62. Plan – Les textes de droit interne et de droit européen forment un entrelacs complexe dont nous ne retiendrons que l’essentiel. Il faudra présenter la collecte (A), l’exploitation (B) et la circulation (C) des données à caractère personnel, ainsi que les sanctions susceptibles d’être prononcées si ces règles ne sont pas respectées (D). Précisons d’emblée qu’une grande partie des obligations qui incombent aux responsables de traitement pèse également sur les sous-traitants qu’ils décideraient de faire intervenir : nous y reviendrons.

A – La collecte des données

63. Une collecte sobre et finalisée – Parmi les grands principes qui régissent les opérations sur données personnelles, l’une des règles centrales est celle-ci : « les données à caractère personnel doivent être […] collectées pour des finalités déterminées, explicites et légitimes […] » ¹Art. 5, b) du règlement UE 2016/679 précité.. Il n’y a là aucune évidence. À l’ère du big data, il est tentant pour un opérateur d’attraper toutes les données qui passent à sa portée, en renvoyant à plus tard la question de leur utilisation ²Intervention de M. P. Michel au colloque « le droit des données personnelles », Amiens, 7 novembre 2016.. Il faut au contraire qu’il détermine a priori les raisons pour lesquelles il souhaite procéder à la collecte, et qu’il se plie ensuite à une exigence de sobriété : les données doivent être « adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées (minimisation des données) » ³Art. 5, c) du règlement UE 2016/679 précité..

Un exemple concret permettra de mieux comprendre l’exigence cardinale de minimisation des données. S’il est possible au conducteur d’une « automobile connectée » d’obtenir, sur son tableau de bord, une estimation du temps qu’il fera là où il se trouve, la CNIL rappelle que l’application de météo n’a besoin ni d’une géolocalisation fine (à quelques mètres près), ni d’un accès permanent (toutes les secondes par exemple) à la position du véhicule dans l’espace ⁴CNIL, Pack de conformité véhicules connectés, octobre 2017, p. 26.. Il suffira d’une géolocalisation grossière (par exemple, à 1 kilomètre près) et d’un accès sporadique (toutes les 10 minutes), le tout étant traité en temps réel sans stockage durable de ces données.

De cette exigence de tempérance à la réalité des pratiques, il est à craindre qu’existe un gouffre. Il suffira de rappeler l’exemple déjà cité du réseau social ayant accédé 150 000 fois en trois mois à la géolocalisation d’un utilisateur : on ne voit pas quelle finalité (légitime) pourrait justifier un tel appétit ⁵V.supra, n°52. . Cela pose naturellement la question des moyens dont disposent les autorités chargées des contrôles, sur les plans technique, budgétaire et sur celui des sanctions ⁶V.infra, n°76..

Une innovation du nouveau règlement européen consiste, sur ces questions, à rendre obligatoire l’approche dite « privacy by design », c’est-à-dire que les produits et services doivent être conçus et structurés dès l’origine de manière à être sobres en données ⁷Art. 25 du règlement UE 2016/679 précité, intitulé « protection des données dès la conception et protection des données par défaut ». Sur cette question, V. not. C. Zolynski, « La Privacy by design appliquée aux objets connectés : vers une régulation efficiente du risque informationnel ? », Dalloz IP/IT, 2016, p. 404 ; M. Dary et L. Benaissa, « Privacy by design : un principe de protection séduisant, mais complexe à mettre en œuvre », Dalloz IP/IT, 2016, p. 476.. Cela rejoint parfaitement les théories de M. Lessig selon lesquelles l’architecture technique peut renforcer ou affaiblir la loi, l’ingénieur prêter la main au Parlement ou le rendre impuissant ⁸C’est la démonstration d’ensemble de L. Lessig, Code V2, op. cit., résumée dans le fameux mantra « Code is law » (sur lequel V.supra, n° 20).. On peut se demander si les produits et services déjà existants seront dispensés d’une conformité à des règles qui, par nature, doivent intervenir au stade de la conception, ou si les autorités pourront exiger qu’ils soient en partie reconstruits. Les enjeux sont importants.

64. Le consentement de la personne concernée – La collecte, comme toute opération de traitement n’est licite que si au moins une condition est remplie, parmi une liste. La première possibilité qui y figure, afin de marquer sa préséance, est le recueil du consentement de l’individu ⁹Art. 6 a) du règlement UE 2016/679 précité : «  la personne concernée a consenti au traitement de ses données à caractère personnel pour une ou plusieurs finalités spécifiques ».. Elle peut être rapprochée de la seconde : « le traitement est nécessaire à l’exécution d’un contrat auquel la personne concernée est partie […]  »), dans la mesure où cette convention aura fait l’objet elle-même d’un consentement portant, entre autres, sur le sort des données ¹⁰Ibid., 6 b) : « le traitement est nécessaire à l’exécution d’un contrat auquel la personne concernée est partie ou à l’exécution de mesures précontractuelles prises à la demande de celle-ci ».. Les deux fondements de licéité, toutefois, ne se confondent pas : si le responsable de traitement (par exemple un gestionnaire d’email) entend collecter des informations qui ne sont pas strictement nécessaires à l’exécution du contrat (par exemple, les centres d’intérêts du client, afin de procéder à de la publicité ciblée), il devra faire approuver cette opération distinctement et ne pourra pas faire cesser le service en cas de refus.

