obtenir du responsable du
traitement l'effacement, dans les meilleurs délais, de données à caractère personnel la concernant et le responsable
du traitement a l'obligation d'effacer ces données à caractère personnel dans les meilleurs délais ». Cependant,
— 70 —
le droit à l’effacement ou encore appelé droit à l’oubli ne peut être invoqué que s’il répond à
l’un des 6 motifs prévus par le RGPD, soit lorsque les données ne sont plus nécessaires,
quand la personne concernée retire son consentement, quand la personne concernée s’oppose
au traitement à des fins de prospection, quand les données ont fait l’objet d’un traitement
illicite, ou quand les données doivent être effacées pour respecter une obligation légale, ou
encore lorsque les données ont été collectées dans le cadre d’une offre de service à
destinations de mineurs.
Par ailleurs, cette obligation de rectification et de suppression s’étend également aux sous-
traitants avec lesquels il peut collaborer. Cela peut s’avérer particulièrement complexe si de
nombreuses relations de sous-traitance existent, le responsable de traitement devra donc
trouver un moyen de centraliser ou au contraire de coordonner les actions de chacun dans le
but de satisfaire aux obligations légales.
De nouvelles exigences en matière de consentement viennent se superposer à celles déjà
existantes. Ainsi, au titre de l’art. 7, la demande de consentement devra être formulée avec des
termes clairs et simples et de manière indentifiable permettant de la distinguer. Le responsable
de traitement devra d’ailleurs réfléchir à une formulation adaptée à la compréhension d’un
mineur.
Quant au consentement, celui-ci ne sera qualifié que s’il est « donné par un actif positif clair »
aux termes du cons.32 du RGPD. Sa forme peut varier, allant de la case à cocher, à la
déclaration écrite ou encore orale. Enfin, le consentement peut fait l’objet d’un retrait à tout
moment sans qu’il y ait d’obstacles à celui-ci.
Le responsable de traitement devra donc penser son approche en termes de réactivité afin
de ne pas contrevenir à la législation en vigueur lorsqu’une personne souhaite retirer son
consentement.
Le règlement renforce le droit d’opposition en restreignant le profilage automatisé servant
de base à une décision. En effet, l’art. 21 du RGPD dispose que « La personne concernée a le droit
de ne pas faire l’objet d’une décision fondée exclusivement sur un traitement automatisé, y compris le profilage,
produisant des effets juridiques la concernant ou l’affectant de manière significative de façon similaire ».
Autrement dit, est exclu tout profilage consistant à évaluer les caractéristiques physiques de la
personne physique concernée, par exemple un système de d’études de souscription pour une
assurance automobile qui, en fonction des données préremplies, rejettent automatiquement la
requête sans intervention humaine ou bien encore un système de recrutement comme expliqué
au cons. 71 du RGPD.
Cette disposition connaît cependant des exceptions qui viennent aménager le principe, soit
lorsque le traitement est nécessaire à l’exécution d’un contrat entre la personne concernée et le
— 71 —
responsable du traitement ou lorsque la décision a été autorisée par le droit communautaire ou
bien encore si le consentement a de la personne concernée a été valablement recueilli.
Le RGPD vient renforcer les obligations des responsables de traitement quant aux
modalités d’exercices des droits des personnes concernées afin de les faciliter au titre de l’art.
12. Désormais, le délai sous lequel les responsables de traitement doivent traiter les demandes
des personnes concernées quant à l'accès aux données à caractère personnel, leur rectification,
leur effacement, et à l'exercice du droit d'opposition a été raccourci à 1 mois. Si un retard est
avéré, celui-ci devra être justifié auprès de la personne concernée. L’art. 12 laisse également la
possibilité pour les personnes concernées d’effectuer leur demande de manière orale. Enfin,
l’exercice de ces droits devront être totalement gratuits excepté les cas où la demande apparaît
manifestement infondée ou excessive
Les modalités pratiques relatives aux réponses des responsables de traitement seront
manifestement peu difficiles à mettre en place. En effet, la majorité des personnes concernées
voulant exercer leurs droits pourront envoyer un courrier électronique via l’interface du site
web consacré à l’activité ou grâce à l’adresse citée préalablement à la collecte de données ; ou
encore pourront se voir rembourser leurs frais d’envoi postaux à l’instar des jeux-concours.
