57. Une accélération de la production normative – La constitution et le maniement de fichiers contenant des informations exsudées, en ligne et hors-ligne, par les personnes physiques, ont d’abord été encadrés par la loi précitée de 1978 dite « informatique et libertés » 1.
Des textes nombreux ont ensuite été adoptés au niveau de l’Union européenne. Une directive a été adoptée en 1995, portant de manière générale sur la protection des données 2 ; elle a rendu nécessaire la modification de la loi « informatique et libertés » par une loi de 2004 3 . n 2000, la Charte des droits fondamentaux de l’Union européenne a consacré, en son article 8, un « droit à la protection des données à caractère personnel » 4. Fut ensuite adoptée une série de directives sectorielles, portant sur les données personnelles employées dans le secteur des communications électroniques 5, ou sur les données relatives aux infractions pénales 6. En 2016, un règlement européen sur la protection des données (dit « RGPD ») a été adopté 7. Il est entré en vigueur le 25 mai 2018, remplaçant la directive de 1995 et, dans une large mesure, la loi informatique et libertés. Une loi française du 14 mai 2018 a exploité les nombreux espaces dans lesquels le RGPD laissait les Etats libres d’adopter une solution propre, tout en transposant en droit interne la directive relative aux infractions pénales 8.
Enfin, au cours de l’année 2019, un autre règlement européen devrait remplacer les directives relatives au secteur des communications 9.
Dans l’intervalle, en droit interne, d’autres lois générales et sectorielles ont comporté des dispositions intéressant les informations personnelles 10.
Les textes précités, notamment la loi « informatique et libertés » et le règlement de 2016, s’appliquent en présence d’informations d’une certaine nature, et uniquement lorsque certains traitements sont appliqués à ces informations. Voyons comment sont définis ces concepts-clés.
58. Quelles informations ? – En 1978, la loi visait les « informations nominatives », étant aussitôt précisé : « sont réputées nominatives au sens de la présente loi les informations qui permettent, sous quelque forme que ce soit, directement ou non, l’identification des personnes physiques auxquelles elles s’appliquent […] » 11. Il s’agit donc bien de protéger l’identité (stable) des personnes physiques, en prenant dans les filets de cette législation toute information susceptible d’y être rattachée, y compris de la manière la plus indirecte. Aucun passage par le nom n’est véritablement nécessaire : un fichier recensant une profession rattachée à un numéro RIN pointe vers un et un seul individu ; que l’on puisse ensuite redescendre de son identité stable à son nom est à la fois évident et secondaire. Aussi faut-il se féliciter de ce que la directive de 1995 ait repoussé l’expression « informations nominatives » au profit de « données à caractère personnel ». 12. La définition retenue est cette fois-ci : « […] toute information concernant une personne physique identifiée ou identifiable […] directement ou indirectement » 13. On la retrouve dans le règlement de 2016 14. La forme prise par l’information importe peu : textes, sons, images, données biométriques peuvent être concernés. Elle doit se rapporter à une personne physique vivante – les morts et les personnes morales ne sont pas concernés 15.
Puisqu’il suffit que l’information permette « indirectement » l’identification d’une personne, le champ des données concernées est très vaste. L’adresse IP en constitue un bon exemple. Il a déjà été exposé que cette adresse désigne non pas un individu, mais un point d’accès au réseau ou au mieux, une machine connectée au réseau 16. Pour cette raison, la Chambre criminelle de la Cour de cassation avait jugé que l’adresse IP, collectée par un agent assermenté traquant des violations du droit d’auteur sur les réseaux de pair-à-pair, n’était pas une donnée personnelle 17. Récemment, la Première chambre civile a jugé tout au contraire, de manière parfaitement convaincante, que « les adresses IP, qui permettent d’identifier indirectement une personne physique, sont des données à caractère personnel » 18. La CJUE va dans le même sens, expliquant que des voies de droit existent en Allemagne — pays concerné par cet arrêt — pour obtenir du fournisseur d’accès à Internet le nom de l’abonné correspondant à une adresse IP 19.Et il est vrai que connaître le nom de l’abonné permet de connaître le nom de l’internaute lorsqu’une seule personne utilise le point de connexion au réseau ou la machine – ce qui emporte déjà la décision. Même lorsque plusieurs personnes utilisent la même adresse IP, la combiner avec d’autres informations — par exemple les autres sites visités par la même IP durant une certaine tranche horaire — permettent très souvent de déduire qui du père, de la mère ou des enfants, par exemple, se trouvait au clavier.
