62. Plan – Les textes de droit interne et de droit européen forment un entrelacs complexe dont nous ne retiendrons que l’essentiel. Il faudra présenter la collecte (A), l’exploitation (B) et la circulation (C) des données à caractère personnel, ainsi que les sanctions susceptibles d’être prononcées si ces règles ne sont pas respectées (D). Précisons d’emblée qu’une grande partie des obligations qui incombent aux responsables de traitement pèse également sur les sous-traitants qu’ils décideraient de faire intervenir : nous y reviendrons.
A – La collecte des données
63. Une collecte sobre et finalisée – Parmi les grands principes qui régissent les opérations sur données personnelles, l’une des règles centrales est celle-ci : « les données à caractère personnel doivent être […] collectées pour des finalités déterminées, explicites et légitimes […] » 1. Il n’y a là aucune évidence. À l’ère du big data, il est tentant pour un opérateur d’attraper toutes les données qui passent à sa portée, en renvoyant à plus tard la question de leur utilisation 2. Il faut au contraire qu’il détermine a priori les raisons pour lesquelles il souhaite procéder à la collecte, et qu’il se plie ensuite à une exigence de sobriété : les données doivent être « adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées (minimisation des données) » 3.
Un exemple concret permettra de mieux comprendre l’exigence cardinale de minimisation des données. S’il est possible au conducteur d’une « automobile connectée » d’obtenir, sur son tableau de bord, une estimation du temps qu’il fera là où il se trouve, la CNIL rappelle que l’application de météo n’a besoin ni d’une géolocalisation fine (à quelques mètres près), ni d’un accès permanent (toutes les secondes par exemple) à la position du véhicule dans l’espace 4. Il suffira d’une géolocalisation grossière (par exemple, à 1 kilomètre près) et d’un accès sporadique (toutes les 10 minutes), le tout étant traité en temps réel sans stockage durable de ces données.
De cette exigence de tempérance à la réalité des pratiques, il est à craindre qu’existe un gouffre. Il suffira de rappeler l’exemple déjà cité du réseau social ayant accédé 150 000 fois en trois mois à la géolocalisation d’un utilisateur : on ne voit pas quelle finalité (légitime) pourrait justifier un tel appétit 5 . Cela pose naturellement la question des moyens dont disposent les autorités chargées des contrôles, sur les plans technique, budgétaire et sur celui des sanctions 6.
Une innovation du nouveau règlement européen consiste, sur ces questions, à rendre obligatoire l’approche dite « privacy by design », c’est-à-dire que les produits et services doivent être conçus et structurés dès l’origine de manière à être sobres en données 7. Cela rejoint parfaitement les théories de M. Lessig selon lesquelles l’architecture technique peut renforcer ou affaiblir la loi, l’ingénieur prêter la main au Parlement ou le rendre impuissant 8. On peut se demander si les produits et services déjà existants seront dispensés d’une conformité à des règles qui, par nature, doivent intervenir au stade de la conception, ou si les autorités pourront exiger qu’ils soient en partie reconstruits. Les enjeux sont importants.
64. Le consentement de la personne concernée – La collecte, comme toute opération de traitement n’est licite que si au moins une condition est remplie, parmi une liste. La première possibilité qui y figure, afin de marquer sa préséance, est le recueil du consentement de l’individu 9. Elle peut être rapprochée de la seconde : « le traitement est nécessaire à l’exécution d’un contrat auquel la personne concernée est partie […] »), dans la mesure où cette convention aura fait l’objet elle-même d’un consentement portant, entre autres, sur le sort des données 10. Les deux fondements de licéité, toutefois, ne se confondent pas : si le responsable de traitement (par exemple un gestionnaire d’email) entend collecter des informations qui ne sont pas strictement nécessaires à l’exécution du contrat (par exemple, les centres d’intérêts du client, afin de procéder à de la publicité ciblée), il devra faire approuver cette opération distinctement et ne pourra pas faire cesser le service en cas de refus.
Les deux fondements posent tout de même une difficulté commune, qui est de donner de la substance, de l’épaisseur à ce consentement. Même les contrats papier ne sont guère lus, alors qu’ils sont physiquement présentés aux parties 11. La facilité avec laquelle les contrats passés en ligne peuvent être acceptés, en deux clics de souris, n’est probablement pas de nature à améliorer cette situation. Il ne faut certes pas renoncer à rendre les conditions d’utilisation plus claires et plus lisibles. Par exemple, la CNIL a raison de reprocher à l’un des grands acteurs du secteur d’avoir noyé dans la masse des informations capitales sur les rapprochements opérés entre ses différentes sources de données 12. Mais si la politique de confidentialité n’est pas lue, le progrès sera mince. Certes, le consentement doit être spécial, c’est-à-dire que « Si le consentement de la personne concernée est donné dans le cadre d’une déclaration écrite qui concerne également d’autres questions, la demande de consentement est présentée sous une forme qui la distingue clairement de ces autres questions […] » 13. En pratique, toutefois, cela risque de se limiter à une simple case supplémentaire à cocher.