Au titre de l’art. 82, le responsable du traitement ou son sous-traitant devra réparer tout
dommage subi par une personne du fait d'un traitement effectué en violation du règlement.
Reste à déterminer la notion de dommage grâce à la prochaine jurisprudence de la CJUE, ainsi
que la répartition du dommage lorsqu’il existe plusieurs responsables.
Le responsable du traitement ou son sous-traitant pourra toutefois être exonéré de sa
responsabilité à charge pour lui de démontrer que le dommage ne lui est pas directement
imputable.
Si la volonté de remettre l’individu en tant que tel au centre du règlement est bel et bien
présente, elle n’a pas été vivement saluée par les associations de défense des libertés en ligne,
jugeant que de la première mouture du règlement, seul « l’essentiel a été sauvé […] » ne restant
qu’une « une parodie de l’intention originale »73. De plus, des questions d’ordre pratique se
dessinent quant à adaptation des entreprises dont les responsables de traitement et sous-
traitants seront en première ligne lors de la mise en conformité.
73 GUITON Amaelle, « L'Europe s'accorde sur la protection des données personnelles », Libération, 17
décembre 2015, [http://www.liberation.fr/futurs/2015/12/17/l-europe-s-accorde-sur-la-protection-des-donnees-personnelles_1421077].
— 72 —
CONCLUSION GENERALE
— 73 —
« Veut-on l’Europe des marchands ou celle des droits de l’Homme ? »
CNIL
En réaction au projet de directive 95-46 du 24 octobre 1995
Si le RGPD semble a priori renforcer les acquis de la loi « Informatique et libertés »
notamment par le renforcement et la consécration de certains droits pour les citoyens, les
changements majeurs opérés par le RGPD s’orientent bel et bien vers une logique
économique profitable aux entreprises, s’expliquant d’ailleurs par la reprise en main de la
Commission sur ce sujet.
Ainsi, il ne s’agit pas d’une remise en cause totale du modèle établi par la France mais du
moins de l’esprit de la loi « Informatique et libertés » pensée en tant que cadre très protecteur
et respectueux de la vie privée.
Les citoyens ont sans doute été plus indulgents en regard du contexte actuel, marqué par le
terrorisme, mais s’il l’on désire une protection forte des données personnelles, ce sont ces
derniers qui devront revendiquer leur volonté en axant par exemple leur consommation sur
des produits et entreprises respectueux de la vie privée. L’avenir de la protection des données
personnelles reste plus qu’incertain à l’heure où la donnée est au cœur des préoccupations des
entreprises et la sensibilisation auprès du jeune public doit, plus que jamais, être prise en
compte.
— 74 —
ANNEXES
— 75 —
Figure 1 — Composition de la CNIL
Composition de la CNIL
Source : Site internet de la CNIL
Figure 2 — Type de déclaration selon les données ou finalités de traitement
Type de déclaration selon les données ou finalités de traitement
Source : Site internet CNRS
— 76 —
Figure 3 — Missions du CIL
Les missions du CIL
Source : Site internet CNIL
— 77 —
BIBLIOGRAPHIE
— 78 —
ARTICLES DE CODES DE LOI
▪ C. civ., art. 9.
▪ C. pén., art. 226-16 - 226-24.
ARTICLES, PERIODIQUES, REVUES DE PRESSE ET CONTRIBUTIONS
▪ Agence France Presse, « Données personnelles : la Cnil exhorte les sociétés à se préparer », Le Parisien, 27 mars, [http://www.leparisien.fr/high-tech/donnees-personnelles-la-cnil-exhorte-les-societes-a-se-preparer-27-03-2017-6800838.php].
▪ AGLIOLO Rebecca, « Databook: privacy in the age of social media », Per Incuriam, Michaelmas edition, p.7-8.
▪ ASTAIX Anthony, « Protection des données personnelles : une réforme globale en vue », Dalloz actualité, 6 février 2012.