Les deux fondements posent tout de même une difficulté commune, qui est de donner de la substance, de l’épaisseur à ce consentement. Même les contrats papier ne sont guère lus, alors qu’ils sont physiquement présentés aux parties ¹¹V. par ex. G. Chantepie, « l’exigence de clarté dans la rédaction du contrat », Revue des contrats, n° 2012/3, p. 989 : « De fait, on ne lit pas ses contrats. Une étude empirique, et dépourvue de toute prétention scientifique, menée auprès d’universitaires, dont certains spécialistes du droit du contrat, d’avocats, de magistrats, de personnes dont la capacité à débusquer les clauses les plus retorses n’est pas douteuse, conduit à dresser un constat sans appel. Pas plus que les autres ils ne perdraient trente minutes au guichet de leur banque pour vérifier si les conditions générales de leur carte bancaire ne recèleraient pas quelque clause nouvelle et contestable. ».. La facilité avec laquelle les contrats passés en ligne peuvent être acceptés, en deux clics de souris, n’est probablement pas de nature à améliorer cette situation. Il ne faut certes pas renoncer à rendre les conditions d’utilisation plus claires et plus lisibles. Par exemple, la CNIL a raison de reprocher à l’un des grands acteurs du secteur d’avoir noyé dans la masse des informations capitales sur les rapprochements opérés entre ses différentes sources de données ¹²« … la mention de cette faculté de combinaison n’apparaît qu’au milieu des règles de confidentialité […]. […] alors qu’elle a trait à une modification essentielle de la politique de confidentialité de la société, (elle) n’est donc pas accessible aux utilisateurs en première intention. Par ailleurs, elle ne se distingue pas des développements qui l’entourent, eux-mêmes formulés en termes généraux notamment quant à la description des traitements de données, comme il a été dit plus haut. Il est donc impossible de considérer en l’espèce que le fait de cliquer sur la case “J’accepte” des conditions d’utilisation puisse être considéré comme un accord explicite et spécifique à cette combinaison » : délibération CNIL n° 2013-420 du 3 janvier 2014 de la formation restreinte prononçant une sanction pécuniaire à l’encontre de la société Google Inc.. Mais si la politique de confidentialité n’est pas lue, le progrès sera mince. Certes, le consentement doit être spécial, c’est-à-dire que « Si le consentement de la personne concernée est donné dans le cadre d’une déclaration écrite qui concerne également d’autres questions, la demande de consentement est présentée sous une forme qui la distingue clairement de ces autres questions […] » ¹³Art. 7, 2) du règlement UE 2016/679 précité.. En pratique, toutefois, cela risque de se limiter à une simple case supplémentaire à cocher.

Il faut donc considérer avec intérêt l’idée d’utiliser, en sus des politiques de confidentialité écrites, un ensemble de pictogrammes ¹⁴Le Conseil National du Numérique a manifesté son intérêt pour cette démarche de la fondation Mozilla dans son rapport Neutralité des plateformes. Réunir les conditions d’un environnement numérique ouvert et soutenable, mai 2014, p. 40 : https://cnnumerique.fr/wp-content/uploads/2014/06/CNNum_Rapport_Neutralite_des_plateformes.pdf.. Proposées par la fondation Mozilla, ces icônes porteraient sur la durée de conservation des données, l’utilisation par des tiers, la transmission à des régies publicitaires, la fourniture de données aux autorités même lorsque la loi applicable ne l’exige pas ¹⁵http://wiki.mozilla.org/Privacy_Icons..

Le groupe des CNILS européennes, anciennement appelé G29, a adopté des lignes directrices exposant ce qu’il considère comme un consentement d’une qualité suffisante au regard du RGPD ¹⁶G29, Guidelines on consent under regulation 2016/679, novembre 2017.. La Quadrature du Net estime, entre autres reproches, que certains grands acteurs du numérique violent ces règles relatives au consentement ¹⁷La Quadrature du net, Dépôt des plaintes collectives contre les GAFAM !, article du 28 mai 2018 sur laquadrature.net. Sont visés Facebook, Google, Apple, Amazon et Linkedin.. L’association a organisé le dépôt de plaintes collectives, qui sont en cours d’instruction par la CNIL.