Il est donc fondamental de considérer non seulement ce que dit déjà un jeu de données personnelles donné lorsqu’on le contemple, mais aussi et surtout ce qu’il pourrait dire s’il était croisé ou combiné avec d’autres informations. C’est aussi pour cette raison que le règlement s’applique également aux données qui n’ont pas été totalement « anonymisées », ma seulement « pseudonymisées » : même si les noms ont été transformés en codes a priori incompréhensibles, dès lors qu’il existe une possibilité de remonter jusqu’à l’identité d’une personne par des moyens indirects, des déductions, des recoupements, le régime applicable est celui des données personnelles 20. Dans ces conditions, la question se pose de savoir si les données véritablement anonymes existent : un chercheur a montré qu’en croisant trois informations banales et d’apparence inoffensive — le sexe, le code postal et la date de naissance — on parvient à identifier de manière unique 63% de la population américaine 21 !
59. Quelles opérations ? – Les textes sont applicables à certains usages des données ainsi caractérisées. Le règlement les appelle « traitement(s) de données à caractère personnel » et les définit comme « toute opération ou tout ensemble d’opérations effectuées ou non à l’aide de procédés automatisés et appliquées à des données ou des ensembles de données à caractère personnel, telles que la collecte, l’enregistrement, l’organisation, la structuration, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, la limitation, l’effacement ou la destruction » 22. La liste est d’une étendue telle qu’on imagine mal une opération intellectuelle, physique, scientifique ou commerciale sur des données qui ne s’y trouverait pas. Il faut relever que même les manipulations non automatisées de données sont concernées, de sorte que des fichiers papier, par exemple, sont concernés par le texte – ils sont certes devenus rares 23.
60. Quelle articulation avec le droit à la vie privée ? – Peut-on considérer les « règles relatives à la protection des personnes physiques à l’égard du traitement des données à caractère personnel » 24 comme un nouveau visage du droit à la vie privée, à l’ère numérique ? Les notions ne se confondent pas, mais il est vrai qu’elles entretiennent des liens indéniables et puissants.
M. Gutmann qualifie la vie privée de « zone soustraite au regard » et rappelle qu’historiquement, cette zone devait s’entendre littéralement, comme un espace physique. « La dimension matérielle de l’espace privé ne doit rien au hasard : alors que le Code civil clôturait soigneusement les espaces privés, l’histoire récente de la vie privée fait bien apparaître le lien intime entre le développement de cette notion et l’augmentation de la taille des logements urbains qui a permis aux individus, au sein de leur famille, d’acquérir un espace propre » 25. Mais l’auteur avertit que cette notion a évolué, pour désigner par la suite un espace avant tout immatériel. Ainsi, appliquant l’article 368 du Code pénal, qui sanctionnait les enregistrements et photographies réalisés dans un lieu privé, « certains juges avaient introduit dans l’appréciation de ce lieu un élément subjectif, permettant de protéger ceux qui, quoique placés dans un espace public, avaient entendu soustraire aux regards importuns des éléments de leur vie privée » 26.
De manière similaire, M. Lessig explique comment le droit américain a évolué dans son interprétation du 4ème amendement à la Constitution des États-Unis, qui protège les citoyens contre les intrusions injustifiées des pouvoirs publics 27. Ce texte a d’abord été interprété en 1928 comme ne s’appliquant pas à un dispositif de mise sur écoute placée sur une ligne téléphonique, si le tronçon de ligne manipulé par les autorités se trouvait dans un endroit public, et qu’il n’a donc pas été nécessaire de pénétrer sur la propriété privée de la personne surveillée 28. Ce n’est qu’en 1967 qu’une conception plus immatérielle de la vie privée a conduit à renverser cette solution 29.
Comment définir cette vie privée moderne et immatérielle ? M. Gutmann propose d’y voir « un ensemble d’informations personnelles », mais met aussitôt en garde contre une assimilation avec les données à caractère personnel au sens de la directive de 1995 30. En effet, on trouve parmi les données à caractère personnel aussi bien des informations privées que publiques 31. Un titre professionnel, des informations sur la filiation de l’individu consultables à l’état civil sont des données personnelles, mais non des informations relatives à la vie privée.