▪ AUFFRAY Christophe, « Données personnelles : le guichet unique solution « d’impunité » pour les géants du Web ? », ZDnet.fr, 30 janvier 2014, [http://www.zdnet.fr/actualites/donnees-personnelles-le-guichet-unique-solution-d-impunite-pour-les-geants-du-web-39797493.htm].
▪ BLANC-GONNET JONASON Patricia, « Vers une meilleure adaptation du droit de la protection des données personnelles à la réalité informationnelle », AJDA 2008. 2105, 10 novembre 2008.
▪ BOUCHIN Sabrina, CARRAL Régis, « Les FAI (Fournisseurs d'Accès à l'Internet) contre la LCEN (Loi pour la Confiance dans l'Economie Numérique) », Revue Stratégie Internet n°84, février 2004.
▪ CASTETS-RENARD Céline, « L'issue du trilogue sur la proposition de règlement sur la protection des données personnelles », Dalloz IP/IT 2016. 60, 3 février 2016.
▪ CASTETS-RENARD Céline, « Brève analyse du règlement général relatif à la protection des données personnelles », Dalloz IP/IT 2016. 331, 12 juillet 2016.
▪ CHAMPEAU Guillaume, « La nouvelle obsession d’Apple ? Protéger votre vie privée. », Numerama, Sciences, 9 juin 2015, [http://www.numerama.com/magazine/33336-la-nouvelle-obsession-d-apple-proteger-votre-vie-privee.html].
▪ COËFFÉ Thomas, « Chiffres Facebook – 2017 », Blog du modérateur, le médias des professionnels du digital, 28 juin 2017 [https://www.blogdumoderateur.com/chiffres-facebook/].
▪ CYTERMANN Laurent, « La loi Informatique et libertés est-elle dépassée ? », RFDA 2015. 99, 2015.
▪ DALLOZ IP/IT, « Dossier : Protection des données personnelles : premiers regards sur le règlement (UE) 2016/679 », Dalloz IP/IT 2016. 330, 12 juillet 2016.
▪ DEBET Anne, « Informatique et libertés : faut-il aujourd'hui réviser la directive 95/46/CE relative à la protection des données personnelles ?», Recueil Dalloz D. 2011. 1034, 14 avril 2011.
▪ DEMUNCK Claire, « Vous saurez tout sur le droit européen en matière de protection de données », Dalloz actualité, 12 juin 2014.
▪ Commission européenne, « Mémo Progress on EU data protection reform now irreversible following European Parliament vote », 12 mars 2014.
▪ Commission européenne, Communication COM (2007) 87 final intitulée "Suivi du Programme de travail pour une meilleure mise en application de la directive sur la protection des données", 7 mars 2007.
— 79 —
▪ Commission Nationale de l'Informatique et des Libertés, « Le corps, nouvel objet connecté, du quantified-self à la m-santé : les nouveaux territoires de la mise en données du monde », Cahiers IP Innovation et Prospective, vol. 2, [https://www.cnil.fr/sites/default/files/typo/document/CNIL_CAHIERS_IP2_WEB.pdf].
▪ DUMOUT Estelle, « Alex Türk, Cnil : "La Cnil devrait être financée par les entreprises et les administrations" », ZDNet.fr, 28 février 2008, [http://www.zdnet.fr/actualites/alex-turk-cnil-la-cnil-devrait-etre-financee-par-les-entreprises-et-les-administrations-39379100.htm].
▪ EUDES Yves, « Visite exceptionnelle dans le data center de Facebook, en Suède », M Pixels Chroniques des (R)évolutions numériques, 6 juin 2016, [http://www.lemonde.fr/pixels/article/2016/06/03/les-datas-du-grand-froid_4932566_4408996.html].
▪ FERRAN Benjamin, « La Cnil condamne Facebook à 150.000 euros d'amende », 18 mai 2017, [http://www.lefigaro.fr/secteur/high-tech/2017/05/16/32001-20170516ARTFIG00118-la-cnil-condamne-facebook-a-150000-euros-d-amende.php].
