92. Le droit à « l’autodétermination informationnelle » – La phase de contrôle des données en amont de leur collecte était dominée par des outils techniques – auxquels le droit n’est certes pas indifférent, car il peut les encourager, les imposer, les freiner ou les interdire, régulant ainsi indirectement les comportements. Logiquement, on assiste, en aval de la collecte, à un retour en force de la régulation directe et des outils juridiques. Les données sont en possession d’entreprises qui les exploitent, et il est trop tard pour s’opposer techniquement à la maîtrise qu’elles exercent. Elles ne relâcheront leur emprise sur ces informations que si elles y sont contraintes par le droit. Or, l’article 1er alinéa 2 de la loi informatique et libertés, tel qu’il résulte de la loi « République numérique » du 7 octobre 2016, affirme : « Toute personne dispose du droit de décider et de contrôler les usages qui sont faits des données à caractère personnel la concernant, dans les conditions fixées par la présente loi ». Cette disposition avait été retirée du projet de loi, avant de réapparaître dans la version définitive 1. Elle s’inspire ouvertement d’une décision de la Cour constitutionnelle fédérale allemande du 15 décembre 1983, dans laquelle on peut lire : « la Constitution garantit en principe la capacité de l’individu à décider de la communication et de l’utilisation de ses données à caractère personnel » 2. Le règlement européen du 27 avril 2016 y fait également allusion dans un considérant : « Les personnes physiques devraient avoir le contrôle des données à caractère personnel les concernant ». 3
Dans son rapport « numérique et droits fondamentaux », le Conseil d’État avait vanté cet Informationnelle Sebstbestimmung allemand, traduit en « droit à l’autodétermination informationnelle » 4.
[…] alors que le droit à la protection des données [reconnu par la Charte des droits fondamentaux de l’Union européenne] peut-être perçu comme un concept défensif, le droit à l’autodétermination lui donne un contenu positif. Il ne s’agit plus seulement de protéger le droit au respect de la vie privée, mais d’affirmer la primauté de la personne qui doit être en mesure d’exercer sa liberté. En ce sens, le droit à l’autodétermination répond davantage à l’aspiration croissante des individus à l’autonomie de décision 5.
La Haute juridiction administrative mettait toutefois en garde contre une mauvaise interprétation de ce concept, qui ne constitue pas un droit subjectif nouveau au contenu précisément déterminé.
[…] le droit à l’autodétermination informationnelle constitue l’objectif permettant d’offrir une véritable protection des données personnelles. Par son haut niveau d’exigence, le droit à l’autodétermination peut jouer un rôle d’aiguillon, tant pour les pouvoirs publics que pour les individus.[…] Il n’apparaît pas souhaitable d’ajouter le droit à l’autodétermination à la liste des droits déjà reconnus par les textes existants ou que la proposition de règlement de l’Union européenne envisage de reconnaître, tels que les droits d’information, d’accès, de rectification ou d’opposition. Le droit à l’autodétermination se situe à un autre niveau : il donne sens à tous ces droits, qui tendent à le garantir et doivent être interprétés et mis en œuvre à la lumière de cette finalité […] 6.
Le droit à l’autodétermination informationnelle n’est donc qu’un idéal vers lequel doivent tendre les pouvoirs publics 7. Il leur enjoint de mettre à disposition des individus des instruments de contrôle de leurs informations, sans préciser comment. Aussi convient-il de répondre à deux questions intimement liées : l’une d’ordre théorique, l’autre d’ordre pratique. La première : quelle est la nature juridique du lien qu’entretient l’individu avec ses données (1) ? La seconde : quels moyens faut-il mettre à sa disposition pour faire advenir l’idéal que constitue le droit à l’autodétermination informationnelle (2) ?
1 – La nature du droit de l’individu sur ses données
93. Droit réel ou personnel ? – Certaines théories considèrent les données comme des choses (a), d’autres comme des prolongements de la personne (b).
a – Les théories réalistes
94. Une propriété ordinaire – Certains auteurs l’affirment : « Il semble logique que les individus soient propriétaires de leurs données » 8. L’idée est au premier abord séduisante. La protection civile, mais aussi pénale de la propriété pourrait être mobilisée contre une collecte ou une exploitation non autorisée des informations personnelles 9. Devenues des biens — presque — comme les autres, ces informations pourraient en revanche circuler très facilement en usant des grands contrats spéciaux comme le bail ou la vente. En d’autres termes, les données personnelles deviennent une matière première, pour laquelle il existe une offre susceptible de rencontrer une demande. Le projet de l’opérateur espagnol Telefonica semble s’inscrire dans la droite ligne d’une telle conception. L’internaute aurait accès à une plateforme recensant ses données personnelles et pourrait faire de sa propriété un usage défensif — en refusant l’utilisation des informations — ou offensif – en négociant leur usage par les géants d’Internet contre service ou rémunération 10. On estime à 1000 milliards la valeur économique des données qui seront produites chaque année en Europe à l’horizon 2020 11. Pourquoi ne pas permettre aux individus d’en retirer une juste part ? Le fantasme s’écroule rapidement lorsque l’on comprend que c’est l’accumulation de données, leur mise en forme, la capacité technique à les interroger de manière pertinente et l’aptitude à leur découvrir des débouchés qui recèle une valeur économique. Les données d’un individu isolé ne valent rien ou presque : quelques dizaines de centimes, tout au plus, en fonction notamment de variables socioprofessionnelles, de santé et de centres d’intérêt qui conditionnent la sensibilité aux publicités ciblées 12. Plus fondamentalement, le Conseil d’État critique la philosophie que sous-tend la conception réaliste des données personnelles : « Là où le droit de propriété prétend faire des individus des gestionnaires d’un patrimoine, le droit à l’autodétermination rappelle qu’ils doivent demeurer en mesure de décider de leur existence. L’un se situe sur le plan de l’avoir, l’autre sur celui de l’être » 13. Le Conseil national du numérique, lui aussi, résume parfaitement les principales objections suscitées par le paradigme propriétaire en matière de données personnelles :
Le Conseil invite à exclure cette option : parce qu’elle renvoie à l’individu la responsabilité de gérer et protéger ses données, renforce l’individualisme et nie le rapport de force entre consommateurs et entreprises ; parce qu’elle ne pourrait que générer des revenus anecdotiques pour les usagers et susciter à l’inverse un marché de la gestion protectrice des données numériques ; parce qu’elle déboucherait à un renforcement des inégalités entre citoyens en capacité de gérer, protéger et monétiser leurs données et ceux qui, par manque de littératie, de temps, d’argent ou autre, abandonneraient ces fonctions au marché 14.
95. Une propriété intellectuelle – Un autre élément troublant, s’agissant de la théorie ci-dessus présentée, c’est qu’elle occulte largement le lien intime qui devrait exister entre la personne et les données qu’elle exsude. Or, « vendre » une information personnelle n’est pas vendre une chaise ou une brosse à dents. En réaction à cette anomalie, il a été proposé par M. Chemla de recourir à cette branche spécifique du droit des biens que serait la propriété intellectuelle.