Précisons encore que le consentement doit être donné par les parents lorsqu’il concerne des données relatives à des enfants d’un certain âge. Cet âge est fixé par le règlement à 16 ans maximum, mais les États pourront placer la barre — de ce qu’on pourrait appeler la « majorité informationnelle » — plus bas, jusqu’à un plancher de 13 ans, ce qui semble bien jeune ¹⁸En France, la loi précitée du 14 mai 2018 retient l’âge de quinze ans..

65. Les autres fondements de licéité – Le règlement prévoit des alternatives au consentement de la personne concernée pour fonder la licéité du traitement. Parmi elles : un traitement rendu nécessaire — directement ou indirectement — par l’application de la loi ; la sauvegarde des intérêts vitaux d’une personne – on pense évidemment à des données de santé ; le traitement est nécessaire à l’exécution d’une mission d’intérêt public ou relevant de l’autorité publique du responsable de traitement ; le traitement est nécessaire « aux fins des intérêts légitimes poursuivis par le responsable du traitement ou par un tiers, à moins que ne prévalent les intérêts ou les libertés et droits fondamentaux de la personne concernée qui exigent une protection des données à caractère personnel, notamment lorsque la personne concernée est un enfant » ¹⁹Art. 6 du règlement UE 2016/679 précité.. Ce dernier fondement est volontairement conçu comme le plus souple ; en nécessaire contrepartie, il est aussi le plus difficile à saisir. Interprété trop généreusement, il pourrait se transformer en une machine à faire sauter la nécessité du consentement en matière de traitement de données. La CNIL s’est cependant montrée très vigilante à cet égard. Ainsi, la société Google s’étant vue reprocher de ne pas toujours recueillir le consentement des internautes avant de procéder à des rapprochements de données, elle a fait valoir qu’« il relève de son intérêt légitime de pouvoir procéder à la combinaison des données de ses utilisateurs (qu’ils soient authentifiés ou non) afin de leur garantir la meilleure qualité de service possible […] » ²⁰Délibération CNIL n° 2013-420, précitée.. La CNIL, appliquant des dispositions de la loi de 1978 comparables à l’article 6 du nouveau règlement européen, rappelle cependant qu’il faut procéder à une balance des intérêts (« … à moins que ne prévalent les intérêts […] de la personne concernée […] »). Or, en l’espèce, « la société a prévu de procéder à la combinaison potentiellement illimitée de toutes les données qu’elle collecte sur chacun de ses utilisateurs, quel que soit leur statut, et alors même qu’elle n’a pas déterminé les durées de conservation qui leur seraient applicables. Cette combinaison est donc de nature à méconnaître les intérêts des utilisateurs et à porter atteinte à leur droit au respect de la vie privée » ²¹Ibid.. Dans une autre affaire, un commerçant en ligne conservait les données bancaires de ses clients au-delà de la transaction, sans les en informer. Il mettait en avant son intérêt légitime à faciliter les paiements ultérieurs et à augmenter, ce faisant, l’ergonomie du site et de l’expérience d’achat. La CNIL répondit que « […] si l’intérêt légitime de la société justifie parfaitement la conservation de données commerciales habituelles (nom, adresse, numéro de téléphone, etc.) en contrepartie d’une information adéquate des personnes, la fourniture d’un service de portefeuille électronique, en revanche, doit être entourée de garanties renforcées. En l’occurrence, compte tenu de la sensibilité toute particulière que revêtent leurs données bancaires pour les personnes concernées, de seules mesures d’information sur la conservation de ces données associées à une faculté d’effacement ex post ne sauraient constituer de telles garanties » ²²Délibération de la formation restreinte n°2012-214 du 19 juillet 2012 portant avertissement à l’encontre de la société X.. Ces motifs ont le double intérêt de constituer une seconde illustration de la « balance des intérêts » opérée par la CNIL pour neutraliser le caractère volatil de la notion « d’intérêt légitime » du responsable de traitement, et de rappeler que toutes les données n’ont pas la même « sensibilité ».

66. L’information de la personne — Quel que soit le fondement de licéité retenu, la personne dont les informations sont collectées doit recevoir un certain nombre d’informations. Il s’agit notamment de l’identité du responsable de traitement, des finalités du traitement, des destinataires des données, du fait que le responsable de traitement entend transférer ces données à l’extérieur de l’Union européenne, des coordonnées du délégué à la protection des données s’il y en a un ²³Art. 13, 1) du règlement 2016.679 précité.. S’ajoutent encore, par exemple, la durée de conservation des données, ou l’existence de droits que l’individu peut prendre l’initiative d’exercer : droit d’accès, de rectification, d’effacement, d’opposition… – ils seront examinés plus loin ²⁴V.infra, n° 99 et s..