Il faut donc considérer avec intérêt l’idée d’utiliser, en sus des politiques de confidentialité écrites, un ensemble de pictogrammes 14. Proposées par la fondation Mozilla, ces icônes porteraient sur la durée de conservation des données, l’utilisation par des tiers, la transmission à des régies publicitaires, la fourniture de données aux autorités même lorsque la loi applicable ne l’exige pas 15.
Le groupe des CNILS européennes, anciennement appelé G29, a adopté des lignes directrices exposant ce qu’il considère comme un consentement d’une qualité suffisante au regard du RGPD 16. La Quadrature du Net estime, entre autres reproches, que certains grands acteurs du numérique violent ces règles relatives au consentement 17. L’association a organisé le dépôt de plaintes collectives, qui sont en cours d’instruction par la CNIL.
Précisons encore que le consentement doit être donné par les parents lorsqu’il concerne des données relatives à des enfants d’un certain âge. Cet âge est fixé par le règlement à 16 ans maximum, mais les États pourront placer la barre — de ce qu’on pourrait appeler la « majorité informationnelle » — plus bas, jusqu’à un plancher de 13 ans, ce qui semble bien jeune 18.
65. Les autres fondements de licéité – Le règlement prévoit des alternatives au consentement de la personne concernée pour fonder la licéité du traitement. Parmi elles : un traitement rendu nécessaire — directement ou indirectement — par l’application de la loi ; la sauvegarde des intérêts vitaux d’une personne – on pense évidemment à des données de santé ; le traitement est nécessaire à l’exécution d’une mission d’intérêt public ou relevant de l’autorité publique du responsable de traitement ; le traitement est nécessaire « aux fins des intérêts légitimes poursuivis par le responsable du traitement ou par un tiers, à moins que ne prévalent les intérêts ou les libertés et droits fondamentaux de la personne concernée qui exigent une protection des données à caractère personnel, notamment lorsque la personne concernée est un enfant » 19. Ce dernier fondement est volontairement conçu comme le plus souple ; en nécessaire contrepartie, il est aussi le plus difficile à saisir. Interprété trop généreusement, il pourrait se transformer en une machine à faire sauter la nécessité du consentement en matière de traitement de données. La CNIL s’est cependant montrée très vigilante à cet égard. Ainsi, la société Google s’étant vue reprocher de ne pas toujours recueillir le consentement des internautes avant de procéder à des rapprochements de données, elle a fait valoir qu’« il relève de son intérêt légitime de pouvoir procéder à la combinaison des données de ses utilisateurs (qu’ils soient authentifiés ou non) afin de leur garantir la meilleure qualité de service possible […] » 20. La CNIL, appliquant des dispositions de la loi de 1978 comparables à l’article 6 du nouveau règlement européen, rappelle cependant qu’il faut procéder à une balance des intérêts (« … à moins que ne prévalent les intérêts […] de la personne concernée […] »). Or, en l’espèce, « la société a prévu de procéder à la combinaison potentiellement illimitée de toutes les données qu’elle collecte sur chacun de ses utilisateurs, quel que soit leur statut, et alors même qu’elle n’a pas déterminé les durées de conservation qui leur seraient applicables. Cette combinaison est donc de nature à méconnaître les intérêts des utilisateurs et à porter atteinte à leur droit au respect de la vie privée » 21. Dans une autre affaire, un commerçant en ligne conservait les données bancaires de ses clients au-delà de la transaction, sans les en informer. Il mettait en avant son intérêt légitime à faciliter les paiements ultérieurs et à augmenter, ce faisant, l’ergonomie du site et de l’expérience d’achat. La CNIL répondit que « […] si l’intérêt légitime de la société justifie parfaitement la conservation de données commerciales habituelles (nom, adresse, numéro de téléphone, etc.) en contrepartie d’une information adéquate des personnes, la fourniture d’un service de portefeuille électronique, en revanche, doit être entourée de garanties renforcées. En l’occurrence, compte tenu de la sensibilité toute particulière que revêtent leurs données bancaires pour les personnes concernées, de seules mesures d’information sur la conservation de ces données associées à une faculté d’effacement ex post ne sauraient constituer de telles garanties » 22. Ces motifs ont le double intérêt de constituer une seconde illustration de la « balance des intérêts » opérée par la CNIL pour neutraliser le caractère volatil de la notion « d’intérêt légitime » du responsable de traitement, et de rappeler que toutes les données n’ont pas la même « sensibilité ».
66. L’information de la personne — Quel que soit le fondement de licéité retenu, la personne dont les informations sont collectées doit recevoir un certain nombre d’informations. Il s’agit notamment de l’identité du responsable de traitement, des finalités du traitement, des destinataires des données, du fait que le responsable de traitement entend transférer ces données à l’extérieur de l’Union européenne, des coordonnées du délégué à la protection des données s’il y en a un 23. S’ajoutent encore, par exemple, la durée de conservation des données, ou l’existence de droits que l’individu peut prendre l’initiative d’exercer : droit d’accès, de rectification, d’effacement, d’opposition… – ils seront examinés plus loin 24.