[…] en quoi nos données privées devraient-elles être traitées autrement qu’une œuvre de l’esprit ? Ce qui définit une œuvre, ce qui lui confère la protection de la loi, c’est la condition d’originalité. Elle doit porter «l’empreinte de la personnalité» de l’auteur. Et qu’est-ce qui porte mieux l’empreinte de notre personnalité, sinon l’ensemble des données qui nous définissent en tant qu’être unique et que nous répétons de formulaires d’inscriptions en profils divers, et celles que nous produisons, via nos photos de vacances, nos blogs, nos commentaires et, finalement, nos vies ? Bien sûr, toutes nos productions en ligne ne sont pas des œuvres en tant que telles. Mais leur ensemble, leur addition sous forme de « profil » commercialisable auprès des plateformes de publicité, est indiscutablement unique, original, en grande partie produit par notre esprit. Presque une œuvre au sens du droit d’auteur […] 15.
Retenir une telle analyse permettrait de mobiliser les deux composantes du droit d’auteur : le droit patrimonial et le droit moral. S’agissant du droit patrimonial, l’auteur anticipe la critique tenant à la modicité des rémunérations individuelles, et propose de mettre en place des organismes de gestion collectifs, sur le modèle d’une SACEM. La négociation aurait lieu à un niveau collectif, ce qui constitue une idée séduisante. Quant au droit moral, il emporte entre autres la faculté, pour l’auteur, de divulguer ou non « l’œuvre » et d’en « défendre l’intégrité » contre des usages déshonorants 16. On ne peut se lancer dans l’étude du résultat qui serait produit par une transposition de ces règles à la question des données personnelles sans avoir affronté une objection de principe : le droit d’auteur est-il applicable ici ? Il semble que non 17. L’œuvre de l’esprit est une « création », une « réalisation » 18. Ce processus artistique est conscient et volontaire. C’est habilement que M. Chemla présente comme œuvre non pas les données personnelles considérées isolément — quelle « création » dans le fait de se connecter au site du Monde, suscitant l’enregistrement d’un cookie sur son navigateur ? – mais le profil complet qui les agrège toutes, autrement dit l’identité numérique de la personne. Toutefois, les nombreuses informations suscitées passivement, par exemple par le déplacement dans l’espace ou la navigation sur Internet, sont certes reliées à la personne, mais pas à la personnalité, ce qui change tout. Au sein des données personnelles, il en est qui méritent d’être qualifiées d’œuvres : ainsi de la correspondance abondante et sophistiquée entre deux individus. Mais cette qualification se surajoute au tout petit nombre de données ainsi élues parmi la masse, sans que ni les autres ni l’ensemble ne se transforment en création. Là ne peut résider la solution. Aussi a-t-il été proposé de rendre plus intense encore le lien entre données et personnes dont elles émanent.
b – Les théories personnalistes
96. Une émanation directe de la personne – Madame Rochfeld a mis en évidence les faiblesses des théories réalistes :
Parler de « bien », d’« appropriation » et de valeur, revient en réalité à faire trop peu de cas, quant à la texture de la donnée, de la composante d’identité et de personnalité de chacun que celle-ci renferme. La thèse occulte par ailleurs, quant aux risques engendrés par les utilisations rappelées, ceux de manipulations des comportements que les traitements peuvent engendrer ainsi que de révélations non souhaitées : on ne défend pas qu’un avoir, qu’une valeur économique, en défendant ses données personnelles ; on protège la personne, dans sa liberté d’agir et la conduite de sa vie privée, dans la maîtrise de ses composantes d’identité 19.
Il faut donc refuser de considérer les données personnelles comme des biens. Leur dénomination même, le fait qu’elles sont les briques élémentaires composant, ensemble, l’identité numérique : tout indique qu’elles sont des prolongements de l’individu. Le droit à l’autodétermination informationnelle et ses différents attributs devraient donc rejoindre les droits dits « de la personnalité ». Ces droits constituent des instruments de « contrôle » et « permettent […] à la personne d’exercer sa maîtrise des différents aspects de sa personnalité. Cette maîtrise […] trouve plusieurs expressions. Elle peut s’incarner par exemple dans une rétention (par ex., refus d’une personne de révéler des informations sur sa vie privée ou de diffuser son image), une révélation (révélation sur sa vie privée, aveu public par une personne de sa culpabilité avant tout jugement de condamnation), une mise au point ou rectification (exercice du droit de réponse, exercice du droit de rectification prévu par la loi du 6 janv.1978) » 20. Mais ces droits n’ont-ils pas une nature entièrement extrapatrimoniale, qui s’opposerait à ce que des données personnelles soient cédées contre une rémunération ou un service ? Cette analyse est datée : il est aujourd’hui admis que l’individu puisse donner accès à son image, voire à une partie de sa vie privée, à titre gratuit ou onéreux. Cela a conduit plusieurs auteurs à reconnaître que les droits de la personnalité présentent deux faces, l’une patrimoniale et l’autre extrapatrimoniale 21, ou l’une économique et l’autre morale 22.
97. Un élément de l’intégrité morale – Les droits de la personnalité peuvent être classés selon qu’ils protègent l’intégrité physique (droit au respect du corps humain même après la mort, nécessité du consentement pour les actes médicaux, pour la recherche biomédicale, pour le prélèvement d’organe d’une personne vivante…) ou l’intégrité morale (droit de réponse, droit moral de l’auteur, droit au respect de la vie privée, droit au respect de la présomption d’innocence…) 23. M. Beignier estime que l’ensemble de ces droits subjectifs découle d’un seul et même droit-matrice, qui serait un droit général à la tranquillité et à la dignité de chacun 24. Mais s’il fallait prendre position au sein d’une classification plus fine, il semble évident que le droit de l’individu sur ses données personnelles prendrait place au sein de ceux qui protègent l’intégrité morale. Plus précisément encore, il se situerait au carrefour du droit à l’image — en ce que l’identité en général, et l’identité numérique en particulier, constituent des représentations de l’individu, même s’il s’agit de représentations abstraites à vocation sociale 25 — et du droit à la vie privée – dont le droit des données personnelles constitue le bastion avancé 26.
Toutefois, le régime proposé par Madame Rochfeld s’agissant du droit à l’autodétermination informationnelle emprunte aussi aux protections du corps humain. Dressant un parallèle aussi riche qu’inattendu, elle mobilise le régime des produits sanguins, en ce qu’ils entretiennent avec l’individu un lien immensément intime, mais susceptible de se distendre : « le sang ne peut faire l’objet que d’un don lorsqu’il est prélevé, mais les médicaments composés de produits sanguins, issus de sa transformation, peuvent quant à eux être cédés à titre onéreux entre professionnels » 27. Or, poursuit l’auteur, le lien des données avec la personne dont elles émanent peut se relâcher jusqu’à disparaître, lorsque des processus d’anonymisation suffisants sont mis en œuvre. L’image est très habile, mais n’est-elle pas un peu trompeuse ? En effet, le statut du sang change à un moment clair, lié à une réalité physique : celui où il quitte le corps. Le moment où il devient impossible de rattacher une donnée à l’individu est quant à lui relatif et contingent : il tient à l’état de l’art actuariel, à la puissance des moyens de traitement mobilisés pour opérer les recoupements, et à l’existence de bases de données tierces qui pourront fournir un lien manquant entre deux fragments. Autrement dit, une donnée peut être anonyme pour les uns — ceux manquant de puissance de traitement, d’informations complémentaires ou de compétence technique — mais pas pour les autres 28. Elle peut être anonyme aujourd’hui, mais ne plus l’être demain. Il semble préférable de prendre acte de cette frontière mouvante entre le personnel et l’anonyme en rattachant exclusivement l’autodétermination informationnelle à la sphère de l’abstrait et de l’intellectuel. Cela implique qu’une donnée qui s’était détachée de l’individu peut retrouver son lien ultérieurement : l’idée est inconfortable, mais techniquement réaliste.