▪ GUILLAUD Hubert, « Où va la "quantification de soi" ?», M le magazine du Monde, 3 juin 2006, page [http://www.lemonde.fr/week-end/article/2011/06/03/ou-va-la-quantification-de-soi_1531713_1477893.html].
▪ GUITON Amaelle, « L'Europe s'accorde sur la protection des données personnelles », Libération, 17 décembre 2015, [http://www.liberation.fr/futurs/2015/12/17/l-europe-s-accorde-sur-la-protection-des-donnees-personnelles_1421077].
▪ HAFTEL Bernard, « Protection des données personnelles : autorité de contrôle compétente et loi applicable », Rev. crit. DIP 2016. 377, 23 novembre 2016.
▪ Journal officiel (Questions réponses) Sénat, Question écrite n° 11356 de Mme Anne-Marie Escoffier, 17 décembre 2009, p. 2910.
▪ LANI François-Pierre, « "Accountability", coresponsabilité, "Privacy by Design" » : bien comprendre les 3 piliers du RGPD », MAG IT, 24 mars 2017, [http://derriennic.com/accountability-coresponsabilite-privacy-by-design-bien-comprendre-les-3-piliers-du-rgpd/].
▪ La Quadrature du Net, « Lettre ouverte internationale des ONG demandant la suspension du Privacy Shield », 3 mars 2017, [https://www.laquadrature.net/fr/appel_suspension_privacy_shield#footnote1_2c2og9p].
▪ LESSIG Lawrence, « Code is Law – On Liberty in Cyberespace », Harvard Magazine, 2000, traduction Framaland, [https://framablog.org/2010/05/22/code-is-law-lessig/].
▪ METALLINOS Nathalie, « Données personnelles : la CJUE renforce les règles de protection », Dalloz IP/IT 2016. 47, 18 janvier 2016.
▪ Parlement européen, « De nouvelles règles sur la protection des données placent les citoyens aux commandes », 17 décembre 2015.
▪ PASTOR Jean-Marc, « Pour une ouverture maîtrisée de l'open data », Dalloz actualité, 28 avril 2014.
▪ REDING Viviane, « Pourquoi nous réformons la protection des données numériques », Les Echos, 14 mars 2012, [https://www.lesechos.fr/14/03/2012/LesEchos/21144-072-ECH_pourquoi-nous-reformons-la-protection-des-donnees-numeriques.htm].
▪ SCARAMOZZINO Éléonore, « Internet - Données personnelles - Adoption du bouclier de protection des données UE-EU », JAC 2016, n°38, p.10, 10 septembre 2016.
▪ TAMBOU Olivia, « Protection des données personnelles : les difficultés de la mise en œuvre du droit européen au déréférencement », RTD eur. 2016. 249, 8 août 2016.
▪ VANDELLE Nathalie, « Le contrôleur européen de la protection des données et la protection des données personnelles dans l'administration européenne », Rev. UE 2012. 44, 10 janvier 2012.
— 80 —
DECISIONS DE JUSTICE
▪ Conseil d'État, Assemblée, 24 février 2017, 391000.
▪ Cour d’Appel de Paris, (1e chambre), 5 décembre 1997 D. 1998, IR 32.
▪ Cour de Justice de l’Union européenne (grande chambre), 6 octobre 2015, demande de décision préjudicielle au titre de l’article 267 TFUE, introduite par la High Court (Haute Cour de justice, Irlande) C 362/14, concl.
▪ Cour de Justice de l’Union européenne (grande chambre), 3 mai 2014, Google Spain SL et Google Inc. contre Agencia Española de Protección de Datos (AEPD) et Mario Costeja González, Demande de décision préjudicielle introduite par l'Audiencia Nacional, C-131/12.
DECRETS ET LOIS
▪ Décret n°2005-1309 pris pour l'application de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, 20 octobre 2005, version consolidée au 14 août 2017.
▪ Loi n° 78-17 relative à l'informatique, aux fichiers et aux libertés, 6 janvier 1978.
▪ Loi n° 2004-575 pour la confiance dans l'économie numérique, 21 juin 2004.
▪ Loi n° 2004-801 du 6 août 2004 relative à la protection des personnes physiques à l'égard des traitements de données à caractère personnel et modifiant la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés.