67. Les « catégories particulières » de données – À plusieurs reprises, nous avons mobilisé l’image d’un noyau constitué par l’identité stable de la personne, autour duquel s’enroulent, par couches, des données de moins en moins intimes à mesure qu’on progresse vers la périphérie. Depuis la loi de 78 dans sa version originelle jusqu’au règlement européen de 2016, certaines données faisant partie du noyau, ou en contact direct avec lui, connaissent un régime juridique distinct ²⁵Art. 31 de la loi 78-17 précitée dans son premier état ; art. 8 de la loi dans sa version actuelle ; art. 9 du règlement UE 2016/679 précité.. Le principe est l’interdiction de tout traitement de données « qui révèle l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l’appartenance syndicale, ainsi que le traitement des données génétiques, des données biométriques aux fins d’identifier une personne physique de manière unique, des données concernant la santé ou des données concernant la vie sexuelle ou l’orientation sexuelle d’une personne physique ». Cette interdiction est aussitôt assortie d’une série d’exceptions ²⁶Art. 9 du règlement UE 2016/679 précité..

Ainsi la protection conférée à l’identité numérique n’est-elle pas uniforme : plus faible s’agissant des couches extérieures, elle se fait plus ferme lorsque s’agissant des couches de données les plus intimes. Le principe d’interdiction reçoit cependant de nombreuses exceptions, parmi lesquelles on retrouve par exemple le consentement — sauf lorsque le droit de l’Union ou les droits internes décident qu’il est inefficace en la matière — ou les données « manifestement rendues publiques par la personne concernée » – sans quoi c’en serait fini de certains réseaux sociaux, comme Facebook, qui reposent souvent sur la mise en scène, par l’individu, de sa propre intimité.

68. Des « formalités préalables » à « la responsabilisation » – Une fois qu’il a déterminé les caractéristiques fondamentales de sa collecte — ou, plus largement, de son traitement — de données personnelles, que doit faire le responsable ? En réaction à l’affaire SAFARI ²⁷V.supra, n°47., dans laquelle l’administration avait œuvré à l’interconnexion de bases de données en toute opacité, la loi de 1978 avait mis en place un ensemble de « formalités préalables » à accomplir avant tout traitement automatisé. Le contexte explique que les personnes publiques — et les personnes privées gérant un service public — aient été particulièrement visées : leurs traitements devaient être autorisés par un acte réglementaire pris après un avis motivé favorable de la CNIL ou, à défaut, un avis conforme du Conseil d’État ²⁸Art. 15 de la loi 78-17 précitée dans sa rédaction initiale.. Pour les personnes privées, une déclaration préalable comportant un grand nombre de mentions obligatoires était en principe suffisante ²⁹Art. 16 et 19 de la même loi.. Cette formalité était encore allégée pour les traitements les plus courants et les moins dangereux ³⁰Article 17 alinéa 2 de la même loi.. La déclaration devait comporter l’engagement de se conformer à la loi — ce qui constitue une curieuse et inutile imitation du paradigme contractuel — et donnait le droit de débuter les traitements sans attendre ³¹Art. 16 de la même loi.. En revanche, le fantôme de SAFARI rôdant, toute utilisation du NIR (numéro de sécurité sociale), même par un responsable de traitement privé, devait être autorisée par un décret en Conseil d’État après avis de la CNIL ³²Art. 18 de la même loi. . ans la rédaction actuelle de la loi de 78, à jour de la directive de 1995 ³³Directive 95/46/CE précitée., le droit des formalités préalables a évolué, pour devenir nettement plus complexe. Relevons que les données sensibles donnent lieu non pas à simple déclaration, ma à autorisation de la CNIL, et que leur champ inclut, ma dépasse largement le NIR: on y trouve par exemple des données génétiques et de santé, des données relatives à des infractions pénales ou encore des traitements autorisés « comportant des appréciations sur les difficultés sociales des personnes » ³⁴Art. 25 de la loi 78-17 dans sa rédaction actuelle..