98. Une possible gestion collective – En revanche, nous suivrons volontiers l’auteur lorsqu’elle affirme qu’une approche personnaliste des données personnelles n’est pas incompatible avec une dimension collective. M. Chemla appelait de ses vœux une « SACEM » des données personnelles 29. Il n’est pas nécessaire de considérer les informations personnelles comme protégées par le droit d’auteur pour imaginer que les utilisateurs d’un grand service en ligne se fédèrent pour négocier des contreparties. Il s’agit de conclure des contrats — similaires à ceux qui sont passés en matière de droit à l’image — et cette conclusion s’accommode sans difficulté de représentations collectives. Comme l’écrit M. Casilli, « Je pense que les internautes vont s’unir et s’organiser pour défendre leurs intérêts en tant que fournisseurs de données. Pour cela, ils vont s’inspirer des associations de défense des consommateurs, ou même des syndicats ouvriers. Seule une réponse collective et solidaire pourra rétablir l’équilibre » 30.
La nature juridique du lien unissant l’individu à ses données personnelles est à présent connue : il s’agit d’un droit de la personnalité, voisin du droit à l’image et du droit au respect de la vie privée. Quelles sont, à présent, les prérogatives juridiques précises et concrètes qui permettent à la personne d’assurer un contrôle de ces informations ?
2 – Les composantes du droit de l’individu sur ses données
99. Plan – On peut les regrouper en cinq catégories : la personne est autorisée à connaître les données (a), à les faire modifier ou supprimer dans certains cas (b), à obtenir certains déréférencements de la part de moteurs de recherche (c) à récupérer ses données (d), à les transmettre après sa mort (e).
a – Le droit de connaître ses données
100. Le droit d’accès – Dès 1978, un certain nombre de droits ont été octroyés aux individus, qu’ils doivent prendre l’initiative d’exercer. On les retrouve dans la version contemporaine de la loi informatique et libertés, ainsi que dans le règlement européen de 2016.
Le droit d’accès est le plus fondamental : il conditionne tous les autres. Il permet notamment à une personne de contacter un responsable de traitement pour lui demander si des données la concernant sont détenues et, en cas de réponse positive, quelle est leur consistance précise et exhaustive 31. D’autres informations peuvent être obtenues, en particulier les finalités du traitement. L’exercice du droit est quasi-gratuit : seul l’équivalent des frais de reproduction peut être exigé. Le responsable de traitement ne peut refuser de répondre que s’il démontre que les demandes sont « manifestement abusive » 32. Il s’agit, selon le mot de Jean Foyer, de faire des fichiers informatisés « des maisons de verre » 33.
101. Un droit ciblé – Le seul obstacle sérieux à l’exercice de ce droit, c’est qu’il ne sera exercé que si la personne a des raisons de croire, a priori, qu’un responsable de traitement donné dispose d’informations sur elle. Certes, nous avons vu qu’elle bénéficie d’un droit d’être informée des traitements la concernant, y compris ceux qui ne reposent pas sur son consentement 34. Mais la règle connaît des exceptions et, surtout, elle pourrait ne pas être respectée 35. Il n’existe pas de mécanisme permettant à l’individu d’interroger la CNIL, par exemple, pour obtenir la liste des fichiers dans lequel il se trouve, ou d’avoir une quelconque vue d’ensemble des données le concernant.
Une fois l’individu assuré de la présence de données personnelles à lui rattachées dans un fichier, et après qu’il ait été informé de leur teneur, le voici en mesure d’en demander, le cas échéant, la modification ou la suppression.
b – Le droit de faire modifier ou supprimer ses données
102. Le droit de rectification ou d’effacement 36 – Aux termes de la loi informatique et libertés, « Toute personne physique justifiant de son identité peut exiger du responsable d’un traitement que soient, selon les cas, rectifiées, complétées, mises à jour, verrouillées ou effacées les données à caractère personnel la concernant, qui sont inexactes, incomplètes, équivoques, périmées, ou dont la collecte, l’utilisation, la communication ou la conservation est interdite » 37. L’identité numérique est l’un des visages que l’individu présente au monde. La fausseté, l’incomplétude et l’obsolescence des informations le déforment. Le responsable de traitement qui s’en apercevrait doit agir sans attendre qu’on le lui demande 38. Mais il est évident que la personne concernée est la plus apte, d’une part à déceler ces informations inexactes ou périmées, d’autre part à choisir comment y remédier : en les remplaçant par le vrai ou par le vide. Un peu à part est l’hypothèse des données dont le traitement était interdit : il faudrait comprendre pourquoi cette interdiction s’est révélée ineffective, et pourquoi la vigilance de la personne concernée s’est révélée nécessaire au respect des règles en vigueur.
103. Le droit d’opposition – Dernier membre de la trilogie des droits classiques issus de la première loi informatique et libertés, il permet à une personne « de s’opposer, pour des motifs légitimes, à ce que les données à caractère personnel la concernant fassent l’objet d’un traitement » 39. Ce droit peut s’exercer en amont du traitement, mais également à tout moment par la suite. S’il s’agit de s’opposer à l’utilisation de données à des fins de prospection commerciale, il n’y a pas à fournir de motif particulier 40. Dans les autres cas, la personne doit expliquer quels sont les motifs légitimes qu’elle invoque, et le responsable de traitement est en droit de les contester. Enfin, certains traitements, notamment ceux répondant à des obligations légales, échappent totalement au droit d’opposition, ce qui est logique 41.
c – Le droit au déréférencement (dit « droit à l’oubli »)
104. Présentation – Le « droit à l’oubli », d’origine jurisprudentielle et d’invention beaucoup plus récente, se présente comme un prolongement des droits « de première génération » qui viennent d’être présentés. La Cour de Justice de l’Union européenne fait preuve d’audace en matière de protection des données personnelles. Avant l’arrêt Schrems 42, la décision Google Spain l’avait déjà démontré de manière éclatante 43.
Les faits soumis à la Cour étaient les suivants. M. Gonzalez, citoyen espagnol, était mentionné dans la presse comme ayant fait l’objet de saisies immobilières pour non-paiement de dettes sociales. La publication annonçait la vente aux enchères qui était sur le point de se tenir. Ces informations avaient d’abord été publiées sur papier, avant d’être diffusées une seconde fois sous forme numérique. Surtout, la publication numérique avait été indexée par le moteur de recherche Google, et se trouvait ainsi portée à l’attention de tout internaute présentant une requête de recherche portant sur les nom et prénom de l’intéressé. M. Gonzalez, embarrassé par une histoire vieille de douze ans, demanda le retrait des publications à la fois du site du quotidien La Vanguardia et du moteur de recherche Google. L’Agence espagnole de protection des données (AEPD) rejeta la réclamation à l’encontre de l’organe de presse, cette publication étant parfaitement licite. En revanche, l’Agence avait exigé de Google qu’il procède au retrait des résultats correspondants dans son moteur de recherche. La Cour devait répondre à un ensemble de questions parfois très techniques sur l’interprétation de la directive 95/46, mais l’essentiel du débat pouvait se résumer ainsi : le recensement puis la présentation d’informations licites dans un moteur de recherche peuvent-ils constituer des actes illicites ? L’idée semble d’abord incongrue. C’est pourtant en ce sens que juge la CJUE.
