57. Une accélération de la production normative – La constitution et le maniement de fichiers contenant des informations exsudées, en ligne et hors-ligne, par les personnes physiques, ont d’abord été encadrés par la loi précitée de 1978 dite « informatique et libertés » ¹Loi n° 78-17, précitée..

Des textes nombreux ont ensuite été adoptés au niveau de l’Union européenne. Une directive a été adoptée en 1995, portant de manière générale sur la protection des données ²Directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données. ; elle a rendu nécessaire la modification de la loi « informatique et libertés » par une loi de 2004 ³Loi n° 2004-801 du 6 août 2004 relative à la protection des personnes physiques à l’égard des traitements de données à caractère personnel et modifiant la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés. . n 2000, la Charte des droits fondamentaux de l’Union européenne a consacré, en son article 8, un « droit à la protection des données à caractère personnel » ⁴« 1) Toute personne a droit à la protection des données à caractère personnel la concernant. 2) Ces données doivent être traitées loyalement, à des fins déterminées et sur la base du consentement de la personne concernée ou en vertu d’un autre fondement légitime prévu par la loi. Toute personne a le droit d’accéder aux données collectées la concernant et d’en obtenir la rectification. 3) Le respect de ces règles est soumis au contrôle d’une autorité indépendante ».. Fut ensuite adoptée une série de directives sectorielles, portant sur les données personnelles employées dans le secteur des communications électroniques ⁵Directive 97/66/CE du Parlement européen et du Conseil du 15 décembre 1997 concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des télécommunications ; directive 2002/58/CE du Parlement européen et du Conseil du 12 juillet 2002 concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques (directive vie privée et communications électroniques) ; directive 2006/24/CE du Parlement européen et du Conseil du 15 mars 2006 sur la conservation de données générées ou traitées dans le cadre de la fourniture de services de communications électroniques accessibles au public ou de réseaux publics de communications, et modifiant la directive 2002/58/CE., ou sur les données relatives aux infractions pénales ⁶Directive (UE) 2016/680 du Parlement européen et du Conseil du 27 avril 2016 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales, et à la libre circulation de ces données, et abrogeant la décision-cadre 2008/977/JAI du Conseil.. En 2016, un règlement européen sur la protection des données (dit « RGPD ») a été adopté ⁷Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données) (Texte présentant de l’intérêt pour l’EEE).. Il est entré en vigueur le 25 mai 2018, remplaçant la directive de 1995 et, dans une large mesure, la loi informatique et libertés. Une loi française du 14 mai 2018 a exploité les nombreux espaces dans lesquels le RGPD laissait les Etats libres d’adopter une solution propre, tout en transposant en droit interne la directive relative aux infractions pénales ⁸Loi du 14 mai 2018, qui a fait l’objet d’une saisine du Conseil constitutionnel a priori. Le Conseil ne s’est pas encore prononcé à l’heure où nous écrivons..

Enfin, au cours de l’année 2019, un autre règlement européen devrait remplacer les directives relatives au secteur des communications ⁹Proposition de règlement du Parlement européen et du Conseil concernant le respect de la vie privée et la protection des données à caractère personnel dans les communications électroniques et abrogeant la directive 2002/58/CE (règlement «vie privée et communications électroniques»), 2017/0003 (COD)..

Dans l’intervalle, en droit interne, d’autres lois générales et sectorielles ont comporté des dispositions intéressant les informations personnelles ¹⁰Notamment la loi du 26 janvier 2016 n° 2016-41 de modernisation de notre système de santé et la loi n° 2016-1321 du 7 octobre 2016 pour une République numérique..

Les textes précités, notamment la loi « informatique et libertés » et le règlement de 2016, s’appliquent en présence d’informations d’une certaine nature, et uniquement lorsque certains traitements sont appliqués à ces informations. Voyons comment sont définis ces concepts-clés.

