Les données personnelles : Quelle protection sur internet?

Les dispositions protectrices des données personnelles résultent actuellement de la loi 78-17 du 6 janvier 1978 dite " Informatique et libertés " toujours en vigueur, et de la directive 95/46/CE du 24 octobre 1995 applicable depuis le 24 Octobre 1998 mais non transposée, la France se trouvant à cet égard en infraction.
L'avant projet de loi qui transposera la directive 95/46/CE , annoncé depuis plus de deux ans par le gouvernement est très attendu par les professionnels pour la cohérence qu'il doit apporter à l'ensemble du dispositif de protection, mais aussi pour rappeler clairement les principes fondamentaux qui doivent inspirer le législateur en la matière.

 

I. Définition :

1/Qu'est-ce qu'une donnée personnelle protégée ? :

1/Il faut se pencher sur la définition. des données personnelles :

La loi de 1978 relative à l'informatique, aux fichiers et aux libertés, n'utilise pas la terminologie " données personnelles " mais " informations nominatives " définies dans son article 4 : " les informations qui permettent … l'identification des personnes physiques auxquelles elles s'appliquent ". La nouvelle terminologie de " données personnelles " est employée par la directive du 24 octobre 1995 dans son article 2 : " toute information concernant une personne physique identifiée et identifiable ". Les données personnelles dans la définition extensive de la directive européenne, englobent tout ce qui se rapporte à l'identité de la personne, à sa personnalité, à sa vie privée. Les données personnelles concernent donc nécessairement les nom, prénom , adresse ; le téléphone, les coordonnées bancaires, le numéro de sécurité sociale ou NIR. Une adresse électronique ou e-mail , une adresse IP ou adresse numérique de l'ordinateur sont des données personnelles.
Par extension les données touchant à la famille, le patrimoine, la santé sont concernées. Les empruntes génétiques, la voix, les images, doivent également être considérées comme des données personnelles. Il faut citer le cas particulier de la vidéo-surveillance dont les enregistrements d' images et les sons font l'objet d'une législation spéciale de la loi 95/73 du 21 Janvier 1995, sauf s'il y a constitution de fichiers nominatifs. La CNIL considère par exemple que les vidéosurveillances par web-cam sont soumis à la loi de 1978.

2/ les données doivent concerner les personnes physiques :

La personne physique qui est visée par la loi de 1978 est le " citoyen " et plus généralement toute personne humaine qui peut prétendre à l'application de la juridiction de la République Française. La directive précise que la personne doit être concernée par le traitement et identifiée ou identifiable, directement ou indirectement, par exemple par un numéro d'identification ou par rapport a des éléments " propres à son identité physique, physiologique, psychique, économique, culturelle ou sociale ".
Les contours de cette définition légale des données personnelles ont été précisées en matière de sondages : (Affaire Syntec CE 9 Juillet 1997 et Sofres Cass Crim 12 Mai 1998). Selon cette jurisprudence, la loi ne s'applique que si l'opinion exprimée se rapporte à la personne et lui est opposable, mais dés lors que cette opinion se perd dans les résultats statistiques globaux , les données fournies par la personne ne sont plus considérées comme nominatives.

3/Les données personnelles doivent faire l'objet d'un traitement :

Ces données sont soumises a des opérations de collecte, de conservation, de transfert. Il peut y avoir exploitation de bases de données, des interconnexions avec d'autres bases dans certaines conditions. A tout traitement correspond un responsable du traitement qui doit être clairement identifié auprès de la CNIL selon la loi et la directive.
Cette obligation d'identification des éditeurs professionnels des services internet est confirmée par la récente loi 2000-719 du 1er août 2000 modifiant la loi du 30 septembre 1986 sur la liberté de communication, qui impose de surcroît aux fournisseurs d'accès et d'hébergement de conserver les données de nature à permettre l'identification des personnes ayant contribué à la création du contenu d'un site.