[…] un traitement de données à caractère personnel, tel que celui en cause au principal, réalisé par l’exploitant d’un moteur de recherche, est susceptible d’affecter significativement les droits fondamentaux au respect de la vie privée et à la protection des données à caractère personnel lorsque la recherche à l’aide de ce moteur est effectuée à partir du nom d’une personne physique, dès lors que ledit traitement permet à tout internaute d’obtenir par la liste de résultats un aperçu structuré des informations relatives à cette personne trouvables sur Internet, qui touchent potentiellement à une multitude d’aspects de sa vie privée et qui, sans ledit moteur de recherche, n’auraient pas ou seulement que très difficilement pu être interconnectées, et ainsi d’établir un profil plus ou moins détaillé de celle-ci. En outre, l’effet de l’ingérence dans lesdits droits de la personne concernée se trouve démultiplié en raison du rôle important que jouent Internet et les moteurs de recherche dans la société moderne, lesquels confèrent aux informations contenues dans une telle liste de résultats un caractère ubiquitaire […] 44.
105. Les spécificités de la recherche nominative – La CJUE le souligne à raison : l’information sur les individus est aujourd’hui trop facile à trouver. L’identité numérique, qui pourrait sembler être une abstraction, prend corps en quelques instants lorsqu’un moteur de recherche généraliste est mis en œuvre. En présentant des requêtes de recherche nominative, l’utilisateur de ces services construit en un instant autant de « fiches renseignements généraux », dont l’exhaustivité est problématique. Rappelons qu’en 1978, le rapporteur de la loi informatique et libertés craignait les effets combinés de l’hypermnésie informatique et des interconnexions massives de bases données : « Est-il indispensable qu’on puisse savoir d’un homme de soixante ans qu’il était énurétique à trois ans, qu’il a contracté la coqueluche à huit ans, qu’il a échoué au baccalauréat à seize ans, qu’il a subi une punition durant son service militaire, qu’il a blessé un passant en voiture à vingt-cinq ans, qu’il a été licencié par un employeur à quarante ans et qu’il a subi une intervention chirurgicale à cinquante ans ? » 45. C’est précisément ce que permettent les moteurs de recherche, du moins s’agissant des informations publiquement accessibles sur Internet – qui sont en nombre considérable : ils les aspirent, les rapprochent et les propulsent sur l’écran des résultats, en n’oubliant rien. En plus d’être d’une extrême précision et de remonter sans limites dans le passé, le profil ainsi obtenu ne présentera pas l’apparence d’une biographie telle qu’elle aurait été rédigée par un journaliste, par exemple. Si le public présentait une attirance particulière pour les informations déshonorantes — on ne fait que formuler l’hypothèse — alors la popularité des liens y afférents augmenterait, et conséquemment leur place dans les résultats de recherche.
Toutefois, si l’extrême puissance des moteurs de recherche constitue le soubassement de la décision Google Spain, elle peut facilement être retournée contre l’arrêt. Que des informations gênantes, vieillies et dont la pertinence s’est fanée soient placées trop facilement sous le feu de si puissants projecteurs est une source d’inquiétude. Mais l’alternative est de les plonger dans l’obscurité la plus complète. Certes, l’internaute se rendant sur le site de la Vanguardia pourrait encore y taper le nom de M. Gonzalez, et trouver ainsi les articles en cause. En effet, l’arrêt ne vise que le « moteur de recherche consistant à trouver des informations publiées ou placées sur Internet par des tiers », ce qui ne vise pas un moteur de recherche interne 46. La visibilité de l’information, dans un tel exemple, n’est que diminuée – très fortement. Mais un certain nombre de pages qui ne bénéficient pas d’un flux important de visiteurs réguliers, comme des blogs personnels, disparaissent de fait si elles ne profitent pas d’une indexation par les grands moteurs. La solution Google Spain serait donc inacceptable si elle exigeait que les propos considérés disparaissent des résultats pour toute requête. Ce n’est heureusement pas ce qui est jugé : seules les requêtes nomiative sont visées. Une requête ne comportant pas de nom doit permettre aux pages considérées d’être présentées parmi les résultats.
106. Une délicate balance des intérêts – Ces dernières considérations minorent l’atteinte à la liberté d’expression, mais ne la suppriment pas. Dresser des obstacles entre une information et le public qui souhaiterait en avoir connaissance, c’est bien restreindre une liberté fondamentale. L’arrêt Google Spain se fonde sur les droits d’accès et d’opposition ci-dessus présentés, mais en les sollicitant considérablement 47. Cela n’est acceptable que si l’atteinte est proportionnée, et qu’elle vise à protéger une autre liberté d’égale importance, comme le droit à la vie privée ou le droit à la protection des données à caractère personnel, qui sont explicitement visés 48. La Cour affirme que ces deux droits « prévalent, en principe, non seulement sur l’intérêt économique de l’exploitant du moteur de recherche, mais également sur l’intérêt de ce public à accéder à ladite information lors d’une recherche portant sur le nom de cette personne » 49. Mais elle poursuit : « […] tel ne serait pas le cas s’il apparaissait, pour des raisons particulières, telles que le rôle joué par ladite personne dans la vie publique, que l’ingérence dans ses droits fondamentaux est justifiée par l’intérêt prépondérant dudit public à avoir, du fait de cette inclusion, accès à l’information en question » 50. On imagine en effet quel désastre ce serait si les personnes aspirant à jouer un rôle public pouvaient « faire le ménage » dans les informations en ligne les concernant.
107. Une police privée de la recherche en ligne – Mettre plusieurs libertés fondamentales en balance, en tenant compte du critère factuel et flou du rôle dans la vie publique, c’est l’office du juge, ou à tout le moins d’une autorité administrative indépendante. Et pourtant, de fait, c’est l’exploitant du moteur de recherche qui prendra cette décision en première ligne : la CNIL demande aux citoyens de s’adresser à eux en première intention, quitte à lui présenter ensuite une plainte s’ils ne sont pas satisfaits de la réaction des Google et autres Bing 51. Ces sociétés sont ainsi investies — malgré elles — d’une fonction de police privée qui ne lasse pas d’inquiéter. Lorsque le moteur refuse de déréférencer, il est probable que la personne ayant formé la demande saisira ensuite la CNIL, car ce recours est facile et gratuit. L’autorité appliquera alors les « critères communs » qu’elle a adoptés avec ses homologues européennes 52. On peut certes craindre que la procédure s’arrête là, que les décisions de la CNIL ne soient que rarement frappées d’un recours devant le juge administratif, les individus étant découragés par le temps et le coût nécessaires au regard de l’intérêt du litige 53. Mais au moins une autorité administrative indépendante se sera-t-elle prononcée.
Une autre inquiétude, moins présente sous la plume des commentateurs, concerne la situation inverse : celle dans laquelle le moteur de recherche accepterait trop facilement les désindexations. La liberté d’expression de l’auteur des propos déréférencés est atteinte, mais la CNIL estime que : « […] les moteurs de recherche n’ont pas à informer le site à l’origine de la diffusion du contenu » 54. Par hypothèse, l’auteur de la demande ayant été satisfait, il partira en silence. Qui sera là pour faire valoir, par exemple, que le rôle public de cet individu n’a pas été suffisamment pris en compte ? Il est donc souhaitable que ces moteurs aient une politique restrictive en matière de déréférencement, pour éviter de nombreuses acceptations silencieuses, dont aucune entité indépendante n’aura pu vérifier le bien-fondé ! Un tel système n’est pas acceptable. La bonne solution serait de porter immédiatement les demandes devant la CNIL, sans passer par les acteurs privés. Encore faudrait-il doter cette institution de moyens suffisants : depuis mai 2014, plus de 700 000 demandes ont été adressées à Google, concernant plus de 1,9 million d’adresses Internet 55. L’enjeu démocratique le justifie.