67. Les « catégories particulières » de données – À plusieurs reprises, nous avons mobilisé l’image d’un noyau constitué par l’identité stable de la personne, autour duquel s’enroulent, par couches, des données de moins en moins intimes à mesure qu’on progresse vers la périphérie. Depuis la loi de 78 dans sa version originelle jusqu’au règlement européen de 2016, certaines données faisant partie du noyau, ou en contact direct avec lui, connaissent un régime juridique distinct 25. Le principe est l’interdiction de tout traitement de données « qui révèle l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l’appartenance syndicale, ainsi que le traitement des données génétiques, des données biométriques aux fins d’identifier une personne physique de manière unique, des données concernant la santé ou des données concernant la vie sexuelle ou l’orientation sexuelle d’une personne physique ». Cette interdiction est aussitôt assortie d’une série d’exceptions 26.
Ainsi la protection conférée à l’identité numérique n’est-elle pas uniforme : plus faible s’agissant des couches extérieures, elle se fait plus ferme lorsque s’agissant des couches de données les plus intimes. Le principe d’interdiction reçoit cependant de nombreuses exceptions, parmi lesquelles on retrouve par exemple le consentement — sauf lorsque le droit de l’Union ou les droits internes décident qu’il est inefficace en la matière — ou les données « manifestement rendues publiques par la personne concernée » – sans quoi c’en serait fini de certains réseaux sociaux, comme Facebook, qui reposent souvent sur la mise en scène, par l’individu, de sa propre intimité.
68. Des « formalités préalables » à « la responsabilisation » – Une fois qu’il a déterminé les caractéristiques fondamentales de sa collecte — ou, plus largement, de son traitement — de données personnelles, que doit faire le responsable ? En réaction à l’affaire SAFARI 27, dans laquelle l’administration avait œuvré à l’interconnexion de bases de données en toute opacité, la loi de 1978 avait mis en place un ensemble de « formalités préalables » à accomplir avant tout traitement automatisé. Le contexte explique que les personnes publiques — et les personnes privées gérant un service public — aient été particulièrement visées : leurs traitements devaient être autorisés par un acte réglementaire pris après un avis motivé favorable de la CNIL ou, à défaut, un avis conforme du Conseil d’État 28. Pour les personnes privées, une déclaration préalable comportant un grand nombre de mentions obligatoires était en principe suffisante 29. Cette formalité était encore allégée pour les traitements les plus courants et les moins dangereux 30. La déclaration devait comporter l’engagement de se conformer à la loi — ce qui constitue une curieuse et inutile imitation du paradigme contractuel — et donnait le droit de débuter les traitements sans attendre 31. En revanche, le fantôme de SAFARI rôdant, toute utilisation du NIR (numéro de sécurité sociale), même par un responsable de traitement privé, devait être autorisée par un décret en Conseil d’État après avis de la CNIL 32 . ans la rédaction actuelle de la loi de 78, à jour de la directive de 1995 33, le droit des formalités préalables a évolué, pour devenir nettement plus complexe. Relevons que les données sensibles donnent lieu non pas à simple déclaration, ma à autorisation de la CNIL, et que leur champ inclut, ma dépasse largement le NIR: on y trouve par exemple des données génétiques et de santé, des données relatives à des infractions pénales ou encore des traitements autorisés « comportant des appréciations sur les difficultés sociales des personnes » 34.
Le système prévu par le règlement de 2016 est tout différent. On aurait tort de croire que ce texte vise exclusivement la protection des citoyens européens. Un autre objectif est affiché, d’importance au moins égale : le développement d’un marché unique des données. La directive de 1995 ayant été transposée de manière trop diverse, le règlement est l’occasion pour l’Union de reprendre la main et d’imposer un cadre de travail homogène, qui réponde aux attentes des professionnels du secteur 35. Malgré les réticences des négociateurs français, le système des formalités préalables, jugé trop lourd par les professionnels, a donc été abandonné au profit d’une « approche fondée sur le risque » d’inspiration anglo-saxonne 36. Le principe retenu est celui de la « responsabilisation » (accountabilty, en version originale) : le professionnel procède à un diagnostic de sa propre situation, en doit en tirer de lui-même les conséquences adéquates.
« Compte tenu de la nature, de la portée, du contexte et des finalités du traitement ainsi que des risques, dont le degré de probabilité et de gravité varie, pour les droits et libertés des personnes physiques, le responsable du traitement met en œuvre des mesures techniques et organisationnelles appropriées pour s’assurer et être en mesure de démontrer que le traitement est effectué conformément au présent règlement. Ces mesures sont réexaminées et actualisées si nécessaire » 37.
Une telle solution serait difficilement défendable si elle n’était pas adossée à des sanctions très élevées, susceptibles d’être infligées à celui qui n’aurait pas joué le jeu de cet autocontrôle 38. De plus, lorsque le professionnel constate que son traitement est « susceptible d’engendrer un risque élevé pour les droits et libertés des personnes physiques », il doit se livrer à une étude d’impact complète 39. Ce n’est que lorsque le résultat de cette étude confirmera les inquiétudes initiales qu’il devra prendre attache avec sa CNIL, qui fournira un avis et pourra, au besoin, user de ses pouvoirs de contrainte 40.