4/Certains traitements sont interdits :

Un traitement qui utilise le numéro d'inscription au répertoire national d'identification des personnes physiques ou NIR est interdit sauf s'il a été autorisé par décret en Conseil d'Etat après avis de la CNIL. Le traitement des données dites " sensibles " est également interdit sauf accord exprès de l'intéressé et cela sous peine de sanctions pénales.(L'article 226-19 du Code Pénal ).
Une décision du tribunal correctionnel de Privas, confirmée par la cour d'appel de Nîmes avait condamné pénalement un jeune homme qui avait diffusé sur internet des photographies pornographiques de son ex-petite amie avec des commentaires sur les mœurs de celle-ci.(TGI Privas 3 septembre 1997 ; CA Nîmes 6 novembre 1998 http://www.legalis.net).
Les données sont qualifiées de " sensibles " lorsqu'elles portent sur les origines raciales, opinions politiques, convictions religieuses ou philosophiques, appartenances syndicales, ou mœurs. La directive adopte une conception encore plus extensive en considérant également la santé comme une donnée sensible. Toutefois la tendance de la directive est de multiplier les dérogations dans son article 8 afin d'autoriser dans certaines conditions le traitement de ces données. Il est notamment prévu que le traitement est licite lorsque les données sensibles sont " manifestement rendues publiques par la personne concernée ", ce qui doit inciter les personnes à la plus grande vigilance.
La CNIL a émis une recommandation très récente sur les sites de santé destinés au public, après une étude portant sur 56 sites de santé (délibération n°01-011 du 08 mars 2001) . Elle rappelle que les données de santé ne doivent faire l'objet d'aucune commercialisation. Elle met en garde sur les sociétés à capital risque qui financent ces sites tels que des compagnies d'assurance ou des banques qui pourraient être tentées d'obtenir des informations particulièrement sensibles sur les visiteurs du site.

5/Certains traitements ne sont pas concernés par la directive européenne :

La directive exclue de sa protection ce qui ne relève pas du champs d'application du droit communautaire.
-Les traitements qui sont effectuées par des personnes physiques pour l'exercice d'activités purement personnelles ou domestiques
-Les traitements qui ont pour objet les activités de l'Etat dans le domaine pénal, la sûreté de l'Etat et la défense (art 3 de la directive).

Le fichier policier STIC (Système de Traitement des Infractions Constatées ) créé en 1995 et qui n'a pas encore de décret d'application, échappe par nature à la directive de 1995. Ce sont précisément dans ces domaines exclus par la directive que la loi de l'Etat et la façon dont elle sera appliquée par celui-ci conditionnent le respect des données personnelles des " citoyens " par L'Etat.


2/Ce qui n'est pas protégeable :

Pour mieux appréhender la notion de données personnelles protégées, il faut savoir que toutes les données ne sont pas protégeables.

a/ Ce qui n'est pas protégeable : Quant aux personnes :

Les données permettant d'identifier les personnes morales, échappent à cette réglementation, puisque la loi et la directive ne portent que sur les données des personnes physiques. Les fichiers clients composés d'adresses de personnes morales ne relèvent pas de la CNIL. Les personnes morales ne peuvent donc se prévaloir des droits réservés aux personnes physiques, pour ce qui est du droit d'information quant à la finalité du traitement, du droit d'accès et d 'opposition pour ne citer que ceux-ci, ce qui préserve en définitive le secret des affaires. La Chambre de Commerce et d'Industrie de Paris n'est d'ailleurs pas favorable à une extension du champs d'application aux personnes morales " qui multiplierait les contraintes, sans grande utilité " (rapport de Monsieur JP Saillard concernant la position de la CCIP sur la transposition de la directive Cahier Lamy droit e l'informatique et des réseaux n°127 Juillet 2000)

b/ Ce qui n'est pas protégeable : Quant à la nature des données :

Certaines données échappent à la protection parce qu'elles ont été rendues anonymes et ne permettent pas l'identification de la personne .

 

II. Pourquoi protéger les données personnelles :

- Les volontés politiques :

La France a été l'un des pays précurseurs de la protection des données personnelles dans le cadre de l'élaboration de la loi " informatique et libertés " en 1978, bien avant le développement de la micro-informatique, de l'informatisation généralisée des entreprises, et les réseaux. Cette loi a inspiré les grands principes de la directive européenne de 1995. L'idée du législateur de 1978 était de protéger le citoyen face à la puissance exponentielle des traitements informatiques qui permettraient à l'Etat, très centralisé et puissant en France, de ficher les individus grâce à un identifiant unique tel que le NIR, a tous les stades de leur vie, et d'accroître ainsi sensiblement son pouvoir exécutif.
Actuellement ce sont surtout les entreprises commerciales et la " net " économie qui attirent l'attention des pouvoirs publics et des consommateurs, au détriment peut-être de l'esprit initial de la loi de 1978, alors que les risques liés aux traitements des données personnelles par l'Etat et ses administrations sont plus que jamais réels. On se souvient des problèmes posés par la tentative d' utilisation du NIR par la Direction Générale des Impôts(Expertises Février 1999 P11 ; Expertise août- septembre 1999 P 252)