Le système prévu par le règlement de 2016 est tout différent. On aurait tort de croire que ce texte vise exclusivement la protection des citoyens européens. Un autre objectif est affiché, d’importance au moins égale : le développement d’un marché unique des données. La directive de 1995 ayant été transposée de manière trop diverse, le règlement est l’occasion pour l’Union de reprendre la main et d’imposer un cadre de travail homogène, qui réponde aux attentes des professionnels du secteur ³⁵Sur ce point V. par ex., dans le règlement UE 2016/679 précité, le considérant 9, selon lequel les différences de législation constituent « un obstacle à exercice des activités économiques au niveau de l’Union » et « fausser la concurrence […] ».. Malgré les réticences des négociateurs français, le système des formalités préalables, jugé trop lourd par les professionnels, a donc été abandonné au profit d’une « approche fondée sur le risque » d’inspiration anglo-saxonne ³⁶« Dans son évaluation du cadre juridique actuel, la Commission relevait que ces formalités se traduisent par un coût très élevé pour les entreprises, obligées de les respecter dans chacun des États membres où elles opèrent, suivant des modalités variant d’un État à l’autre. Pour promouvoir un marché intérieur des données personnelles, l’objectif de la réforme était donc de supprimer les formalités préalables. Le projet initial de règlement consacrait ainsi une approche plus anglo-saxonne de responsabilisation des acteurs reposant sur une évaluation des exigences à respecter par l’opérateur lui-même » : E. Brunet, « Règlement général sur la protection des données à caractère personnel. Genèse de la réforme et présentation globale », Dalloz IP/IT, 2016, p. 567. Mme Brunet a fait partie de l’équipe française de négociation.. Le principe retenu est celui de la « responsabilisation » (accountabilty, en version originale) : le professionnel procède à un diagnostic de sa propre situation, en doit en tirer de lui-même les conséquences adéquates.

« Compte tenu de la nature, de la portée, du contexte et des finalités du traitement ainsi que des risques, dont le degré de probabilité et de gravité varie, pour les droits et libertés des personnes physiques, le responsable du traitement met en œuvre des mesures techniques et organisationnelles appropriées pour s’assurer et être en mesure de démontrer que le traitement est effectué conformément au présent règlement. Ces mesures sont réexaminées et actualisées si nécessaire » ³⁷Art. 24, 1) du règlement UE 2016/679 précité..

Une telle solution serait difficilement défendable si elle n’était pas adossée à des sanctions très élevées, susceptibles d’être infligées à celui qui n’aurait pas joué le jeu de cet autocontrôle ³⁸V.infra, n°77.. De plus, lorsque le professionnel constate que son traitement est « susceptible d’engendrer un risque élevé pour les droits et libertés des personnes physiques », il doit se livrer à une étude d’impact complète ³⁹Article 35 du règlement UE 2016/679 précité : « analyse d’impact relative à la protection des données ». Afin d’éviter que l’appréciation de ce « risque élevé » ne soit totalement subjective, le texte énumère des hypothèses dans lesquelles l’analyse est « requise », et donne aux autorités de type CNIL la possibilité d’édicter des listes comportant des hypothèses supplémentaires.. Ce n’est que lorsque le résultat de cette étude confirmera les inquiétudes initiales qu’il devra prendre attache avec sa CNIL, qui fournira un avis et pourra, au besoin, user de ses pouvoirs de contrainte ⁴⁰Art. 36 du même règlement..

Toutefois, s’agissant de certains traitements particulièrement risqués, la loi française permet à la CNIL de revenir si nécessaire à une logique de formalités préalables : il en va ainsi en cas d’utilisation du NIR ou de mise en œuvre de traitement de données biométriques ⁴¹Art. 1^er et 11 de la loi du 14 mai 2018..

Les règles relatives à la collecte de données ainsi décrites, voyons à présent dans quel cadre se déroule leur exploitation.

B – L’exploitation des données

69. La durée de vie des données – Fragments d’information semés derrière elles par les personnes physiques, les données à caractère personnel constituent une matière première à part, qui nécessite des précautions d’emploi particulières. Constatons d’abord qu’elles ne survivent pas à l’écoulement du temps.

Une première limite, contingente, tient à la durée pendant laquelle elles restent exactes. Lorsque le professionnel a connaissance que des données qu’il détient ne sont plus conformes à la réalité, elles doivent être « effacées ou rectifiées sans tarder », de sa propre initiative ⁴²Art. 4, c) du même règlement. Cela, sans préjudice du droit donné à l’individu de porter à la connaissance du professionnel cette inexactitude, en exigeant la modification.. Une seconde limite, absolue, oblige le professionnel à fixer une durée de conservation, dont la personne aura été informée, après l’écoulement de laquelle les données devront nécessairement disparaître ⁴³Art. 13, b) du même règlement : doivent être fournis à la personne « la durée de conservation des données à caractère personnel ou, lorsque ce n’est pas possible, les critères utilisés pour déterminer cette durée ».. Limiter la vie des données dans le temps, c’est garantir nos avatars numériques tout à la fois contre l’écrasement — des signaux et des traces, certes fidèles, s’accumuleraient toute la vie en une oppressante montagne — et contre la défiguration – des informations non mises à jour forment une image trompeuse de l’individu ⁴⁴Un contre-exemple récent peut être visité, celui de la société Cdiscount, mise en demeure par la CNIL pour conservation des informations sans limite de durée, et utilisation de cookies d’une durée de 30 ans : https://www.cnil.fr/fr/cdiscount-avertissement-et-mise-en-demeure-pour-de-nombreux-manquements..