Toutefois, s’agissant de certains traitements particulièrement risqués, la loi française permet à la CNIL de revenir si nécessaire à une logique de formalités préalables : il en va ainsi en cas d’utilisation du NIR ou de mise en œuvre de traitement de données biométriques 41.
Les règles relatives à la collecte de données ainsi décrites, voyons à présent dans quel cadre se déroule leur exploitation.
B – L’exploitation des données
69. La durée de vie des données – Fragments d’information semés derrière elles par les personnes physiques, les données à caractère personnel constituent une matière première à part, qui nécessite des précautions d’emploi particulières. Constatons d’abord qu’elles ne survivent pas à l’écoulement du temps.
Une première limite, contingente, tient à la durée pendant laquelle elles restent exactes. Lorsque le professionnel a connaissance que des données qu’il détient ne sont plus conformes à la réalité, elles doivent être « effacées ou rectifiées sans tarder », de sa propre initiative 42. Une seconde limite, absolue, oblige le professionnel à fixer une durée de conservation, dont la personne aura été informée, après l’écoulement de laquelle les données devront nécessairement disparaître 43. Limiter la vie des données dans le temps, c’est garantir nos avatars numériques tout à la fois contre l’écrasement — des signaux et des traces, certes fidèles, s’accumuleraient toute la vie en une oppressante montagne — et contre la défiguration – des informations non mises à jour forment une image trompeuse de l’individu 44.
70. La sécurité des données – S’il est interdit de conserver les données pour une durée excessive, il serait tout aussi fautif de les laisser se perdre, être corrompues ou dérobées. Cela impose de les protéger à la fois contre des incidents techniques, mais aussi contre les agressions délibérées orchestrées par des tiers. La modification volontaire des données par un agresseur est ainsi une hypothèse terrible. Qu’il s’agisse d’un groupe sanguin dans les fichiers d’une clinique, du solde d’un compte courant ouvert auprès d’un établissement de crédit, ou de la qualité d’allocataire d’une prestation sociale auprès d’une administration, on mesure à quel point elle serait inacceptable. Le risque de perte semble presque aussi redoutable. Il peut résulter d’un simple accident — des serveurs contenant des données non dupliquées sont détruits par un incendie — ou d’un chantage mafieux. Cette dernière hypothèse est celle des rançongiciels » (ransomware), qui se multiplient depuis peu 45. Il s’agit de programmes malveillants qui chiffrent les données rencontrées, et proposent ensuite de révéler la clé contre remise d’une rançon. En France, des particuliers, des entreprises, mais aussi des laboratoires d’analyse ou des hôpitaux en ont déjà été victimes 46. Mais l’hypothèse la plus médiatisée est probablement celle dans laquelle des données précieuses sont dérobées. Il peut s’agir, pour les pirates, de les exploiter directement ou de les revendre à des tiers : ainsi des données relatives à des moyens de paiement 47. Il peut encore s’agir de rendre les données publiques, ou de menacer de le faire. Un célèbre site de rencontres nommé Ashley Madison a fait l’objet d’intrusions suivies de chantage. Contre une forte somme d’argent, les pirates proposaient de ne pas révéler les données des 36 millions de comptes utilisateurs, comportant notamment leur orientation sexuelle et leurs infidélités conjugales. Le site n’ayant pas payé, les données ont été dévoilées 48. Cette affaire illustre parfaitement les liens entre protection des données à caractère personnel et protection de la vie privée. Avant l’ère numérique, pouvait-on imaginer que des individus malveillants se retrouvent en mesure, en quelques jours d’efforts, de porter des atteintes profondes et irréversibles à la vie privée, familiale, à l’honneur et à la réputation de plusieurs dizaines de millions de personnes ?
Vidéo CNN du 12 mai 2017.
Vidéo Euronews du 24 août 2015.
Il appartient aux responsables de traitement de prendre les mesures nécessaires pour éviter ces différentes formes de compromission des données qu’ils exploitent 49. Si par malheur elles se révélaient insuffisantes, le règlement européen impose, en cas de « violation de données à caractère personnel » suffisamment grave, d’en avertir l’autorité publique ainsi que la personne concernée 50. Il n’est en revanche pas prévu de rendre l’incident public. Nous verrons plus loin quelles sanctions les autorités de contrôle sont susceptibles de prononcer 51.
Quant aux comportements des pirates, ils tomberont sous le coup des incriminations figurant aux articles 323-1 et suivants du Code pénal, qui concernent les « atteintes aux systèmes de traitement automatisé de données » 52. Évoquer un « vol » de données est une facilité de langage, car cette infraction est mal adaptée aux choses immatérielles 53.