Les notions sont donc distinctes, mais pas étrangères l’une à l’autre. La directive de 1995 affirmait : « l’objet des législations nationales relatives au traitement des données à caractère personnel est d’ assurer le respect des droits et libertés fondamentaux, notamment du droit à la vie privée reconnu également dans l’article 8 de la convention européenne de sauvegarde des droits de l’homme et des libertés fondamentales et dans les principes généraux du droit communautaire » 32. En droit interne, dès 1978, la loi informatique et libertés s’ouvrait sur cette proclamation : « L’informatique doit être au service de chaque citoyen. Elle ne doit porter atteinte ni à l’identité humaine, ni aux droits de l’homme, ni à la vie privée, ni aux libertés individuelles ou publiques » 33.
L’encadrement des données personnelles aurait donc vocation à renforcer, à soutenir le droit à la vie privée. Cette présentation est cohérente. Les données personnelles comprennent toutes les informations relatives à la vie privée, et d’autres encore. La relation entre ces deux ensembles est donc celle du genre à l’espèce. Mais à quoi sert-il de protéger l’autre espèce, les données publiques ? Pourquoi réglementer la constitution et la manipulation de fichiers contenant des informations qui devraient être librement accessibles à chacun ? Le critère déclenchant l’application du droit des données personnelles doit être le plus clair et le plus durable possible, quitte à être très large. La notion de vie privée varie de manière significative dans le temps et dans l’espace. Lorsqu’une personne prétend qu’il a été porté atteinte à sa vie privée, un débat judiciaire s’instaure et ce n’est finalement qu’au dénouement du procès que l’on sait si la vie privée était bien en cause 34. Le droit des données personnelles, qui prétend s’appliquer à toute personne qui manipule du bout du doigt une information relative à un individu identifiable, ne pourrait s’accommoder de telles incertitudes. Le critère de l’information susceptible d’être rattachée à une personne est d’un maniement plus aisé 35.
En somme, le droit à la vie privée est un pouvoir d’exclure autrui d’une sphère restreinte d’intimité, généralement invoqué lorsque la menace est déjà tangible. Le droit à la protection des données à caractère personnel concerne très largement toute information susceptible d’être rattachée, même indirectement, à un individu donné ; il a une visée essentiellement préventive plutôt que curative, en posant a priori dans quel cadre et à quelles conditions les informations peuvent être exploitées. Ainsi, pour caractériser la relation qui unit les concepts, il est tentant de paraphraser la célèbre formule de Ihéring sur la possession, et de présenter le droit des données personnelles comme le bastion avancé de la vie privée à l’ère numérique 36.
61. À qui incombe la protection ? – Il n’est pas question, dans les développements qui vont suivre, de décrire en détail un droit foisonnant et technique, auquel des traités sont exclusivement consacrés 37. Il s’agira d’une présentation des lignes de force, qui permettra de mieux comprendre comment se forme l’identité numérique des personnes aujourd’hui, et comment elle est protégée par le droit. Précisons par ailleurs qu’il ne sera pas traité de l’arsenal législatif antiterroriste, qui réduit la vie privée des citoyens pris dans son champ d’application à la portion congrue : ses logiques spécifiques appelleront une présentation séparée, dans une version ultérieure de cette étude 38.
Deux points de vue pourraient être défendus. L’un consisterait à dire que les individus sont incapables — par manque de compétence, de temps, et peut-être d’intérêt — de défendre eux-mêmes leur identité numérique. Une telle analyse doit conduire à un droit des données à caractère personnel protecteur, dirigiste, impératif. Le second point de vue voudrait qu’on laisse aux personnes concernées le soin de fixer elles-mêmes ce qui constitue un usage acceptable des informations qu’elles cèdent ou sèment derrière elles. La réglementation serait alors libérale, souple, personnalisée.
Le droit positif ne choisit pas entre ces deux approches, mais les combine. D’abord, nombre de règles s’imposent à ceux qui décident de manipuler les données : les « responsables de traitement » 39, ainsi qu’à leurs sous-traitants et partenaires. Ensuite, des moyens juridiques et techniques s’offrent aux individus eux-mêmes afin de contrôler, préserver, modeler leur identité numérique. Ils supposent de leur part une prise de conscience de cette identité, puis une allocation de temps et d’énergie pour comprendre et mettre en œuvre les outils permettant de la façonner.
Il est alors utile de présenter séparément ces deux corps de règles. Dans la situation — courante — où les individus dont les données sont exploitées se désintéressent de la question, le statut impératif des responsables de traitement donne à voir les seules garanties qui seront mises en œuvre, la protection plancher (I). Mais dans les cas où les individus se préoccupent de la consistance et des usages de leurs données, il est bon de consacrer une étude distincte à l’ensemble d’outils qui s’offrent à eux afin de gérer le plus finement possible leur identité numérique (II).