▪ Loi n° 2016-1321 pour une République numérique, 7 octobre 2016.
DIRECTIVES, REGLEMENTS ET PROPOSITIONS
▪ Parlement européen et Conseil, Directive 95/46/CE relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, 24 octobre 1995.
▪ Parlement européen et Conseil, Directive 97/66/CE concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des télécommunications, 15 décembre 1997.
▪ Parlement européen et Conseil, Directive Européenne 2000/31/CE relative à certains aspects
juridiques des services de la société de l'information, et notamment du commerce électronique,
dans le marché intérieur ("directive sur le commerce électronique") , 8 juin 2000.
▪ Parlement européen et Conseil, Directive 2002/19/CE relative à l'accès aux réseaux de communications électroniques et aux ressources associées, ainsi qu'à leur interconnexion (directive "accès"), 7 mars 2002.
▪ Parlement européen et Conseil, Directive 2002/20/CE relative à l'autorisation de réseaux et de services de communications électroniques (directive "autorisation"), 7 mars 2002.
▪ Parlement européen et Conseil, Directive 2002/21/CE relative à un cadre réglementaire commun pour les réseaux et services de communications électroniques (directive "cadre"), 7 mars 2002.
▪ Parlement européen et Conseil, Directive 2002/22/CE concernant le service universel et les droits des utilisateurs au regard des réseaux et services de communications électroniques (directive "service universel"), 7 mars 2002.
▪ Parlement européen et Conseil, Directive 2002/58/CE concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques, 12 juillet 2002, révisée le 25 novembre 2009.
— 81 —
▪ Parlement européen et Conseil, Directive (UE) 2016/680 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d'enquêtes et de poursuites en la matière ou d'exécution de sanctions pénales, et à la libre circulation de ces données, et abrogeant la décision-cadre 2008/977/JAI du Conseil, 27 avril 2016.
▪ Parlement Européen et Conseil, Proposition de règlement du relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, 25 janvier 2012.
▪ Parlement européen et du Conseil, Proposition de Règlement 2017/0003(COD) concernant le respect de la vie privée et la protection des données à caractère personnel dans les communications électroniques et abrogeant la directive 2002/58/ce ("règlement vie privée et communications électroniques"), 10 janvier 2017.
▪ Parlement européenne et Conseil, Règlement (CE) n°45/2001 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel par les institutions et organes communautaires et à la libre circulation de ces données, 18 décembre 2000.
▪ Parlement européen et Conseil, Règlement (CE) n°1211/2009 instituant l’organe des régulateurs européens des communications électroniques (ORECE) ainsi que l’office, novembre 2009.
▪ Parlement européen et Conseil, Règlement (UE) n ° 531/2012 concernant l’itinérance sur les réseaux publics de communications mobiles à l’intérieur de l’Union Texte présentant de l'intérêt pour l'EEE, 13 juin 2012.
▪ Parlement européen et Conseil, Règlement (UE) 2016/679 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données), 27 avril 2016.
DOCUMENTS DIVERS ET GUIDES PRATIQUES
▪ CAVOUKIAN Ann,«Privacy by Design The 7 Foundational Principles», août 2009, [https://www.ipc.on.ca/wp-content/uploads/Resources/7foundationalprinciples.pdf].
▪ Conférence Wearable and Flexible Technologies World 2014, 14-16 mai 2014.
▪ Commission Nationale de l'Informatique et des Libertés, « Les transferts de données à caractère personnel hors Union européenne », [https://www.cnil.fr/sites/default/files/typo/document/GUIDE-transferts-integral.pdf].
▪ Commission Nationale de l'Informatique et des Libertés, « PIA-1, la méthode : Comment mener une étude d'impact sur la vie privée », [https://www.cnil.fr/sites/default/files/typo/document/CNIL-PIA-1-Methode.pdf].
▪ Commission Nationale de l'Informatique et des Libertés, « PIA-2, l'outillage : Modèles et bases de connaissances de l'étude d'impact sur la vie privée », [https://www.cnil.fr/sites/default/files/typo/document/CNIL-PIA-2-Outillage.pdf].