58. Quelles informations ? – En 1978, la loi visait les « informations nominatives », étant aussitôt précisé : « sont réputées nominatives au sens de la présente loi les informations qui permettent, sous quelque forme que ce soit, directement ou non, l’identification des personnes physiques auxquelles elles s’appliquent […] » ¹¹Article 4 de la loi n° 78-17 dans sa version d’origine. Souligné par nous.. Il s’agit donc bien de protéger l’identité (stable) des personnes physiques, en prenant dans les filets de cette législation toute information susceptible d’y être rattachée, y compris de la manière la plus indirecte. Aucun passage par le nom n’est véritablement nécessaire : un fichier recensant une profession rattachée à un numéro RIN pointe vers un et un seul individu ; que l’on puisse ensuite redescendre de son identité stable à son nom est à la fois évident et secondaire. Aussi faut-il se féliciter de ce que la directive de 1995 ait repoussé l’expression « informations nominatives » au profit de « données à caractère personnel ». ¹²Directive 95/46/CE précitée, qui emploie cette expression dans son intitulé même ; art. 2 de la loi du 6 janv. 1978 tel que modifiée par la loi n° 2004-801.. La définition retenue est cette fois-ci : « […] toute information concernant une personne physique identifiée ou identifiable […] directement ou indirectement  » ¹³Art. 1er : « Aux fins de la présente directive, on entend par : a) “données à caractère personnel”: toute information concernant une personne physique identifiée ou identifiable ( personne concernée ); est réputée identifiable une personne qui peut être identifiée, directement ou indirectement, notamment par référence à un numéro d’identification ou à un ou plusieurs éléments spécifiques, propres à son identité physique, physiologique, psychique, économique, culturelle ou sociale; […] ». Pour une étude approfondie cherchant à distinguer « informations nominatives » et « données à caractère personnel » : J. Eynard, Les données personnelles. Quelle définition pour un régime de protection efficace ?, éd. Michalon, 2013.. On la retrouve dans le règlement de 2016 ¹⁴Article 4 du règlement 2016/679 précité. On se contente d’ajouter des exemples de moyens d’identification : données de localisation, identifiant en ligne.. La forme prise par l’information importe peu : textes, sons, images, données biométriques peuvent être concernés. Elle doit se rapporter à une personne physique vivante – les morts et les personnes morales ne sont pas concernés ¹⁵F. Lesaulnier, « La définition des données à caractère personnel dans le règlement général relatif à la protection des données personnelles », Dalloz IP/IT, 2016, p. 573. L’éviction des défunts du champ d’application résulte du considérant 27 du règlement ; celle des personnes morales, du considérant 14..

Puisqu’il suffit que l’information permette « indirectement » l’identification d’une personne, le champ des données concernées est très vaste. L’adresse IP en constitue un bon exemple. Il a déjà été exposé que cette adresse désigne non pas un individu, mais un point d’accès au réseau ou au mieux, une machine connectée au réseau ¹⁶V.supra, n°51.. Pour cette raison, la Chambre criminelle de la Cour de cassation avait jugé que l’adresse IP, collectée par un agent assermenté traquant des violations du droit d’auteur sur les réseaux de pair-à-pair, n’était pas une donnée personnelle ¹⁷Cass. crim., 13 janv. 2009, n° 08-84.088. Plus précisément, la Cour juge que la collecte des adresses IP ne constitue pas « un traitement de données à caractère personnel […] ». Cela revient implicitement, mais nécessairement à affirmer que l’IP n’est pas une donnée à caractère personnel.. Récemment, la Première chambre civile a jugé tout au contraire, de manière parfaitement convaincante, que « les adresses IP, qui permettent d’identifier indirectement une personne physique, sont des données à caractère personnel » ¹⁸Cass. 1ère civ., 3 nov. 2016, n° 15-22.595. Souligné par nous. La CNIL avait déjà décidé en ce sens, par exemple dans sa délibération n° 2013-420 de la formation restreinte prononçant une sanction pécuniaire à l’entre de la société Google Inc.. La CJUE va dans le même sens, expliquant que des voies de droit existent en Allemagne — pays concerné par cet arrêt — pour obtenir du fournisseur d’accès à Internet le nom de l’abonné correspondant à une adresse IP ¹⁹CJUE, 19 oct. 2016, C-582/14. La décision portait de surcroît sur des adresses IP dynamiques, c’est-à-dire renouvelées à chaque nouvelle connexion de l’abonné au réseau, qui sont moins facilement identifiantes que des adresses statiques..Et il est vrai que connaître le nom de l’abonné permet de connaître le nom de l’internaute lorsqu’une seule personne utilise le point de connexion au réseau ou la machine – ce qui emporte déjà la décision. Même lorsque plusieurs personnes utilisent la même adresse IP, la combiner avec d’autres informations — par exemple les autres sites visités par la même IP durant une certaine tranche horaire — permettent très souvent de déduire qui du père, de la mère ou des enfants, par exemple, se trouvait au clavier.