- La légitimité :

Le souci de la personne est de pouvoir interdire, ainsi que le lui reconnaît l'article 12 de la Déclaration Universelle des Droits de l'Homme, " l'immixtion arbitraire " de l'Etat ou des entreprises dans la sphère de sa vie privée. Le droit au respect de la vie privée prévu à l'article 9 du Code Civil, ainsi que la liberté individuelle, sont consacrés en France comme principes garantis par la constitution. Or ces droits sont de plus en plus " grignotés " dans nos sociétés , par les systèmes de fichages systématiques des personnes, devenus incontournables pour accomplir les actes de la vie quotidienne. Dés que vous réservez, que vous payez par carte bancaire, que vous voulez passer une commande, recevoir une livraison, vous acceptez de fournir des données directement personnelles : votre nom, votre adresse, votre numéro de carte de crédit, mais aussi ce que vous achetez, quels types de produits, la fréquence de vos achats….
L'apparition de l'internet et la convergence des technologies n'a fait qu'accentuer le problème, car l'information qui est fournie sur le web circule plus rapidement et potentiellement dans le monde entier, et par conséquent sa circulation est plus difficile à contrôler. Mais internet permet aussi de collecter des données directement ou indirectement personnelles sans aucune démarche volontaire et totalement à l' insu des personnes. C'est le cas des traces de navigation, grâce aux données de connexion, des cookies, et autres procédés qui permettent de fournir encore plus d'informations sur les personnes.
Le recoupement de toutes ces informations peut aboutir à une transparence de l'individu, au détriment du respect de sa vie privée qui en principe doit demeurer secrète, pour être mieux protégée. Le phénomène est d'autant plus préoccupant que ces traces numériques ne s'altèrent pas avec le temps, et que , pour ainsi dire, il n'existe plus de droit à l'oubli lorsque ces données sont enregistrées dans des fichiers numériques. La découverte de ce " pistage " attentatoire à la vie privée, contre lequel il n'existe aucune loi clairement protectrice, incite l'internaute à se protéger par lui-même plutôt que de saisir les tribunaux. Les internautes préfèrent paramétrer leur navigateur contre les cookies, plutôt que d'engager des procès qu'ils jugent trop coûteux et aléatoires. Des solutions d'auto-protection sont ainsi préconisées dans de nombreux ouvrages qui font recette actuellement, mais qui ne sont pas toujours à la portée de tous, comme apprendre à naviguer anonymement ou déjouer les pièges de la traçabilité.
Les internautes revendiquent de plus en plus un droit à l'anonymat, comme principe fondamental, protecteur de leur vie privée.
Il faut noter qu'il existe parallèlement une prise de conscience au niveau des Etats.
Internet n'est-il pas un instrument de surveillance et d'espionnage international ?
Certains parlementaires européens s'interrogent par exemple sur les problèmes de tatouages des processeurs Pentium III d'Intel qui peuvent être réactivés à distance, et du rôle éventuel joué par le FBI..De même, le système transatlantique d'espionnage électronique" Echelon " suscite des interrogations.
Ainsi, l'essor d'internet et en particulier du commerce électronique dépend aujourd'hui intimement de la confiance des acteurs en matière de circulation de l'information et de protection des données personnelles. Comment instaurer cette confiance ?
Faut il préférer une réglementation cadre par les pouvoirs publics ou choisir l'autorégulation des acteurs ?