108. Quel rayonnement territorial ? – Le « droit à l’oubli » a suscité une autre difficulté, tenant au champ d’application territorial qu’il convenait de lui conférer. Google avait limité l’effet du déréférencement aux extensions européennes de son moteur de recherche (.fr, es., etc.). Il suffisait donc à un internaute français de se connecter à la version en .com – ce qui ne demandait que quelques clics supplémentaires — pour obtenir des résultats de recherche complets, les pages désindexées dans le cadre de la jurisprudence Google Spain apparaissant à nouveau. La formation restreinte de la CNIL a considéré, à juste titre, que « (…) la société part du postulat qu’il existerait autant de traitements liés au service Google Search que d’extensions locales du moteur de recherche, alors qu’il s’agit d’un traitement unique doté de multiples chemins d’accès techniques » 56. Mais l’étape suivante de son raisonnement consiste à demander un déréférencement mondial des informations. Cela signifierait qu’un internaute américain, par exemple, voit ses résultats de recherche expurgés par l’effet d’une jurisprudence européenne. Certes, il est par hypothèse en train d’effectuer une recherche nominative sur un citoyen de l’Union, et la CNIL souhaite que la protection de ce citoyen soit effective partout dans le monde 57. Mais cela signifie bien, quoi qu’on en dise, que l’Europe demande l’altération du fonctionnement du moteur de recherche hors de son territoire. Imaginons qu’un propos diffamatoire soit mis en ligne : si la condamnation pénale de l’auteur est assortie de la suppression de la page incriminée, cela produira nécessairement un effet mondial – une page ou un fragment qui n’existe plus n’est plus référencé par les moteurs de recherche. Mais la jurisprudence Google Spain consiste en une illusion, un tour de passe-passe qui vise à retirer fictivement d’Internet un contenu qui s’y trouve bel et bien. On voit mal comment imposer une telle altération aux internautes d’un pays non européen sans que cela soit admis par sa propre législation. Surtout, il est à craindre que des pressions réciproques soient exercées sur les moteurs de recherche par des pays tiers, cette fois-ci au détriment des Européens. Pourquoi ces pays se priveraient-ils d’exiger l’altération de résultats de recherche, y compris sur les écrans situés dans l’Union, par exemple pour diminuer la visibilité de ses opposants politiques ou d’une minorité ?
Cela semble inexorable : en fonction des législations relatives à la protection des données personnelles, à la vie privée, à la liberté d’expression, mais aussi à la propriété intellectuelle, des équilibres différents seront trouvés dans les différentes régions du monde, des déréférencements différents seront exigés des moteurs de recherche, donnant naissance à autant de reflets distincts d’un Internet unique. Dès lors, la mise en œuvre, qui fut décidée par la société Google, d’un filtrage par adresse IP, semble constituer une solution raisonnable. Si cette adresse indique qu’un internaute consulte le moteur depuis le territoire de l’Union européenne, en utilisant n’importe quelle extension nationale, les résultats de recherche sont expurgés conformément à la jurisprudence Google Spain. Si l’internaute se situe hors de l’Union, les résultats sont complets. La CNIL ne s’en satisfait pas, relevant que les citoyens de l’Union peuvent voyager occasionnellement ailleurs dans le monde — certes -, mais aussi maquiller leur adresse IP, en utilisant des techniques déjà présentées 58. Cette position semble excessive. Altérer son adresse IP — ne parlons même pas de la possibilité de quitter physiquement l’Union européenne — est une démarche que bien peu d’internautes prendront la peine d’effectuer, et qui rend la consultation de résultats de recherche fastidieuse. Dans l’hypothèse de propos cibles licites, tout ce contre quoi s’élevait la CJUE était la trop grande facilité avec laquelle ils étaient associés au nom. Il est vrai que les instruments d’altération de l’adresse IP risquent de se démocratiser à l’avenir, mais cela posera des problèmes de régulation et de souveraineté étatique qui dépassent de loin la jurisprudence Google Spain. À l’heure actuelle, les obstacles placés sur le chemin de l’internaute paraissent suffisants, et la position des CNIL visant à imposer au reste du monde la vision européenne d’un moteur de recherche licite, excessive.
109. Cas particulier des mineurs – Les auteurs du règlement de 2016 ont manqué de courage s’agissant du droit à l’oubli, reconduisant certes les dispositions de la directive de 1995 ayant servi de fondement à Google Spain, mais sans prendre position directement sur cette importante jurisprudence – que ce soit pour la conforter ou pour la briser. Le règlement n’a innové qu’en ce qu’il accorde aux individus un droit à l’effacement de leurs données personnelles collectées lorsqu’ils étaient mineurs de seize ans, sans qu’ils aient à justifier d’un motif 59. En droit interne, la loi République numérique a prévu une mesure similaire, applicable quant à elle aux mineurs de dix-huit ans 60. La loi californienne prévoyait un tel droit depuis 2013 61.
110. Un futur arrêt « Google Spain 2 » ? – Le législateur européen ayant laissé passer l’occasion de préciser les contours du droit au déréférencement, la Cour de justice de l’Union européenne devra poursuivre seule sa construction prétorienne. Saisi d’un recours contre quatre décisions de la CNIL en la matière, le Conseil d’État a en effet estimé qu’il n’était pas en mesure de trancher sans avoir posé préalablement un ensemble de questions préjudicielles à la Cour de Luxembourg 62.
Vidéo Euronews du 27 janvier 2017.
d – Le droit de récupérer ses données
111. De l’accès à la récupération – La loi République numérique a inséré dans le Code de la consommation une nouvelle subdivision intitulée « récupération et portabilité des données » – dont l’entrée en vigueur est différée au 25 mai 2018 63. Le futur article L224-42-1 proclame solennellement : « Le consommateur dispose en toutes circonstances d’un droit de récupération de l’ensemble de ses données ». De quoi s’agit-il ? L’individu dispose déjà depuis 1978 d’un droit d’accès à ses données, qui lui permet non seulement de vérifier qu’un responsable de traitement donné dispose d’informations le concernant, mais aussi et surtout d’en connaître la teneur et d’en obtenir copie 64. Cela ne revient-il pas à « récupérer » lesdites données ? Les deux droits ont des finalités très différentes, qui appellent des modalités techniques de mise en œuvre bien distinctes. Le droit d’accès est le premier d’une série d’outils qui visent à surveiller les responsables de traitement. La personne qui l’exerce procède à une forme d’inspection, qui la renseigne sur l’identité de ceux qui possèdent des parcelles de son intimité, sur l’étendue et l’exactitude des informations détenues, sur la licéité et le fondement du traitement. La personne lutte pour apercevoir de loin ces fragments d’elle-même, qui ont été aspirés par d’autres et sont détenus dans leurs coffres. L’approche est essentiellement défensive. Or, c’est l’un des apports du concept d’autodétermination informationnelle que de revendiquer le droit, pour les individus, d’agir plutôt que de subir ; que de leur reconnaître des moyens de construire, et non seulement d’empêcher. Le droit à la récupération des données vise dès lors à ramener les données personnelles dans le giron de la personne de laquelle elles émanent, à des fins non de contrôle, mais de disposition. Ce pouvoir qui lui est conféré, l’individu peut en user de deux manières : pour sortir d’une situation de dépendance à un prestataire qui gérait ses données ; pour décider d’appliquer des traitements différents et nouveaux à ses données dans son propre intérêt.