71. Les décisions automatisées – Les précautions ci-dessus décrites étant respectées, quels sont concrètement les usages jugés dangereux par le pouvoir normatif, et encadrés ? Dès sa version initiale, la loi « informatique et libertés » abordait la question des décisions prises par des algorithmes sur le fondement des données. Ces textes posaient qu’aucune décision de justice « ne peut avoir pour fondement » un traitement automatisé d’informations ; quant aux décisions administratives ou privées, elles ne peuvent être prises « sur le seul fondement » d’un même traitement 54. Ils proclamaient le droit pour toute personne « de connaître et de contester les informations et les raisonnements utilisés dans les traitements automatisés dont les résultats lui sont opposés » 55. Comme l’affirmait Jean Foyer devant l’Assemblée nationale, au moment de faire adopter la loi Informatique et libertés : « […] l’ordinateur n’a, dit-on, aucune “faculté d’étonnement” devant les erreurs de droit ou de fait, qui peuvent affecter les données. Il n’en a point davantage devant les déductions fausses imputables au programme » 56. Il ne faut donc pas le laisser prendre seul les décisions importantes, sur lesquelles un regard humain doit toujours se porter.
Aujourd’hui, le règlement européen formule la solution en ces termes :
Les États membres prévoient que toute décision fondée exclusivement sur un traitement automatisé, y compris le profilage, qui produit des effets juridiques défavorables pour la personne concernée ou l’affecte de manière significative, est interdite, à moins qu’elle ne soit autorisée par le droit de l’Union ou le droit d’un État membre auquel le responsable du traitement est soumis et qui fournit des garanties appropriées pour les droits et libertés de la personne concernée, et au minimum le droit d’obtenir une intervention humaine de la part du responsable du traitement 57.
S’agissant de l’interdiction des décisions de justice fondées sur des traitements automatisés de données, l’encadrement semble plus nécessaire que jamais à l’heure des legal tech, ces entreprises innovantes qui tentent d’employer les méthodes du big data et de l’analyse algorithmique dans le domaine du droit. Elles ont été présentées en introduction de cette étude 58. Ces techniques visant à simuler ce que serait la décision de justice dans une affaire donnée vont commencer par se répandre dans les cabinets d’avocats, pour évaluer les chances de succès d’une argumentation, simuler le montant qui pourrait être obtenu pour une indemnité, arbitrer entre contentieux et transaction amiable… La tentation existera, tôt ou tard, de faire passer les algorithmes de l’autre côté de la barre afin de « préparer » les décisions de justice, dans un contexte où certains magistrats croulent sous les dossiers. Cette tendance présente un grand danger.
Laissons de côté le cas particulier des décisions de justice, pour envisager plus largement la prise de décision publique sur le fondement d’un traitement algorithmique. La loi décide à présent que les destinataires de telles décisions doivent être informés de leur caractère automatisé par une mention explicite 59. Un texte réglementaire précise que :
L’administration communique à la personne faisant l’objet d’une décision individuelle prise sur le fondement d’un traitement algorithmique, à la demande de celle-ci, sous une forme intelligible et sous réserve de ne pas porter atteinte à des secrets protégés par la loi, les informations suivantes :
« 1° Le degré et le mode de contribution du traitement algorithmique à la prise de décision ;
« 2° Les données traitées et leurs sources ;
« 3° Les paramètres de traitement et, le cas échéant, leur pondération, appliqués à la situation de l’intéressé ;
« 4° Les opérations effectuées par le traitement ; » 60.
Ces droits à l’information conférés aux administrés s’ajoutent aux dispositions de droit commun relatives à l’interdiction des décisions entièrement automatisées, mais ne s’y substituent pas. La CNIL l’a rappelé au Gouvernement dans une mise en demeure très médiatisée relative à l’algorithme « admission post-bac », qui répartit les nouveaux bacheliers au sein des filières de l’enseignement supérieur. Les résultats de l’automatisme, lorsqu’ils étaient contestés, ne faisaient l’objet d’aucune véritable révision humaine, en violation flagrante de la loi informatique et libertés 61.
Dans le secteur privé, la crainte que des décisions sources d’effets juridiques ne soient prises de manière automatisée renvoie principalement aux techniques de scoring. Il s’agit d’attribuer une note à un dossier client, par exemple un candidat à l’emprunt bancaire, en convertissant chaque élément de son dossier en un certain nombre de points positifs ou négatifs.
Extrait de la série télévisée "The Good Place", 2016, dir. D. Goddard
Une délibération de la CNIL vise à encadrer cette pratique. Elle énumère limitativement les catégories de données susceptibles d’être recueillies, en précisant qu’elles sont « choisies et pondérées en fonction du lien de corrélation qu’elles présentent avec le risque attaché à l’opération » 62. Cela évitera certaines pratiques professionnelles observées aux USA, qui visent à utiliser le profil du client sur un réseau social comme Facebook pour en déduire son mode de vie et, de là, le risque qu’il présente 63. Surtout, la CNIL rappelle que la réglementation interdit que décision soit prise exclusivement sur la base du score : le risque est grand qu’un tel système aboutisse à une décision mécanique, selon que la note du dossier considéré est inférieure ou supérieure à une note de référence fixée par les services centraux de la banque. « En conséquence, le demandeur est systématiquement informé, en cas de rejet de son dossier de crédit par l’outil de score, qu’il peut en demander une nouvelle étude, approfondie, par un agent spécialement habilité à cette fin, à l’issue d’une phase contradictoire au cours de laquelle il aura été mis en mesure de présenter ses observations sur les principales difficultés identifiées dans son dossier […] » 64.