70. La sécurité des données – S’il est interdit de conserver les données pour une durée excessive, il serait tout aussi fautif de les laisser se perdre, être corrompues ou dérobées. Cela impose de les protéger à la fois contre des incidents techniques, mais aussi contre les agressions délibérées orchestrées par des tiers. La modification volontaire des données par un agresseur est ainsi une hypothèse terrible. Qu’il s’agisse d’un groupe sanguin dans les fichiers d’une clinique, du solde d’un compte courant ouvert auprès d’un établissement de crédit, ou de la qualité d’allocataire d’une prestation sociale auprès d’une administration, on mesure à quel point elle serait inacceptable. Le risque de perte semble presque aussi redoutable. Il peut résulter d’un simple accident — des serveurs contenant des données non dupliquées sont détruits par un incendie — ou d’un chantage mafieux. Cette dernière hypothèse est celle des rançongiciels » (ransomware), qui se multiplient depuis peu ⁴⁵L’ANSSI définit le rançongiciel ainsi : « Technique d’attaque courante de la cybercriminalité, le rançongiciel ou ransomware consiste en l’envoi à la victime d’un logiciel malveillant qui chiffre l’ensemble de ses données et lui demande une rançon en échange du mot de passe de déchiffrement » (https://www.ssi.gouv.fr/administration/principales-menaces/cybercriminalite/rancongiciel/). Un tel logiciel malveillant frappe souvent directement la personne physique ou l’entreprise dont émanent les données, mais il pourrait également s’attaquer à des responsables de traitement soumis au règlement.. Il s’agit de programmes malveillants qui chiffrent les données rencontrées, et proposent ensuite de révéler la clé contre remise d’une rançon. En France, des particuliers, des entreprises, mais aussi des laboratoires d’analyse ou des hôpitaux en ont déjà été victimes ⁴⁶O. Dumons, « Des hôpitaux français eux aussi victimes de chantage informatique », article lemonde.fr, rubrique pixels, du 24/02/16. Plus récemment, le ransomware Wannacrypt a causé d’importants dégâts dans plus de 150 pays. En France, des usines Renault ont par exemple été touchées : V. Hermann, « WannCrypt : une infection “jugulée”, le point sur la situation », article nextinpact.com du 15 mai 2017.. Mais l’hypothèse la plus médiatisée est probablement celle dans laquelle des données précieuses sont dérobées. Il peut s’agir, pour les pirates, de les exploiter directement ou de les revendre à des tiers : ainsi des données relatives à des moyens de paiement ⁴⁷Sur le phénomène, V. par ex. Observatoire de la sécurité des cartes de paiement, Rapport annuel 2015, spéc. p. 50 et s., consultable sur observatoire.banque-france.fr.. Il peut encore s’agir de rendre les données publiques, ou de menacer de le faire. Un célèbre site de rencontres nommé Ashley Madison a fait l’objet d’intrusions suivies de chantage. Contre une forte somme d’argent, les pirates proposaient de ne pas révéler les données des 36 millions de comptes utilisateurs, comportant notamment leur orientation sexuelle et leurs infidélités conjugales. Le site n’ayant pas payé, les données ont été dévoilées ⁴⁸V. par ex. « La sécurité d’Ashley Madison “inadéquate” », article lefigaro.fr du 23/08/16.. Cette affaire illustre parfaitement les liens entre protection des données à caractère personnel et protection de la vie privée. Avant l’ère numérique, pouvait-on imaginer que des individus malveillants se retrouvent en mesure, en quelques jours d’efforts, de porter des atteintes profondes et irréversibles à la vie privée, familiale, à l’honneur et à la réputation de plusieurs dizaines de millions de personnes ?

Il appartient aux responsables de traitement de prendre les mesures nécessaires pour éviter ces différentes formes de compromission des données qu’ils exploitent ⁴⁹Art. 5 f) du règlement UE 2016/679 précité. : les données doivent être « traitées de façon à garantir une sécurité appropriée des données à caractère personnel, y compris la protection contre le traitement non autorisé ou illicite et contre la perte, la destruction ou les dégâts d’origine accidentelle, à l’aide de mesures techniques ou organisationnelles appropriées (intégrité et confidentialité); ». Si par malheur elles se révélaient insuffisantes, le règlement européen impose, en cas de « violation de données à caractère personnel » suffisamment grave, d’en avertir l’autorité publique ainsi que la personne concernée ⁵⁰Art. 34 et 35 du règlement UE 2016/679 précité.. Il n’est en revanche pas prévu de rendre l’incident public. Nous verrons plus loin quelles sanctions les autorités de contrôle sont susceptibles de prononcer ⁵¹V.infra, n°77..