Il est donc fondamental de considérer non seulement ce que dit déjà un jeu de données personnelles donné lorsqu’on le contemple, mais aussi et surtout ce qu’il pourrait dire s’il était croisé ou combiné avec d’autres informations. C’est aussi pour cette raison que le règlement s’applique également aux données qui n’ont pas été totalement « anonymisées », ma seulement « pseudonymisées » : même si les noms ont été transformés en codes a priori incompréhensibles, dès lors qu’il existe une possibilité de remonter jusqu’à l’identité d’une personne par des moyens indirects, des déductions, des recoupements, le régime applicable est celui des données personnelles ²⁰Considérant 26 du règlement précité : « Les données à caractère personnel qui ont fait l’objet d’une pseudonymisation et qui pourraient être attribuées à une personne physique par le recours à des informations supplémentaires devraient être considérées comme des informations concernant une personne physique identifiable ». Sur cette question, V. F. Lesaulnier, art. préc. ; R. Perray et J. Uzan-Naulin, « Existe-t-il encore des données non personnelles ? », Dalloz IP/IT, 2017, p. 286.. Dans ces conditions, la question se pose de savoir si les données véritablement anonymes existent : un chercheur a montré qu’en croisant trois informations banales et d’apparence inoffensive — le sexe, le code postal et la date de naissance — on parvient à identifier de manière unique 63% de la population américaine ²¹P. Golle, « Revisiting the uniquesness of simple demograhics in the US population » : https://crypto.stanford.edu/~pgolle/papers/census.pdf. Ce chercheur revoit à la baisse le chiffre de 87% qui avait été avancé par Mme Latanya Sweeney dans un projet d’article qui, quoique non publié, avait été repris par plusieurs grands médias, par exemple S. Schoen, « What information is « personally identifiable » », article du 11/09/11 : https://www.eff.org/deeplinks/2009/09/what-information-personally-identifiable. Le chiffre reste considérable. !

59. Quelles opérations ? – Les textes sont applicables à certains usages des données ainsi caractérisées. Le règlement les appelle « traitement(s) de données à caractère personnel » et les définit comme « toute opération ou tout ensemble d’opérations effectuées ou non à l’aide de procédés automatisés et appliquées à des données ou des ensembles de données à caractère personnel, telles que la collecte, l’enregistrement, l’organisation, la structuration, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, la limitation, l’effacement ou la destruction » ²²Article 2 b) du règlement 2016/679 précité.. La liste est d’une étendue telle qu’on imagine mal une opération intellectuelle, physique, scientifique ou commerciale sur des données qui ne s’y trouverait pas. Il faut relever que même les manipulations non automatisées de données sont concernées, de sorte que des fichiers papier, par exemple, sont concernés par le texte – ils sont certes devenus rares ²³La loi informatique et libertés de 78 ne visait que les traitements automatisés, ce qui a fait l’objet d’un débat devant l’Assemblée nationale. Le garde des sceaux Alain Peyrefitte expliquait ainsi sa position : « qui trop embrasse, mal étreint. Les fichiers manuels sont extrêmement nombreux : de par le côté artisanal de leur utilisation, ils présentent en réalité peu de dangers pour les libertés, car le recoupement des informations — et c’est. cela qui est dangereux et crée un risque — est presque impossible en raison de la lenteur des manutentions :. les interconnexions entre fichiers manuels sont tellement malcommodes qu’elle ne sont pas à craindre. Un argument encore plus décisif va dans le même sens : si la commission devait s’occuper à la fois des fichiers informa- tiques — et elle attrait déjà beaucoup à faire avec ceux-ci — et des fichiers manuels, il est clair qu’elle n’aurait le temps de s’occuper ni des uns ni des autres. Mieux vaut donc s’occuper de ce qui en vaut la peine » (compte-rendu de la séance du 4 octobre 1977, JO, p. 5789)..