La pratique du scoring n’a pas vocation à se cantonner à la phase de conclusion du contrat : l’exemple des « assurances comportementales » le démontre. Lancé notamment en Allemagne par l’assureur Generali, ce contrat couvrant des risques d’invalidité ou de décès se nourrit de données de santé régulièrement transmises par l’assuré lui-même, notamment au travers d’objets connectés : une balance démontrant qu’il surveille sa ligne, un tensiomètre, une montre de fitness qui prouve qu’il court à intervalles réguliers… L’assureur n’a pas accès lui-même aux données, mais s’adosse à un « tiers indépendant » (en réalité, une filiale), qui les collecte et en tire un score : seul ce score parvient à l’assureur, qui en tire les conséquences en modulant la prime à la hausse ou à la baisse 65.
Vidéo Accenture insurance du 4 mai 2017.
72. La fourniture de données comme contrepartie contractuelle – Ce qui frappe, dans ce dernier exemple, n’est pas la prise automatisée de décision. Quand bien même les données issues des objets connectés seraient analysées uniquement par des opérateurs humains, et la note fixée par eux, l’inquiétude suscitée ne faiblirait pas. Ce qui inquiète, c’est la banalisation de la fourniture de données même extrêmement intimes — quoi de plus intime que les signaux vitaux du corps ? — dans les rapports avec un professionnel. Tolérer une surveillance constante contre une baisse de prime revient en quelque sorte à battre monnaie de sa vie privée. Le modèle économique, largement répandu sur Internet, « gratuité contre données » (cédées à des régies publicitaires) relève de la même idée, poussée à son paroxysme. Nous y reviendrons en étudiant la notion de contrat à l’ère numérique.
C – La circulation des données
73. Circulation interne – Même lorsque les données restent à l’intérieur de l’Union européenne, il faut s’assurer des conditions de transfert. Rien n’est plus facile que de dupliquer des fichiers numériques et de les semer à tout vent. Aussi le règlement encadre-t-il rigoureusement le recours à la sous-traitance. Il est notamment exigé du responsable de traitement qu’il choisisse exclusivement des partenaires « qui présentent des garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées » 66. Autrement dit, s’il était apparent que le sous-traitant n’avait pas la capacité ou la volonté de se conformer lui-même au règlement, le responsable de traitement peut être personnellement sanctionné. De surcroît, la chaîne de sous-traitance ne peut pas s’allonger, de nouveaux acteurs ne peuvent y prendre place sans que le responsable de traitement y ait consenti par écrit 67.
74. Le vaste champ d’application territorial du règlement – Lors de l’adoption de la première loi informatique et libertés, la question du déplacement des données hors des frontières ne se posait pas, et il était donc logique de ne trouver dans le texte aucune disposition relative à son rayonnement au-delà du territoire français. Aujourd’hui, la situation est bien différente. L’information parcourt le monde d’un bout à l’autre en quelques millisecondes. Il ne servirait à rien de prévoir une réglementation européenne très protectrice des individus, s’il suffisait de déplacer les informations pour y échapper 68.
Sous l’empire de la directive de 1995, le droit européen des données à caractère personnel s’applique non seulement aux responsables de traitement établis sur le territoire de l’Union, mais aussi lorsque « le responsable du traitement n’est pas établi sur le territoire de la Communauté et recourt, à des fins de traitement de données à caractère personnel, à des moyens, automatisés ou non, situés sur le territoire dudit État membre » 69. Or, la CNIL a par exemple considéré que le seul fait de placer des cookies dans les navigateurs d’internautes européens revenait à employer des moyens de traitement situés en Europe 70. Ainsi, le rayonnement du texte était déjà considérable. Le nouveau règlement va plus loin encore, et ajoute les critères suivants :
Le présent règlement s’applique au traitement des données à caractère personnel relatives à des personnes concernées qui se trouvent sur le territoire de l’Union par un responsable du traitement ou un sous-traitant qui n’est pas établi dans l’Union, lorsque les activités de traitement sont liées:
a) à l’offre de biens ou de services à ces personnes concernées dans l’Union, qu’un paiement soit exigé ou non desdites personnes; ou
b) au suivi du comportement de ces personnes, dans la mesure où il s’agit d’un comportement qui a lieu au sein de l’Union 71.
Dès lors que des produits ou services peuvent être considérés comme s’adressant à des citoyens de l’Union, le règlement s’appliquera 72. Dès lors que l’internaute fera l’objet d’un suivi, même non nominatif, le règlement s’appliquera 73. L’ensemble des situations saisies est extrêmement vaste 74.