▪ Commission Nationale de l'Informatique et des Libertés, « PIA-3, les bonnes pratiques : Mesures pour traiter les risques sur les libertés et la vie privée », [https://www.cnil.fr/sites/default/files/typo/document/CNIL-PIA-3-BonnesPratiques.pdf].
▪ Commission Nationale de l'Informatique et des Libertés, « Rapport d’activité 2016 », 2016, [https://www.cnil.fr/sites/default/files/atoms/files/cnil-37e_rapport_annuel_2016.pdf].
▪ International Telecommunication Union, « ICT, Facts and Figures, 2017», 2017[http://www.itu.int/en/ITU-D/Statistics/Documents/facts/ICTFactsFigures2017.pdf].
▪ Groupe de travail "Article 29" sur la protection des données, « Document de travail établissant un cadre pour la structure des règles d’entreprise contraignantes 1271-00-01/08/FR WP 154 », 24 juin 2008.
— 82 —
▪ Groupe de travail "Article 29" sur la protection des données, « Opinion 01/2016 on the EU – U.S. Privacy Shield draft adequacy decision 16/EN WP 238 », 13 avril 2016.
▪ Groupe de travail "Article 29" sur la protection des données, « Guidelines on Data Protection Impact Assessment (DPIA) and determining whether processing is “likely to result in a high risk” for the purposes of Regulation 2016/679 17/EN WP 248», 4 avril 2017.
ENQUETES ET SONDAGES
▪ Consultation Medef, mars 2017.
▪ Ipsos France, « Junior Connect’ 2017 », 14 mars 2017, p.11 [http://www.ipsos.fr/sites/default/files/doc_associe/junior_connect_2017_-_resultats.pdf].
▪ Sondage Eurobaromètre, « Eurobaromètre spécial n°431 sur la protection des données », juin 2015, p.9 [http://ec.europa.eu/commfrontoffice/publicopinion/archives/ebs/ebs_431_en.pdf].
LEGISLATION ETRANGERE
▪ Espagne, Constitution, 27 décembre 1978, art. 18.
▪ République Tchèque, Charte des droits et libertés fondamentaux, 9 janvier 1991, art. 10.
OUVRAGES
▪ AVIGNON Céline, BENSOUSSAN Alain (dir.), BENSOUSSAN-BRULE Virginie, TORRES Chloé, Règlement européen sur la protection des données – Textes, commentaires et orientations pratiques, Larcier, novembre 2016.
▪ DESGENS-PASANEAU Guillaume, La protection des données personnelles, LexisNexis, 2e édition, décembre 2015.
▪ ZARKA Jean-Claude, Union européenne, coll. en poche, Lextenso, août 2016.
REPORTAGES ET DOCUMENTAIRES
▪ Envoyé spécial, Toute ma vie sur internet, reportage extrait de l’émission Envoyé Spécial, diffusé le 29 novembre 2014.
▪ GAYLOR Brett, Série Do not Track, 7 épisodes, Arte France, Upian, diffusée entre le 14 avril et le 15 juin 2015
▪ BERNET David, Democracy, GIELNIK Arek et OTTO Sonia, 12 novembre 2015.
SITES INTERNET
▪ Commission Nationale de l'Informatique et des Libertés, « Le fonctionnement », [https://www.cnil.fr/fr/le-fonctionnement].
▪ Commission Nationale de l'Informatique et des Libertés, « Le fonctionnement », infographie n°1, [https://www.cnil.fr/fr/le-fonctionnement].
▪ Correspondant Informatique et Libertés Centre National de la Recherche Scientifique, « Origine de la loi Informatique et Libertés », 15 novembre 2012, [http://www.cil.cnrs.fr/CIL/spip.php?article1871].
▪ Information Commissioner’s Office, « History of the ICO », [https://ico.org.uk/about-the-ico/our-information/history-of-the-ico/].
▪ Quantified Self Guide, « 505 tools », [http://quantifiedself.com/guide/].
— 83 —
▪ Textes normatifs divers
▪ Asia-Pacific Economic Cooperation, Cross Boarder Privacy Rules (CBPR), 2004.