60. Quelle articulation avec le droit à la vie privée ? – Peut-on considérer les « règles relatives à la protection des personnes physiques à l’égard du traitement des données à caractère personnel » ²⁴Art. 1, 1 du règlement 2016/679 précité. comme un nouveau visage du droit à la vie privée, à l’ère numérique ? Les notions ne se confondent pas, mais il est vrai qu’elles entretiennent des liens indéniables et puissants.

M. Gutmann qualifie la vie privée de « zone soustraite au regard » et rappelle qu’historiquement, cette zone devait s’entendre littéralement, comme un espace physique. « La dimension matérielle de l’espace privé ne doit rien au hasard : alors que le Code civil clôturait soigneusement les espaces privés, l’histoire récente de la vie privée fait bien apparaître le lien intime entre le développement de cette notion et l’augmentation de la taille des logements urbains qui a permis aux individus, au sein de leur famille, d’acquérir un espace propre » ²⁵D. Gutmann, op. cit., p. 216.. Mais l’auteur avertit que cette notion a évolué, pour désigner par la suite un espace avant tout immatériel. Ainsi, appliquant l’article 368 du Code pénal, qui sanctionnait les enregistrements et photographies réalisés dans un lieu privé, « certains juges avaient introduit dans l’appréciation de ce lieu un élément subjectif, permettant de protéger ceux qui, quoique placés dans un espace public, avaient entendu soustraire aux regards importuns des éléments de leur vie privée » ²⁶Ibid., p. 217. L’auteur se réfère à l’affaire Romy Schneider. L’actrice se trouvait sur un navire, au large, sans autre navire visible au loin. Elle se trouvait donc dans un espace théoriquement public, mais qui semblait présenter toutes les garanties d’intimité, de sorte que la vie privée devait y être protégée aussi bien qu’au sein d’un domicile (CA Paris, 5 févr. 1979, JCP 1980, II, 19343, note R. Lindon)..

De manière similaire, M. Lessig explique comment le droit américain a évolué dans son interprétation du 4ème amendement à la Constitution des États-Unis, qui protège les citoyens contre les intrusions injustifiées des pouvoirs publics ²⁷« The right of the people to be secure in their persons, houses, papers, and effects, against unreasonable searches and seizures, shall not be violated, and no Warrants shall issue, but upon probable cause, supported by Oath or affirmation, and particularly describing the place to be searched, and the persons or things to be seized ».. Ce texte a d’abord été interprété en 1928 comme ne s’appliquant pas à un dispositif de mise sur écoute placée sur une ligne téléphonique, si le tronçon de ligne manipulé par les autorités se trouvait dans un endroit public, et qu’il n’a donc pas été nécessaire de pénétrer sur la propriété privée de la personne surveillée ²⁸« The tapping connections were made in the basement of a large office building and on public streets, and no trespass was committed upon any property of the defendants. Held, that the obtaining of the evidence and its use at the trial did not violate the Fourth Amendment ». Olmstead v. United States, 277 U.S. 438 (1928), commenté par L. Lessig., Code V.2, op. cit., p. 157 s.. Ce n’est qu’en 1967 qu’une conception plus immatérielle de la vie privée a conduit à renverser cette solution ²⁹Katz v. United States, 389 U.S. 347 (1967)..