75. La limitation des transferts de données hors UE – Le second pilier de la protection des données des citoyens européens, du point de vue territorial, consiste à encadrer strictement les flux sortants d’informations. Les données quittant le territoire de l’Union tombent sous la maîtrise juridique et technique d’autres nations : cela ne peut se tolérer sans garanties suffisantes. Le nouveau règlement se préoccupe de surcroît des « transferts ultérieurs » : le responsable de traitement devra veiller à appliquer les règles européennes même lorsque les données exportées reprennent leur circulation quelque temps plus tard À aucun moment on ne pourra considérer qu’elles ont fini par échapper à l’orbe du droit européen 75. Ce raisonnement peut se justifier au regard du lien entretenu par les données personnelles avec les individus dont elles émanent. Ce sont des fragments informationnels de citoyens européens que l’on transporte à travers le monde, aussi longtemps du moins que les données peuvent être qualifiées de personnelles. Ceci posé, plusieurs fondements peuvent être invoqués par un responsable de traitement qui souhaiterait exfiltrer des données hors des frontières de l’Union.
Premièrement, un tel transfert de données peut se fonder sur une « décision d’adéquation ». Une telle décision est prise par la Commission, lorsqu’elle a constaté « […] que le pays tiers, un territoire ou un plusieurs secteurs déterminés dans ce pays tiers, ou l’organisation internationale en question assure un niveau de protection adéquat » 76. Au premier abord, la solution semble la plus simple pour une entreprise. Elle n’a qu’à vérifier que le pays visé figure sur la liste blanche constituée des pays bénéficiant d’une décision d’adéquation. Si la réponse est positive, elle n’a aucune formalité supplémentaire à accomplir. Le problème est que la Commission est faillible, et que ses décisions peuvent être contestées devant la Cour de justice de l’Union européenne. C’est ce qu’a fait M. Schrems. Utilisateur de Facebook, il savait que des données le concernant étaient envoyées par la filiale irlandaise de cette société vers les États-Unis d’Amérique. Or, à la lumière des révélations d’Edward Snowden sur le programme PRISM, il a considéré que ce pays n’offrait pas un niveau de protection adéquat 77.
Extrait de la série télévisée House of cards, saison 4, dir. Robin Wright, 2016
Cela revenait à contester la décision d’adéquation rendue par la Commission européenne dans le cadre de la « sphère de sécurité » (Safe Harbor) 78. L’autorité irlandaise de protection des données refusa de déjuger la Commission, mais la Cour de justice de l’Union européenne adopta une position toute différente. Examinant le droit antiterroriste américain, elle releva notamment que « […] une réglementation permettant aux autorités publiques d’accéder de manière généralisée au contenu de communications électroniques doit être considérée comme portant atteinte au contenu essentiel du droit fondamental au respect de la vie privée » 79. Elle ajouta qu’ « […] une réglementation ne prévoyant aucune possibilité pour le justiciable d’exercer des voies de droit afin d’avoir accès à des données à caractère personnel le concernant, ou d’obtenir la rectification ou la suppression de telles données, ne respecte pas le contenu essentiel du droit fondamental à une protection juridictionnelle effective » 80. La décision d’adéquation fut invalidée, provoquant un vent de panique chez les nombreuses sociétés exportant des données européennes vers les USA. Le règlement de 2016 laisse apparaître les stigmates de l’affaire Schrems lorsqu’il commande à la Commission, s’agissant de ses futures décisions d’adéquation, d’examiner une liste de critères, parmi lesquels : « l’état de droit, le respect des droits de l’homme et des libertés fondamentales, la législation pertinente, tant générale que sectorielle, y compris en ce qui concerne la sécurité publique, la défense, la sécurité nationale […] » 81. Quant au Safe Harbor, il a été remplacé par un nouveau mécanisme dit Privacy Shield. À son propos, il convient de formuler deux remarques. La première, c’est que les professionnels des données resteront quoiqu’il arrive méfiants à son égard, car rien n’interdit à la CJUE de déjuger une nouvelle fois la Commission, dans un arrêt Schrems bis, les progrès accomplis pouvant ne pas être considérés comme suffisants 82. la seconde, c’est que le nouveau président américain Donald Trump a peut-être fait exploser le Privacy Shield en signant un executive order écartant les citoyens non américains du bénéfice de la loi Privacy Act 83. Les données à partir desquelles la Commission a prononcé l’adéquation du Privacy Shield sont ainsi complètement bouleversées. Les entreprises se tourneront donc avec intérêt vers les autres mécanismes permettant d’assurer un transfert de données vers un pays hors Union européenne.
Deuxièmement, donc, le responsable de traitement peut se passer de décision d’adéquation s’il justifie de « garanties appropriées » 84. Cela renvoie notamment à deux mécanismes : l’utilisation, dans les contrats emportant transferts de données hors Union, de clauses type adoptées par la Commission européenne 85 ; les « règles d’entreprise contraignantes » (binding corporate rules ou BCR) rédigées par l’entreprise elle-même, et soumises à l’autorité de contrôle 86. Il est à craindre que la rédaction de BCR soit trop complexe et trop coûteuse pour les entreprises de tailles petite et moyenne, et qu’elles se contentent de copier-coller les clauses types de la Commission européenne dans leurs contrats sans véritablement s’interroger sur le sens profond de ces stipulations, et sur l’inflexion des pratiques qu’elles supposent.