112. La portabilité des données – Lorsqu’un utilisateur de service possède des milliers de photographies, d’emails, de prises de notes stockés auprès d’un prestataire donné, il peut être dissuadé de céder aux sirènes de la concurrence s’il n’est pas en mesure de transporter, chez ce nouveau partenaire, l’ensemble de son capital numérique. Imaginons que le téléchargement de photos soit possible, au sein d’un catalogue en comprenant 5000, mais seulement fichier par fichier. Des centaines d’heures de travail seraient nécessaires à la migration. Le même problème pourrait se poser pour des emails qu’il faudrait copier-coller ou transférer un par un. Le droit d’accès ne constitue pas une réponse à ces difficultés : dans les exemples donnés, le prestataire actuel aurait beau jeu de répondre que la personne peut déjà les consulter dans le cadre normal du service. De plus, le responsable de traitement pourrait, dans le cadre du droit d’accès, fournir le contenu des données sous une forme qui ne permet pas leur exploitation : tirages papier ou formats de fichiers permettant uniquement une consultation passive.
Le règlement de 2016 consacre par conséquent un nouveau « droit à la portabilité des données ». « Les personnes concernées ont le droit de recevoir les données à caractère personnel les concernant qu’elles ont fournies à un responsable du traitement, dans un format structuré, couramment utilisé et lisible par machine, et ont le droit de transmettre ces données à un autre responsable du traitement sans que le responsable du traitement auquel les données à caractère personnel ont été communiquées y fasse obstacle […] » 65. Mieux encore, « lorsque cela est techniquement possible », la personne doit pouvoir ordonner le transfert direct de son ancien à son nouveau prestataire 66. Certaines conditions sont posées, qui visent essentiellement à restreindre ce droit aux cas de traitement fondés sur le consentement 67. L’ambition est claire : il s’agit de fluidifier le marché en s’inspirant par exemple de la « portabilité » des numéros en matière de téléphonie fixe et mobile. Le passage à la concurrence est rendu le plus indolore possible pour le client.
Alors que le règlement de 2016 ne concerne que les données à caractère personnel, la réforme précitée issue de la loi République numérique vise « l’ensemble des données », mais ne concerne que les consommateurs, et s’inscrit dans une partie du Code de la consommation consacrée aux « contrats de services de communications électroniques » 68. Surtout, ces règles de droit interne ne s’appliqueront qu’à des prestataires ayant atteint une certaine taille critique fixée par décret 69. Les champs d’application ne se recoupent donc pas. Relevons encore qu’une proposition de directive « sur certains aspects des contrats de fourniture de contenu numérique » envisage de consacrer un droit à la portabilité dont les modalités seraient nettement différentes, puisqu’il naîtrait dans le chef des consommateurs à l’occasion de certaines ruptures de contrats 70.
Il faut avoir conscience que cette portabilité des données, destinée à stimuler la concurrence, ne fonctionne que dans les situations de tête-à-tête entre la personne dont les données sont collectées et le prestataire qui les exploite. Elle est inefficace face aux très nombreuses plateformes offrant des fonctions — primaires ou même secondaires — de réseau social : il ne sert à rien de disposer de l’ensemble de ses publications sur Facebook pour les importer dans Google + si le réseau d’amis est perdu lors de la migration 71.
113. L’utilisation personnelle des données à d’autres fins – Alors que le texte du règlement de 2016 est intitulé « droit à la portabilité des données », le Code de la consommation français vise plus largement « récupération et portabilité ». Et il est vrai que la portabilité n’est que l’un des usages possibles des données récupérées. Ainsi, les promoteurs du « self data » étudient « la production, l’exploitation et le partage de données personnelles par les individus, sous leur contrôle et à leurs propres fins : pour mieux se connaître, prendre de meilleures décisions, évaluer ses décisions passées, se faciliter la vie… » 72. L’idée est la suivante : une fois les données obtenues dans un format compréhensible par les machines, l’individu peut fort bien conserver sa confiance au prestataire qui les lui a livrées, mais tirer un nouveau parti de ses données, seul ou à l’aide d’un partenaire dont l’activité, les modes de traitement et les finalités diffèrent de ceux du prestataire initial. Par exemple, les données rapatriées depuis les logiciels d’aide à la navigation permettront la création de différentes cartes permettant à l’individu d’étudier ses déplacements passés 73 ; les données de consommation, issues des moyens de paiement ou cartes de fidélité de supermarché, permettent de calculer son empreinte carbone 74 ou de prendre conscience de ses habitudes alimentaires 75.
Que le règlement général n’ait pas expressément envisagé la récupération des données à ces fins n’est pas un obstacle insurmontable : il est suffisant qu’il consacre un droit à recevoir ses données dans un format lisible par machine. Mais le risque est que les acteurs de terrain aient interprété ce texte à la lumière de sa finalité de mise en concurrence. Prenons un exemple : quelle chaîne de supermarchés se sera préparée à délivrer les données issues des cartes de fidélité dans un format exploitable par une machine ? Cela n’est pas nécessaire au client qui voudrait faire ses achats ailleurs, mais c’est une ressource précieuse pour celui qui cherche à exploiter lui-même ses données à toutes sortes de fins qu’il juge bonnes. Ce droit, théoriquement acquis devra, donc en pratique être conquis.
Ayant ainsi décrit ce que signifie disposer des données de son vivant, il nous reste à évoquer la disposition à cause de mort.
e – Le droit de transmettre ou non ses données après sa mort
114. La situation antérieure à la loi République numérique – Que deviennent les données à caractère personnel après la mort ? Alors que les textes européens, et notamment le règlement de 2016, se désintéressent de la question, la loi « République numérique » a posé plusieurs règles en la matière 76. Avant l’adoption de ce texte, les héritiers se voyaient reconnaître un droit propre, d’ambition limitée et ainsi conçu 77 :
Les héritiers d’une personne décédée justifiant de leur identité peuvent, si des éléments portés à leur connaissance leur laissent présumer que les données à caractère personnel la concernant faisant l’objet d’un traitement n’ont pas été actualisées, exiger du responsable de ce traitement qu’il prenne en considération le décès et procède aux mises à jour qui doivent en être la conséquence.
Lorsque les héritiers en font la demande, le responsable du traitement doit justifier, sans frais pour le demandeur, qu’il a procédé aux opérations exigées en vertu de l’alinéa précédent 78.
Le défunt laisse en effet derrière lui un avatar numérique, dont la persistance peut laisser croire — à tort — que la personne qu’il représente est toujours en vie. Des comptes sur les réseaux sociaux, un blog personnel resteront accessibles aux tiers au-delà du trépas, et seront référencés par les moteurs de recherche. Bien sûr, aucun nouveau message de l’utilisateur n’apparaîtra – à moins qu’il n’ait prévu des publications à effet différé, ce qui n’est pas rare en matière de blogs. Mais ses connaissances ignorant sa disparition continueront peut-être à alimenter les espaces qui leur sont accessibles, comme un « mur » Facebook ou un espace de commentaires sous un article, nourrissant l’illusion de vie. Le texte ci-dessus reproduit constituait, dès avant la loi République numérique, un fondement donné aux héritiers pour obtenir la fermeture de ces espaces en ligne, ou l’insertion d’une mention informant les visiteurs du décès de l’individu. Facebook permet par exemple la transformation d’un profil d’utilisateur en un « compte de commémoration » 79. La CNIL souligne l’enjeu d’une telle fonctionnalité en précisant que sur ce réseau social, « un profil sur cent serait celui d’une personne décédée, soit environ 13 millions de profils ! » 80.