 

III.:Quels choix de protection :

A l'étranger :

En dehors de l'Europe, des pays comme le Japon la Russie le Canada, l'Australie, Israël, se sont dotés de législations spécifiques. Aux Etats Unis où internet a été inventé, il n'existe pas de loi cadre protégeant les données personnelles, le gouvernement américain préférant encourager l'autorégulation . Cela a constitué un obstacle pour le transfert de données personnelles de l'Europe vers les Etats Unis qui n'assuraient pas " un niveau de protection adéquat " requis par la directive européenne(art 25-1), jusqu'aux accords de " Safe Harbor " de juillet 2000.
En l'absence de législation spécifique, des entreprises américaines, notamment spécialisées en marketing direct ont commis des abus qui ont suscités une grande inquiétude des " web-consommateurs " américains. Ces entreprises ont procédé, à des collectes déloyales des données personnelles (souvent grâce à des cookies ), elles les ont interconnectées avec d'autres données rachetées à des sociétés tiers, pour constituer des mega-bases permettant des traitements à finalités indifférenciées, qui apportent une très forte valeur ajoutée à ces données. Le consommateur peut être ainsi analysé disséqué à travers ses comportements, ses habitudes de consommation, sa situation familiale et patrimoniale, ses loisirs, ses mœurs, sa santé, et ces informations sont envoyées aux annonceurs.
Il devient donc une cible commerciale : Il reçoit massivement des publicités et informations personnalisées auxquelles il lui est difficile de résister. Le conditionnement répété, dont il fait l'objet, influe sur ses choix de consommation au détriment de sa liberté individuelle , mais aussi , il ne faut pas l'oublier, de la libre concurrence.
Le législateur de plusieurs Etats comme celui de Washington et de Californie est directement intervenu pour interdire la pratique du spamming, c'est à dire l'envoi de courriers électroniques non sollicités. Des associations de défense des consommateurs se sont mobilisées et des plaintes ont été déposées et sont en cours. Ces associations utilisent également internet pour dénoncer les pratiques de ces entreprises, ce qui peut se traduire économiquement par des opérations de boycott.
De façon générale, selon de récents sondages, les consommateurs américains se montrent peu confiants concernant le traitement de leur données personnelles sur internet et ne font pas toujours aboutir le processus de commande en ligne.
Afin d'instaurer un climat de confiance, propice au développement du e-commerce , les entreprises américaines , encouragées par leur gouvernement , se sont engagées dans la voie de l'encadrement volontaire de leur action dans des règles auto-édictées, des contrats, ou obtiennent un label d'un tiers certificateur qui est généralement financé par ses membres. (Ex TRUSTe). L'intérêt de ces règles issue de l'autorégulation est qu'elles s'appliquent à tout internaute, quelque soit le pays d'origine, et cela même en l'absence de convention internationale en la matière. C'est dans le sens de l'autorégulation qu'ont été négociés à l'initiative des européens les accords de " Safe Harbour " ou " sphère de sécurité ", adoptés par la Commission en juillet 2000.
Des principes de protection assez proches de ceux de la directive de 1995,ont été définis à partir de questions les plus fréquemment posées ou FAQ., qui constituent pour les entreprises américaines l'équivalent d'un label. Les entreprises européennes peuvent transférer des données personnelles vers les Etats Unis dés lors que les entreprises américaines bénéficiaires ont adhéré à cet ensemble de principes.

En France, l'approche du problème est différente :
la responsabilité de la protection des données personnelles pèse sur les entreprises.

Selon un sondage (Ipsos-Mediangles et Emap France de mai 2000), les consommateurs font confiance aux pouvoirs publics pour protéger leurs données personnelles. Les entreprises qui souhaitent créer un site internet et collecter sur le Web des données personnelles sont encadrées dés l'origine par une réglementation très contraignante.

1/ La loi et la directive confèrent aux personnes des droits sur leurs données personnelles que les entreprises doivent systématiquement prendre en considération lors de la création de leur site.

- Le droit à la loyauté de la collecte (art 25)

La collecte par un moyen frauduleux déloyal ou illicite est sanctionnée pénalement (art 226-18 CP) Le cas des cookies illustre le problème .Ils doivent être implantés avec l'accord de la personne concernée A défaut, il y a collecte déloyale d'informations directement ou indirectement nominatives, ainsi qu'une intrusion dans un système informatique qui peuvent être pénalement répréhensibles.