D – Autorités de contrôle et sanctions
76. La CNIL aujourd’hui – Lorsque la Commission nationale de l’informatique et des libertés française est instituée par la loi de 1978, l’expression « autorité administrative indépendante » semble être employée pour la première fois 87. Si le mot ne lui préexistait pas, la chose en revanche était déjà connue, sous la forme de la Commission des opérations de bourse ou de la Commission de la concurrence 88. La CNIL est indépendante du pouvoir politique, dispose d’un pouvoir réglementaire et d’un budget propre de 16 millions d’euros 89. Ses missions sont nombreuses et étendues 90. Le cœur était constitué par les « formalités préalables », dont il a déjà été indiqué qu’elles diminueront fortement lors de l’entrée en vigueur du règlement de 2016, et qui consistaient à recevoir des déclarations et à délivrer des autorisations préalables aux traitements de données 91. Elle peut procéder à des contrôles et prononcer des sanctions. Mais son rôle pédagogique ne doit pas être sous-estimé : la CNIL informe les professionnels et le grand public, réalise des études de terrain et de prospective, décerne des labels à des produits ou techniques respectueux du droit des données à caractère personnel.
77. La CNIL demain – Le règlement européen de 2016 crée un statut uniforme qui s’appliquera à toutes les autorités de protection des données de l’Union européenne. 92 Cela leur permettra notamment de coopérer lorsqu’un dossier concernera plusieurs États membres — ce sera fréquent — en désignant une autorité chef de file, qui coordonnera leur action et servira d’interlocuteur unique à l’extérieur.
À l’occasion de cette uniformisation, le rôle de la CNIL française évolue, et ses pouvoirs augmentent. Son rôle évolue puisqu’avec l’introduction de la nouvelle logique de « responsabilisation » des acteurs, les responsables de traitement ne prendront l’initiative d’un contact avec elle que si l’auto-diagnostic qu’ils ont réalisé révèle des dangers particuliers 93. Par conséquent, une grande partie du terrain va devenir silencieuse. Sans les déclarations et autorisations préalables, les traitements de données ne viendront plus à la CNIL : la CNIL devra venir à eux. Son emprise sur les acteurs ne risque-t-elle pas de faiblir ? Pour l’éviter, le législateur européen accompagne la logique de « responsabilisation » d’une augmentation spectaculaire des sanctions, qui pourront aller jusqu’à 20 millions d’euros ou 4% du chiffre d’affaires annuel mondial total de l’exercice précédent 94.
Les sanctions astronomiques, gage d'efficacité du droit ? Dans cette vidéo, c'est du Children Online Privacy Protection Act américain qu'il est question. Extrait de la série télévisée Silicon Valley, saison 4, épisode 2, 2017, dir. Mike Judge.
Les grands acteurs, qui ont la certitude que leurs activités seront contrôlées, prendront certainement une telle menace très au sérieux. En ira-t-il de même des acteurs de taille plus modeste ? Le risque existe qu’ils parient sur une insuffisance des moyens de la CNIL. Le budget de 16 millions d’euros, et surtout les 192 agents de la Commission ne semblent pas suffisants pour assurer sa puissance, alors que cette institution constitue le principal rempart contre les risques très graves qui pèsent sur la vie privée et l’identité numérique des citoyens.
78. Actions de groupe – Aussi pouvait-on apprécier la modification apportée à la loi informatique et libertés par la loi de novembre 2016 dite « justice du1ème siècle ». Elle permettait en effet aux individus de se regrouper pour assurer une défense plus efficace de leurs droits en matière de données personnelles devant les juridictions.
Lorsque plusieurs personnes physiques placées dans une situation similaire subissent un dommage ayant pour cause commune un manquement de même nature aux dispositions de la présente loi par un responsable de traitement de données à caractère personnel ou un sous-traitant, une action de groupe peut être exercée devant la juridiction civile ou la juridiction administrative compétente 95.
Toutefois ce texte était décevant, notamment en ce qu’il restreignait l’objet de l’action à la cessation du manquement, à l’exclusion de toute demande en dommages-intérêts. Pourquoi prévoir une telle possibilité d’action, et lui retirer aussitôt tout intérêt, toute efficacité et tout caractère dissuasif 96 ? Mais la loi de mai 2018 a fait évoluer la question, qui étend l’action de groupe aux actions en responsabilité destinées à obtenir la réparation des préjudices matériels et moraux 97.
Ces actions de groupe peuvent porter aussi bien sur la violation, par le responsable de traitement, du statut impératif qui vient d’être décrit, que sur les droits octroyés aux individus afin qu’ils modèlent, s’ils le souhaitent, leur identité numérique. Ce sont ces derniers droits qu’il nous faut aborder à présent (II).