Apporter la nouvelle de la mort dans les espaces de vie numériques, permettre le dépôt de couronnes mortuaires virtuelles, tout cela est important, mais n’épuise pas la question de la « mort numérique ». Les héritiers pourront-ils accéder aux données personnelles non publiques ? Les coffres des responsables de traitement sont bourrés d’informations sur le défunt, dont l’intérêt économique ou moral peut être majeur. « Accéder aux données personnelles » du mort c’est ouvrir ses rlevésde comptes bancaires et ses déclarations fiscales, sa correspondance professionnelle, amicale, amoureuse, adultère, un agenda pouvant s’étendre sur des décennies, un album de photographies contenant peut-être des centaines de milliers de clichés, son répertoire téléphonique, le relevé de ses localisations géographiques. Dans ce très vaste ensemble, on imagine que des informations sont indispensables à ses associés pour le bon fonctionnement de la société dont il était le fondateur ; que tous les moments importants de la vie de famille ont été immortalisés par ses soins, féru qu’il était de photographie, de sorte que ces souvenirs irremplaçables seront perdus pour tous si l’accès y est refusé ; que son conjoint survivant a besoin de pièces administratives numérisées et stockées sur un serveur distant pour faire valoir ses droits à une pension de réversion. Les raisons d’offrir aux héritiers un accès aux données ne manquent pas. Mais des raisons tout aussi impérieuses pourraient s’y opposer : c’est toute l’intimité du défunt qui pourrait être mise à nu, le moindre de ses secrets qui pourrait être révélé.
Comment trancher ce difficile débat ? Les textes antérieurs n’offraient pas de solution d’ensemble 81. La loi République numérique constitue donc un progrès.
115. Le respect des directives anticipées – Le nouvel article 40-1 de la loi informatique et libertés s’ouvre sur un principe clair : les droits octroyés à la personne pour le contrôle de ses données à caractère personnel « s’éteignent au décès de leur titulaire » 82. Puisque le droit de l’individu sur ses informations relève de la sphère des droits de la personnalité, la solution est cohérente 83. Mais la suite du texte surprend alors : « Toutefois, [ces droits] peuvent être provisoirement maintenus conformément aux II et III suivants ». Les héritiers bénéficient peut-être, dans certaines situations, de prérogatives semblables à celles que possédait le défunt. Mais cela signifie que la loi fait naître des droits nouveaux qui leur sont propres, simplement moulés, dans leur diversité et leur étendue, sur ceux que l’on reconnaît à une personne vivante. En effet, le droit au respect de la vie privée et le droit à l’image — dont le droit sur les données personnelles semble être un proche cousin — s’éteignent à la mort de leur titulaire, comme cela a été clairement jugé par la Cour de cassation 84.
Quoi qu’il en soit, pour savoir s’il convient de conférer à des proches du défunt des pouvoirs sur ses données personnelles, la loi commande de respecter les directives qu’il aurait pu formuler à ce propos. Plus précisément, le texte envisage des instructions de l’individu « relatives à la conservation, à l’effacement et à la communication de ses données à caractère personnel après son décès » 85. Le de cujus peut donc choisir de transmettre, mais aussi de détruire. En prévoyant l’existence de directives générales — confiées à un « tiers de confiance numérique » certifié par la CNIL — mais aussi de directives particulières — adressées directement au responsable de traitement concerné -, la loi promeut le rôle de la volonté dans la gestion de l’au-delà numérique et propose une gestion fine, discriminant selon les contenus et les prestataires. En pratique, le notariat se positionnera rapidement comme le « tiers de confiance » naturel en matière de directives générales, et ne manquera pas de formuler des conseils concernant le sort des données lors de la rédaction de testaments authentiques. L’analogie testamentaire est d’ailleurs développée par le texte de la loi, qui prévoit la possibilité de désigner une personne chargée de l’exécution des directives post-mortem 86. Quant aux directives particulières, la pratique de la société Google — antérieure à l’adoption de la loi — en fournit un exemple. Un « gestionnaire de compte inactif » est proposé aux utilisateurs 87. Après une période pudiquement qualifiée de « période d’inactivité » — d’un minimum de trois mois, et durant laquelle aucune connexion au compte n’aura été enregistrée — il est possible d’octroyer à un ou plusieurs « contacts de confiance » un accès à tout ou partie de ses données personnelles. Par exemple, un ami pourra accéder exclusivement aux photos, tandis que le conjoint pourra à la fois regarder les photographies et lire les emails.
Comment critiquer cette partie de la loi ? Comment refuser au principal intéressé la maîtrise de ses « cendres numériques » ? Il est probable que l’adoption de telles directives entrera peu à peu dans les mœurs des générations ayant grandi avec les nouvelles technologies de l’information et de la communication. La loi prévoit d’ailleurs que : « Tout prestataire d’un service de communication au public en ligne informe l’utilisateur du sort des données qui le concernent à son décès et lui permet de choisir de communiquer ou non ses données à un tiers qu’il désigne ». À l’heure actuelle, de telles consignes sont rares et leur absence restera longtemps la norme. Le contenu de la loi supplétive de volonté est donc d’une importance capitale.
116. En l’absence de directives : les hésitations des parlementaires – Si le défunt ne s’est pas prononcé, faut-il fermer à ses proches l’accès à ses données personnelles, ou l’ouvrir largement, ou l’ouvrir un peu ? L’Assemblée nationale et le Sénat ont adopté des approches opposées, sur lesquelles il est utile de revenir brièvement, car elles sont riches d’enseignement sur la manière dont la « mort numérique » est perçue par ceux qui font la loi. Le Gouvernement lui-même n’a pas montré un cap très précis. Dans le projet de loi initial, il était en effet prévu : « Sauf lorsque la personne concernée a exprimé une volonté contraire […], ou en l’absence de directives, ses héritiers, dans l’ordre mentionné au précédent alinéa, peuvent exercer après son décès les droits mentionnés à la présente section » 88. Devant la commission des lois de l’Assemblée, le Gouvernement se ravise et présente un amendement supprimant la transmission automatique aux héritiers des droits « informatique et libertés » en l’absence de directive 89. Il suit en cela l’avis formulé par la CNIL, qui considère :
[…] que la faculté pour un héritier d’accéder aux données du défunt devrait être assortie de conditions strictes et de garanties pour préserver la mémoire du défunt et des tiers. Il pourrait notamment être envisagé de prévoir l’accès aux données contenues dans des traitements lorsqu’un tel accès est nécessaire pour identifier l’actif successoral d’une personne, ou lorsque l’impossibilité d’accès cause un préjudice réel, direct et certain aux héritiers 90.
C’est ainsi que le texte adopté par l’Assemblée nationale prévoit qu’ « en l’absence de directives, les droits mentionnés à la présente section s’éteignent avec le décès de leur titulaire », mais retient la première dérogation suggérée par la CNIL, lorsque les données sont nécessaires à la liquidation et au partage de la succession 91 .