▪ Assemblée générale des Nations Unies, La Déclaration universelle des droits de l'Homme, art. 12, 10 décembre 1948.
▪ Charte des droits fondamentaux de l'Union Européenne, 2000/C 364/01, 18 décembre 2000.
▪ Conférence internationale des commissaires à la protection des données et à la vie privée, Résolution sur des normes internationales de vie privée, 4-6 novembre 2009.
▪ Conférence internationale des commissaires à la protection des données et à la vie privée, Resolution on Privacy by Design, 27-29 octobre 2010.
▪ Conseil de l'Europe, Convention européenne de sauvegarde des droits de l'homme et des libertés fondamentales, 4 novembre 1950.
▪ Conseil de l'Europe, Convention pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel, dite Convention 108, 28 janvier 1981, révisée en septembre 2016.
▪ Commission Nationale de l'Informatique et des Libertés, Délibération n°2005-051 portant avis sur un projet de code de conduite présenté par l'Union Française du Marketing Direct FMD) sur l'utilisation de coordonnées électroniques à des fins de prospection directe, 30 mars 2005.
▪ Commission Nationale de l'Informatique et des Libertés, norme simplifiée n° NS-048.
▪ Commission européenne, Décision 2000/520/CE conformément à la directive 95/46/CE du Parlement européen et du Conseil relative à la pertinence de la protection assurée par les principes de la "sphère de sécurité" et par les questions souvent posées y afférentes, publiés par le ministère du commerce des États-Unis d'Amérique, 26 juillet 2000.
▪ Commission européenne, Décision 2001/497/CE relative aux clauses contractuelles types pour le transfert de données à caractère personnel vers des pays tiers en vertu de la Directive 95/46/CE, 15 juin 2001.
▪ Commission européenne, Décision 2004/915/CE modifiant la décision 2001/497/CE en ce qui concerne l’introduction d’un ensemble alternatif de clauses contractuelles types pour le transfert de données à caractère personnel vers des pays tiers, 27 décembre 2004.
▪ Commission européenne, UE-US Privacy Shield, 2 février 2016.
▪ Département du commerce des États-Unis d'Amérique, U.S.-EU Safe Harbor Frameworks, 2000.
▪ ISO/IEC 29100, International standard, information technology - security techniques – privacy framework, 15 décembre 2011.
▪ Organisation de Coopération et de Développement Économiques, Lignes directrices régissant la protection de la vie privée et les flux transfrontières de données de caractère personnel, 23 septembre 1980, révisées en 2013.
▪ Organisation des Nations Unies, Pacte international relatif aux droits civils et politiques, art. 17, 16 décembre 1966.
▪ Organisation des Nations Unies, Résolution n°45/95 sur les Principes directeurs pour la règlementation des fichiers personnels informatisés, 14 décembre 1990.
▪ Commission européenne, Rapport COM (2003) 265 final intitulé "Premier rapport sur la mise en œuvre de la Directive relative à la protection des données (95/46/CE) ", 15 mai 2003.
TRAITES
▪ Traité sur le fonctionnement de l'Union européenne (version consolidée), 2012/C 326/01, octobre 2012
▪ Traité de Lisbonne modifiant le Traité sur l’Union Européenne et le Traité instituant la Communauté Européenne, 2007/C 306/01, 13 décembre 2007.