- le droit de s'opposer, pour des raisons légitimes à ce que des informations nominatives la concernant fasse l'objet d'un traitement.( art 26 de la loi ) (système " opt out ")

La directive va au delà du simple droit d'opposition en consacrant (article 7) le principe du " consentement indubitable " de la personne concernée par le traitement (Système " opt in ").
Des dérogations au " consentement indubitable " sont prévues par la directive notamment si le traitement est nécessaire à l'exécution d'un contrat ( passer commande, s'abonner à une revue) ou si le traitement est nécessaire à la réalisation d'un intérêt légitime poursuivi par le responsable du traitement.
Qu'en est-il en matière de cessions de fichiers portant sur des données personnelles ? Bien que la loi et la directive ne prévoient pas d'accord préalable de la personne concernée, la personne doit être informée avant la première communication à un tiers et doit se voir expressément offrir gratuitement le droit de s'opposer à la cession de ses données personnelles à un tiers .(art 14 de la Directive.
) La CNIL préconise de prévoir des cases à cocher sur les sites, pour permettre l'exercice facile du droit d'opposition. Pour ce qui est du spamming, la directive 2000/31/CE du 8 Juin 2000 sur certains aspects juridiques du commerce électronique prévoit que les prestataires doivent consulter les registres d'opposition qui doivent être mis à la disposition des personnes concernées.( art7) C'est le système " opt out " qui était d'ailleurs souhaité par les professionnels. Encore faut-il que la collecte de l'adresse électronique ait été légitime et loyale, selon les principes de la Directive de 1995.

- le droit d'être informé

Il s'agit du troisième droit fondamental de la personne fichée Le non respect de ces obligations d'information peut être sanctionné par une contravention de police de 5ème classe (10.000Frs d'amende ou des peines privatives ou restrictives de droits art 131-12 et suivants du Code Pénal) Le responsable du traitement a une obligation d'information qui porte essentiellement sur le droit d'accès et de rectification.( article 27 de la loi ).
Cette obligation d'information est plus complète et plus étendue aux termes de la directive Le responsable du traitement doit en effet communiquer spontanément son identité et les finalités du traitement, ce qui n'était pas imposé par la loi.(art 10). On remarquera cependant que l'obligation d'information ne porte pas sur le droit d'opposition, mis à part le cas de la cession pour la directive. Or comment exercer son droit d'opposition si l'information de l'existence de ce droit n'a pas été délivrée ? Une particularité de la directive est de prévoir que l'obligation d'information est transmise au cessionnaire du fichier si les personnes concernées n'ont pas été informées initialement. (art 11) Ce formalisme rigoureux constitue un frein sérieux aux cessions de fichiers qui n'ont pas été constitués initialement avec toutes les garanties, notamment en raison du coût généré par cette obligation d'information

- Le droit d'accès et de rectification (art 34 et 36 de la loi et12 de la directive)

Il permet de savoir si les données concernées sont toujours traitées, obtenir leur communication sous une forme intelligible, et connaître la logique qui sous-tend le traitement. C'est ce que le Professeur Jean Frayssinet nomme le " droit à la curiosité " Il est possible de rectifier les mentions inexactes, ou dont le traitement est interdit, avec selon la directive, la notification aux tiers de toute rectification.

2/ Parallèlement au respect du " droit " des personnes , la loi impose aux responsables qui mettent en œuvre ces traitements des obligations, sanctionnées par des dispositions pénales.(Articles 226-16 à 226-23 et 226-24 du Code Pénal)

- La déclaration préalable :

Avant toute décision de mise en œuvre d'un traitement de données personnelles sur internet le responsable doit effectuer une déclaration pour les traitements relevant du secteur privé. Les traitements relevant du secteur public sont quant à eux soumis à la formalité de l'autorisation préalable. L'absence de déclaration rend le traitement illégal et expose son responsable aux sanctions de l'article 226-16 du Code Pénal ( 3 ans de prison et 300.000 Frs d'amende).
Des déclarations simplifiées peuvent être effectuées en ligne sur le site de la CNIL, pour les traitements les plus courants. Malgré cela, les formalités préalables rebutent encore bon nombre de professionnels, de sorte que de nombreux traitement sont illégaux, à défaut de ne pas avoir étés déclarés . Selon une étude récente de la CNIL pilotée par Madame Cécile Alvergnat, portant sur " l'évaluation de 100 sites français sur le commerce électronique " d'avril 2000, 55% des sites n'avaient pas procédé à leur déclaration préalable .