Comment définir cette vie privée moderne et immatérielle ? M. Gutmann propose d’y voir « un ensemble d’informations personnelles », mais met aussitôt en garde contre une assimilation avec les données à caractère personnel au sens de la directive de 1995 ³⁰D. Gutmann, op. cit., p. 228, note 27.. En effet, on trouve parmi les données à caractère personnel aussi bien des informations privées que publiques ³¹J. Eynard, op. cit., spéc. p. 63 s.. Un titre professionnel, des informations sur la filiation de l’individu consultables à l’état civil sont des données personnelles, mais non des informations relatives à la vie privée.

Les notions sont donc distinctes, mais pas étrangères l’une à l’autre. La directive de 1995 affirmait : « l’objet des législations nationales relatives au traitement des données à caractère personnel est d’ assurer le respect des droits et libertés fondamentaux, notamment du droit à la vie privée reconnu également dans l’article 8 de la convention européenne de sauvegarde des droits de l’homme et des libertés fondamentales et dans les principes généraux du droit communautaire » ³²Considérant n° 10 de la directive 95/46/CE précitée.. En droit interne, dès 1978, la loi informatique et libertés s’ouvrait sur cette proclamation : « L’informatique doit être au service de chaque citoyen. Elle ne doit porter atteinte ni à l’identité humaine, ni aux droits de l’homme, ni à la vie privée, ni aux libertés individuelles ou publiques » ³³Art. 1er, al. 1 de la loi n° 78-17 précitée. Cet alinéa est toujours libellé ainsi en droit positif..

L’encadrement des données personnelles aurait donc vocation à renforcer, à soutenir le droit à la vie privée. Cette présentation est cohérente. Les données personnelles comprennent toutes les informations relatives à la vie privée, et d’autres encore. La relation entre ces deux ensembles est donc celle du genre à l’espèce. Mais à quoi sert-il de protéger l’autre espèce, les données publiques ? Pourquoi réglementer la constitution et la manipulation de fichiers contenant des informations qui devraient être librement accessibles à chacun ? Le critère déclenchant l’application du droit des données personnelles doit être le plus clair et le plus durable possible, quitte à être très large. La notion de vie privée varie de manière significative dans le temps et dans l’espace. Lorsqu’une personne prétend qu’il a été porté atteinte à sa vie privée, un débat judiciaire s’instaure et ce n’est finalement qu’au dénouement du procès que l’on sait si la vie privée était bien en cause ³⁴« À l’évidence, la substance de la vie privée est dépendante des pratiques et des discours, des “moeurs” en vigueur à un moment donné dans la société, dont les juges se font la voix instantanée — donc incomplète ou infidèle — et toujours provisoire » (D. Gutmann, op. cit., n° 261).. Le droit des données personnelles, qui prétend s’appliquer à toute personne qui manipule du bout du doigt une information relative à un individu identifiable, ne pourrait s’accommoder de telles incertitudes. Le critère de l’information susceptible d’être rattachée à une personne est d’un maniement plus aisé ³⁵Nous avons vu cependant que ses frontières ne sont pas parfaitement stables : au fur et à mesure que les techniques mathématiques d’analyse des informations se perfectionnent, le champ des données qui doivent être qualifiées comme personnelles augmente : V.supra, n°58..