Cependant, la Commission des lois du Sénat va revenir à l’état premier du texte, et ainsi redonner aux héritiers un accès automatique aux données personnelles du défunt, en l’absence de directive anticipée 92. En séance plénière, des sénateurs proposent de revenir à la position adoptée par l’Assemblée nationale et le rapporteur de la Commission des lois du Sénat, M. Christophe-André Frassa, a l’occasion d’expliquer pourquoi il s’y oppose.
Le dispositif proposé […] crée une césure complète entre la succession numérique et la succession physique. Alors que, dans le monde physique, il appartient à chacun de protéger, par anticipation, ses secrets, dans le monde numérique, le principe serait celui du secret.
Les difficultés pratiques posées par ce dispositif sont nombreuses : par exemple, si le défunt a stocké ses photos de famille sur le nuage — le cloud —, les héritiers n’y auront plus accès, alors que, dans une succession physique, le partage des albums de famille est, bien entendu, possible. De la même manière, le courrier électronique sera inaccessible, alors que les courriers papier sont remis sans problème aux héritiers.[…]
Les dérogations prévues en faveur des héritiers seront largement ineffectives : pour demander à accéder à une donnée personnelle susceptible d’être nécessaire pour la liquidation de la succession, encore faut-il savoir que cette donnée existe, ce qui nécessite de pouvoir consulter plus largement le traitement, afin d’identifier ce qui peut être utile. Or les héritiers n’auront pas le droit de procéder à cette consultation plus large… […]
J’ajoute, enfin, que se pose aussi la question du devenir des biens numériques : faut-il estimer que la propriété cesse à la mort de l’intéressé et que rien ne passe alors aux héritiers ?[…] 93.
D’autres intervenants vont mobiliser l’analogie entre « succession numérique » et « succession physique ». Ainsi M. Bas, président de la Commission des lois du Sénat, affirme-t-il :
La règle veut que, à notre décès, tout secret que nous n’avons pas confiné de telle manière que nul ne puisse y accéder soit accessible à nos héritiers. Je ne vois pas pourquoi cette règle pourrait être modifiée pour les seuls secrets conservés sur Internet et maintenue, en revanche, pour ceux qui le seraient sur des supports différents des supports électroniques. Il n’y a strictement aucune raison tenant aux droits fondamentaux de la personne d’introduire cette différenciation 94.
L’argument finira par être désigné, en raccourci, comme celui de la « boîte à chaussures », en référence aux trésors que tout héritier est susceptible de retrouver dans le grenier du défunt, personne ne contestant alors que les cartes postales, photographies ou lettres manuscrites s’y trouvant peuvent être consultées. La métaphore est fallacieuse, pour deux raisons au moins.
D’abord, l’analogie suppose que les données personnelles soient librement accessibles, comme l’est le contenu de la boîte à chaussures. Ce serait le cas si le de cujus avait communiqué ses identifiant et mot de passe à ses proches, ou s’il les avait inscrits sur un morceau de papier rangé dans un tiroir ou collé sur son écran d’ordinateur. Ce serait encore le cas si ces mots de passe étaient préremplis par son navigateur Internet, de sorte que toute personne prenant possession du clavier pourrait accéder à son compte. Par hypothèse, dans toutes ces situations, il n’est pas nécessaire d’enjoindre au responsable de traitement d’ouvrir un accès aux héritiers, en invoquant la force de la loi, puisqu’ils disposent déjà d’une maîtrise de fait sur les données. Ce sont les autres situations que le législateur doit saisir. La boîte à chaussures serait alors assortie d’un verrou impossible à crocheter.
Ensuite et surtout, le raisonnement proposé repose sur une prémisse inexacte. Si l’on ne voit pas pourquoi il faudrait traiter différemment « succession physique » et « succession numérique », c’est parce que les données personnelles ne sont pas des biens, et qu’ils ne font par conséquent l’objet d’aucune dévolution successorale 95. La CNIL l’avait rappelé 96. En revanche, les véritables « biens numériques » auxquels M. Frassa fait allusion, notamment des copies immatérielles de films, de disques, de logiciels devraient il est vrai être transmis aux héritiers, comme cela sera démontré plus loin – mais il s’agit d’une tout autre question 97.
117. En l’absence de directives : la solution retenue – Peu rigoureuse sur le plan juridique, la solution promue au Sénat était de surcroît inopportune, en offrant aux héritiers un accès sans nuance à l’océan des données personnelles de toute personne n’ayant pas laissé de directive particulière en la matière. On pourrait donc se réjouir qu’après la réunion d’une commission mixte paritaire, le texte soit revenu à une non-transmission de principe, assortie d’exceptions. Mais l’enthousiasme serait de courte durée, tant la mise en œuvre d’une de ces exceptions présente de dangers. La loi dispose que :
En l’absence de directives ou de mention contraire dans lesdites directives, les héritiers de la personne concernée peuvent exercer après son décès les droits mentionnés à la présente section dans la mesure nécessaire :
[…] à la prise en compte, par les responsables de traitement, de son décès. À ce titre, les héritiers peuvent faire procéder à la clôture des comptes utilisateurs du défunt, s’opposer à la poursuite des traitements de données à caractère personnel le concernant ou faire procéder à leur mise à jour 98.
Il ne s’est agi ici que de reprendre le dispositif qui préexistait à la loi République numérique, en le précisant un peu – ainsi de la référence nouvelle à la « clôture des comptes utilisateurs » 99. Le problème n’est donc pas là. Mais la loi vise également l’exercice des droits du défunt dans la mesure nécessaire
[…] à l’organisation et au règlement de la succession du défunt. À ce titre, les héritiers peuvent accéder aux traitements de données à caractère personnel qui le concernent afin d’identifier et d’obtenir communication des informations utiles à la liquidation et au partage de la succession. Ils peuvent aussi recevoir communication des biens numériques ou des données s’apparentant à des souvenirs de famille, transmissibles aux héritiers.
Laissons de côté l’amalgame déjà évoqué entre « données personnelles » et « biens numériques », deux catégories juridiques qu’il conviendrait au contraire de soigneusement distinguer. L’essentiel n’est pas là. Le législateur imagine ici conférer des droits aux héritiers sur certaines données seulement : celles qui sont nécessaires au règlement de la succession d’une part, et celles qui constituent des souvenirs de famille d’autre part. Encore faut-il trouver ces quelques perles au milieu de l’océan. Si un tiers de confiance, le notaire par exemple, avait été chargé de plonger et de procéder à la récolte, les secrets du défunt auraient été préservés. Ils auraient été indemnisés pour ce travail, qui est certes chronophage, mais pas insurmontable, s’il est sainement conçu : seules des informations dont les héritiers savent a priori qu’elles existent et — au moins dans les grandes lignes — en quoi elles consistent, devraient faire l’objet de telles recherches. Or, ce n’est pas la solution retenue par le législateur, qui semble consacrer une liberté totale de se promener dans les informations personnelles du de cujus, afin de déterminer soi-même ce qui présente un intérêt. Il faut voir dans cette curieuse procédure des concessions — importantes — des députés aux sénateurs 100. Le principe selon lequel les héritiers n’ont pas de pouvoir sur les données du défunt en l’absence de directive de sa part semble ainsi totalement vidé de sa substance.
Le moment est venu de conclure la partie de l’étude consacrée à l’identité numérique.