- Le responsable du traitement a une obligation de sécurité (article 29 de la loi et 17 de la directive) et qui est assortie de sanctions pénales sévères prévues à l'article 226-17 du Code Pénal.( 5ans, 2 million de Francs)

Ni la loi ni la directive n'énumèrent les moyens techniques de sécurisation. Sachant que les techniques de protection ne sont pas toujours infaillibles , se pose la question de savoir , s'agissant d'une obligation de moyen , quelle est son étendue compte tenu de l'évolution rapide et parallèle des techniques de protection et de piratage.
Bien entendu le responsable du traitement peut toujours se retourner contre l'auteur du piratage sur un plan pénal en application de articles 323-1 à 323-7 du Code Pénal.. Mais il ne faut pas perdre de vue que cette obligation de sécurité est très contraignante . Elle doit d'ailleurs être imposée à tous les sous-traitants du maître du traitement. Il existe en effet aux termes de la directive une présomption de responsabilité du maître du traitement qui doit " prouver que le fait qui a provoqué le dommage ne lui est pas imputable. " (article 23) La CNIL, demande au responsable les dispositions prises pour " assurer la sécurité des traitements et des informations et la garantie des secrets protégés par la loi ", et a publié des recommandations à ce sujet .

- Il a également une obligation de confidentialité qui est le prolongement de la précédente.

Elle est réprimée pénalement (par l'article 226-22 du Code Pénal ) lorsqu'il y a divulgation de données personnelles à un tiers non autorisé , s'il y a atteinte à la considération de l'intéressé ou à l'intimité de sa vie privée, même si les faits sont commis par imprudence ou négligence.

- Le responsable du traitement doit respecter la finalité du traitement pour qu'il soit licite (art6)

La durée de la conservation des données en dépend directement. Il s'agit de ne collecter que des données strictement nécessaires afin de respecter le caractère pertinent , adéquat et non excessif de la collecte des données personnelles (art 6) Le fait de détourner les informations de leur finalité, à l'occasion d'un traitement est sanctionné pénalement (art 226-21 du Code Pénal)

3/La loi a institué la CNIL comme organisme de contrôle.

Afin de contrôler le respect de cette réglementation, la loi et la directive ont désigné un organe de contrôle. En France il s'agit de la CNIL autorité administrative indépendante, instituée par la loi de 1978, qui a un pouvoir d'information, de contrôle, ainsi qu'un pouvoir réglementaire. La CNIL reçoit les plaintes en vertu de l'article 21, et peut alors faire procéder à des vérifications sur place par l'un de ses membres, adresser des avertissements et dénoncer au parquet les infractions dont elle a connaissance. Le parquet peut alors mettre en mouvement l'action publique.( Sur l'absence de saisine du parquet par la CNIL dans une affaire de fichier policier, affaire : Jean Ferrari/ CNIL CE 28 Juillet 2000).
Le juge administratif est compétent pour le contrôle de la légalité des décisions de la CNIL. La personne victime d'un traitement illicite ne passe pas nécessairement par la CNIL, et peut saisir directement la juridiction compétente, si elle dispose de preuves suffisantes. Son droit au recours juridictionnel du fait d'un traitement illicite est consacré par l'article 23 de la directive.

Le Projet de transposition :

Dans l'avant projet de loi, les pouvoirs de la CNIL devraient être accrus, sur le plan de son contrôle a posteriori, avec une possibilité pour la CNIL d'infliger des sanctions pécuniaires.
La différenciation entre le secteur public et privé devrait disparaître, au profit d'une distinction entre la nature du traitements présentant ou pas des risques concrets d'atteinte aux droits et aux libertés des personnes.
Il faut espérer que l'esprit de la loi de 1978, ne sera pas totalement abandonné, et que les libertés fondamentales et la protection de la vie privée qui ont inspiré la protection des données personnelles seront défendues avec la même détermination, tant pour la protection du consommateur face aux entreprises que pour la protection de la personne face aux fichiers de l'Etat et de ses administrations.

 

Caroline SITBON
Avocat à la Cour Spécialiste en propriété intellectuelle
CONFERENCE Mercredi 4 Avril 2001 Salon Lexposia Carousel du Louvre