En somme, le droit à la vie privée est un pouvoir d’exclure autrui d’une sphère restreinte d’intimité, généralement invoqué lorsque la menace est déjà tangible. Le droit à la protection des données à caractère personnel concerne très largement toute information susceptible d’être rattachée, même indirectement, à un individu donné ; il a une visée essentiellement préventive plutôt que curative, en posant a priori dans quel cadre et à quelles conditions les informations peuvent être exploitées. Ainsi, pour caractériser la relation qui unit les concepts, il est tentant de paraphraser la célèbre formule de Ihéring sur la possession, et de présenter le droit des données personnelles comme le bastion avancé de la vie privée à l’ère numérique ³⁶Il a déjà été précisé que le droit des données personnelles s’applique aux fichiers non numériques. Mais ceux-ci sont en voie de disparition, et ne constituent pas la menace la plus tangible..

61. À qui incombe la protection ? – Il n’est pas question, dans les développements qui vont suivre, de décrire en détail un droit foisonnant et technique, auquel des traités sont exclusivement consacrés ³⁷Notamment A. Debet, J. Massot et N. Metallinos (ss. la dir.), Informatique et libertés. La protection des données à caractère personnel en droit français et européen, Lextenso, 2015.. Il s’agira d’une présentation des lignes de force, qui permettra de mieux comprendre comment se forme l’identité numérique des personnes aujourd’hui, et comment elle est protégée par le droit. Précisons par ailleurs qu’il ne sera pas traité de l’arsenal législatif antiterroriste, qui réduit la vie privée des citoyens pris dans son champ d’application à la portion congrue : ses logiques spécifiques appelleront une présentation séparée, dans une version ultérieure de cette étude ³⁸À titre de simple exemple, le projet de loi renforçant la sécurité intérieure et la lutte contre le terrorisme, adopté par l’Assemblée nationale le 3 octobre 2017, prévoit en son article 3 que le ministre de l’intérieur peut forcer toute personne soupçonnée d’entretenir des liens avec le terrorisme à « […] déclarer les numéros d’abonnement et identifiants techniques de tout moyen de communication électronique dont elle dispose ou qu’elle utilise […] », sous peine de se voir infliger une peine de trois ans d’emprisonnement et 45 000 euros d’amende..

Deux points de vue pourraient être défendus. L’un consisterait à dire que les individus sont incapables — par manque de compétence, de temps, et peut-être d’intérêt — de défendre eux-mêmes leur identité numérique. Une telle analyse doit conduire à un droit des données à caractère personnel protecteur, dirigiste, impératif. Le second point de vue voudrait qu’on laisse aux personnes concernées le soin de fixer elles-mêmes ce qui constitue un usage acceptable des informations qu’elles cèdent ou sèment derrière elles. La réglementation serait alors libérale, souple, personnalisée.

Le droit positif ne choisit pas entre ces deux approches, mais les combine. D’abord, nombre de règles s’imposent à ceux qui décident de manipuler les données : les « responsables de traitement » ³⁹L’art. 4 du règlement UE 2016/679 précité définit comme « “responsable du traitement”, la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du traitement », étant précisé que « lorsque les finalités et les moyens de ce traitement sont déterminés par le droit de l’Union ou le droit d’un État membre, le responsable du traitement peut être désigné ou les critères spécifiques applicables à sa désignation peuvent être prévus par le droit de l’Union ou par le droit d’un État membre »., ainsi qu’à leurs sous-traitants et partenaires. Ensuite, des moyens juridiques et techniques s’offrent aux individus eux-mêmes afin de contrôler, préserver, modeler leur identité numérique. Ils supposent de leur part une prise de conscience de cette identité, puis une allocation de temps et d’énergie pour comprendre et mettre en œuvre les outils permettant de la façonner.

Il est alors utile de présenter séparément ces deux corps de règles. Dans la situation — courante — où les individus dont les données sont exploitées se désintéressent de la question, le statut impératif des responsables de traitement donne à voir les seules garanties qui seront mises en œuvre, la protection plancher (I). Mais dans les cas où les individus se préoccupent de la consistance et des usages de leurs données, il est bon de consacrer une étude distincte à l’ensemble d’outils qui s’offrent à eux afin de gérer le plus finement possible leur identité numérique (II).