Quant aux comportements des pirates, ils tomberont sous le coup des incriminations figurant aux articles 323-1 et suivants du Code pénal, qui concernent les « atteintes aux systèmes de traitement automatisé de données » ⁵²Ces textes punissent notamment le fait d’accéder frauduleusement à un système de traitement automatisé de données (STAD) (art. 323-1), d’en entraver ou d’en fausser le fonctionnement (art. 323-2), d’y introduire ou d’en extraire frauduleusement des données (323-3)…. Évoquer un « vol » de données est une facilité de langage, car cette infraction est mal adaptée aux choses immatérielles ⁵³V. cependant les nuances apportées, à la lecture de la jurisprudence de la Cour de cassation, par M. Daury-Fauveau, « Le “vol d’un bien numérique : vers la suppression des guillemets », in Les biens numériques, éd. Ceprisca, 2015, p. 137..

71. Les décisions automatisées – Les précautions ci-dessus décrites étant respectées, quels sont concrètement les usages jugés dangereux par le pouvoir normatif, et encadrés ? Dès sa version initiale, la loi « informatique et libertés » abordait la question des décisions prises par des algorithmes sur le fondement des données. Ces textes posaient qu’aucune décision de justice « ne peut avoir pour fondement » un traitement automatisé d’informations ; quant aux décisions administratives ou privées, elles ne peuvent être prises « sur le seul fondement » d’un même traitement ⁵⁴Art. 2 et 3 de la loi 78-17 dans sa rédaction initiale ; art. 10 dans sa rédaction actuelle. Le texte semble bien distinguer entre les décisions de justice, qui ne pourraient utiliser des traitements automatisés, même parmi d’autres fondements, tandis que les décisions administratives ou privées seraient seulement tenues de ne pas se fonder uniquement sur un tel traitement. Ce n’est pourtant pas la solution retenue par le Conseil d’État : « si ces dispositions font obstacle à ce qu’une juridiction fonde sa décision sur les seuls résultats d’un traitement automatisé d’informations, elles n’ont en revanche ni pour objet ni pour effet de lui interdire de prendre en compte, parmi d’autres éléments d’appréciation, les résultats d’un tel traitement » (CE, 4 févr. 2004, n° 240023).. Ils proclamaient le droit pour toute personne « de connaître et de contester les informations et les raisonnements utilisés dans les traitements automatisés dont les résultats lui sont opposés » ⁵⁵Articles 2 et 3 de la loi 78-17 dans sa rédaction initiale.. Comme l’affirmait Jean Foyer devant l’Assemblée nationale, au moment de faire adopter la loi Informatique et libertés : « […] l’ordinateur n’a, dit-on, aucune “faculté d’étonnement” devant les erreurs de droit ou de fait, qui peuvent affecter les données. Il n’en a point davantage devant les déductions fausses imputables au programme » ⁵⁶Compte-rendu intégral de la séance de l’Assemblée nationale du mardi 4 octobre 1977, JO, p. 5782.. Il ne faut donc pas le laisser prendre seul les décisions importantes, sur lesquelles un regard humain doit toujours se porter.

Aujourd’hui, le règlement européen formule la solution en ces termes :

Les États membres prévoient que toute décision fondée exclusivement sur un traitement automatisé, y compris le profilage, qui produit des effets juridiques défavorables pour la personne concernée ou l’affecte de manière significative, est interdite, à moins qu’elle ne soit autorisée par le droit de l’Union ou le droit d’un État membre auquel le responsable du traitement est soumis et qui fournit des garanties appropriées pour les droits et libertés de la personne concernée, et au minimum le droit d’obtenir une intervention humaine de la part du responsable du traitement ⁵⁷Art. 11, 1) du règlement UE 2016/679 précité. Adde l’art. 22, selon lequel « La personne concernée a le droit de ne pas faire l’objet d’une décision fondée exclusivement sur un traitement automatisé, y compris le profilage, produisant des effets juridiques la concernant ou l’affectant de manière significative de façon similaire », mais qui prévoit ensuite certaines exceptions..

S’agissant de l’interdiction des décisions de justice fondées sur des traitements automatisés de données, l’encadrement semble plus nécessaire que jamais à l’heure des legal tech, ces entreprises innovantes qui tentent d’employer les méthodes du big data et de l’analyse algorithmique dans le domaine du droit. Elles ont été présentées en introduction de cette étude ⁵⁸V.supra, n°16.. Ces techniques visant à simuler ce que serait la décision de justice dans une affaire donnée vont commencer par se répandre dans les cabinets d’avocats, pour évaluer les chances de succès d’une argumentation, simuler le montant qui pourrait être obtenu pour une indemnité, arbitrer entre contentieux et transaction amiable… La tentation existera, tôt ou tard, de faire passer les algorithmes de l’autre côté de la barre afin de « préparer » les décisions de justice, dans un contexte où certains magistrats croulent sous les dossiers. Cette tendance présente un grand danger.