— 84 —
TABLE DES MATIERES
— 85 —
Résumé et mots-clés – Summary and keywords ...................................................................................................................... 7
Sommaire ........................................................................................................................................................................................ 8
Liste des abréviations ................................................................................................................................................................. 10
INTRODUCTION .................................................................................................................................................. 11
PARTIE I. LE MODELE FRANÇAIS EN MATIERE DE PROTECTION DES DONNEES A CARACTERE
PERSONNEL ................................................................................................................................................... 14
CHAPITRE I. PRESENTATION DU CADRE GENERAL DE PROTECTION DES DONNEES A CARACTERE
PERSONNEL EN FRANCE ......................................................................................................................................................... 16
Section I. La loi « Informatique et libertés », un acte fondateur ............................................................................................ 17
§ 1. Place primordiale de la Commission Nationale de l'Informatique et des Libertés.................................................... 17
§ 2. Obligations incombant au responsable de traitement .................................................................................................... 20
i. Assurer une collecte de données régulière ..................................................................................................................... 21
ii. Déclaration des fichiers à la CNIL ................................................................................................................................. 22
iii. Sécuriser ses bases de données et assurer la confidentialité des données ................................................................. 23
iv. Assurer le respect des droits des personnes concernées ............................................................................................. 24
§ 3. Attribution de droits à la personne concernée ................................................................................................................ 24
Section II. Réaction de l’Union européenne et de la communauté internationale ............................................................. 27
§ 1. Développement des sources de l’Union européenne ..................................................................................................... 27
§ 2. Développement des sources internationales.................................................................................................................... 30
CHAPITRE II. AVANCEMENT LEGISLATIF INSUFFISANT AU REGARD D’INTERNET........................................................... 33
Section I. Caractère évolutif d’Internet ...................................................................................................................................... 34
§ 1. Internationalisation des flux ............................................................................................................................................... 34
§ 2. Révolutions technologiques majeures ............................................................................................................................... 37
Section II. Actualisation complexe du cadre de protection .................................................................................................... 40
§ 1. Adaptation des sources nationales .................................................................................................................................... 40
§ 2. Adaptation des sources de l’Union Européenne ............................................................................................................ 42
PARTIE II. L’IMPACT DU REGLEMENT GENERAL SUR LA PROTECTION DES DONNEES A CARACTERE
PERSONNEL ................................................................................................................................................... 46
CHAPITRE I. L’ADOPTION DU REGLEMENT GENERAL SUR LA PROTECTION DES DONNEES A CARACTERE
PERSONNEL ............................................................................................................................................................................... 48
Section I. Reprise en main de la Commission européenne..................................................................................................... 49
§ 1. Fin de la spécificité française via le règlement ................................................................................................................. 49
§ 2. Notion de guichet unique ................................................................................................................................................... 51
Section II. Volonté de responsabiliser les organismes ............................................................................................................ 54
§ 1. Accountability, définition et mise en pratique ................................................................................................................. 54
§ 2. Délégué à la Protection des Données, une fonction déterminante.............................................................................. 57
CHAPITRE II. MISE EN PLACE DE NOUVEAUX CONCEPTS DIRECTEURS ............................................................................. 61
Section I. Priorité accordée à l’anticipation ............................................................................................................................... 62
§ 1. Privacy Impact assessment ................................................................................................................................................. 62
§ 2. Privacy by design et privacy by default ............................................................................................................................. 65
Section II. Renforcement du contrôle des citoyens sur leurs données à caractère personnel .......................................... 68
§ 1. Consécration de nouveaux droits pour les citoyens ....................................................................................................... 68
§ 2. Renforcement des droits préexistants ............................................................................................................................... 69
CONCLUSION GENERALE .................................................................................................................................... 72
ANNEXES ............................................................................................................................................................. 74
BIBLIOGRAPHIE................................................................................................................................................... 77
ARTICLES DE CODES DE LOI ......................................................................................................................................................... 78
— 86 —
ARTICLES, PERIODIQUES, REVUES DE PRESSE ET CONTRIBUTIONS ...................................................................................... 78
DECISIONS DE JUSTICE ................................................................................................................................................................... 80
DECRETS ET LOIS ............................................................................................................................................................................ 80
DIRECTIVES, REGLEMENTS ET PROPOSITIONS .......................................................................................................................... 80
DOCUMENTS DIVERS ET GUIDES PRATIQUES ............................................................................................................................ 81
ENQUETES ET SONDAGES ............................................................................................................................................................. 82
LEGISLATION ETRANGERE............................................................................................................................................................ 82
OUVRAGES ........................................................................................................................................................................................ 82
REPORTAGES ET DOCUMENTAIRES ............................................................................................................................................. 82
SITES INTERNET .............................................................................................................................................................................. 82
TRAITES ............................................................................................................................................................................................. 83
TABLE DES MATIERES ......................................................................................................................................... 84