Laissons de côté le cas particulier des décisions de justice, pour envisager plus largement la prise de décision publique sur le fondement d’un traitement algorithmique. La loi décide à présent que les destinataires de telles décisions doivent être informés de leur caractère automatisé par une mention explicite ⁵⁹Art. L. 311-3-1 du Code des relations entre le public et l’administration (CRPA) : « […] une décision individuelle prise sur le fondement d’un traitement algorithmique comporte une mention explicite en informant l’intéressé. Les règles définissant ce traitement ainsi que les principales caractéristiques de sa mise en œuvre sont communiquées par l’administration à l’intéressé s’il en fait la demande ». Le texte est issu de la loi précitée n° 2016-1321.. Un texte réglementaire précise que :

L’administration communique à la personne faisant l’objet d’une décision individuelle prise sur le fondement d’un traitement algorithmique, à la demande de celle-ci, sous une forme intelligible et sous réserve de ne pas porter atteinte à des secrets protégés par la loi, les informations suivantes :

« 1° Le degré et le mode de contribution du traitement algorithmique à la prise de décision ;

« 2° Les données traitées et leurs sources ;

« 3° Les paramètres de traitement et, le cas échéant, leur pondération, appliqués à la situation de l’intéressé ;

« 4° Les opérations effectuées par le traitement ; » ⁶⁰Art. R. 311-3-1-2 du CRPA, issu du décret n° 2017-330 du 14 mars 2017 relatif aux droits des personnes faisant l’objet de décisions individuelles prises sur le fondement d’un traitement algorithmique. Ce texte a été pris après une délibération de la CNIL, n° 2017-023, du 16 février 2017..

Ces droits à l’information conférés aux administrés s’ajoutent aux dispositions de droit commun relatives à l’interdiction des décisions entièrement automatisées, mais ne s’y substituent pas. La CNIL l’a rappelé au Gouvernement dans une mise en demeure très médiatisée relative à l’algorithme « admission post-bac », qui répartit les nouveaux bacheliers au sein des filières de l’enseignement supérieur. Les résultats de l’automatisme, lorsqu’ils étaient contestés, ne faisaient l’objet d’aucune véritable révision humaine, en violation flagrante de la loi informatique et libertés ⁶¹Décision n° MED-2017-053 du 30 août 2017 mettant en demeure le ministère de l’Enseignement Supérieur, de la Recherche et de l’Innovation. On peut notamment y lire : « Un étudiant dont la candidature n’est pas retenue pour une formation non sélective de son choix, du fait de la position qui lui a été attribuée par l’algorithme dans le classement, ne pourra intégrer celle-ci par un autre moyen. Il en résulte qu’une décision produisant des effets juridiques à l’égard des candidats est prise sur le seul fondement du traitement APB dès lors que celui-ci détermine les formations post-baccalauréat auxquelles ils peuvent s’inscrire. En outre, la délégation a constaté qu’en cas de contestation de l’affectation proposée, le ministère de l’Éducation Nationale s’est limité à expliquer aux candidats que le nombre de demandes d’inscription dans l’établissement demandé excède la capacité d’accueil de celui-ci et qu’en application des critères définis à l’article L. 612-3 du code de l’éducation, le vœu d’inscription n’a pas pu être satisfait. Il apparaît, par conséquent, qu’aucun réexamen de la décision finale prise sur le seul fondement du traitement APB n’est effectué au vu des éléments fournis par les candidats souhaitant contester les décisions prises à leur égard » (souligné par nous)..

Dans le secteur privé, la crainte que des décisions sources d’effets juridiques ne soient prises de manière automatisée renvoie principalement aux techniques de scoring. Il s’agit d’attribuer une note à un dossier client, par exemple un candidat à l’emprunt bancaire, en convertissant chaque élément de son dossier en un certain nombre de points positifs ou négatifs.

Une délibération de la CNIL vise à encadrer cette pratique. Elle énumère limitativement les catégories de données susceptibles d’être recueillies, en précisant qu’elles sont « choisies et pondérées en fonction du lien de corrélation qu’elles présentent avec le risque attaché à l’opération » ⁶²Délibération n° 2006-019 du 2 février 2006 portant autorisation unique de certains traitements de données à caractère personnel mis en œuvre par les établissements de crédit pour aider à l’évaluation et à la sélection des risques en matière d’octroi de crédit (décision d’autorisation unique n° AU-005). Elle a été modifiée par la délibération n° 2008-198, suite à la loi n° 2008-496 du 27 mai 2008 relative à la lutte contre les discriminations : il n’est plus possible de tenir compte du sexe du demandeur. Sur ces questions, V. par ex. C. Torres, « Le credit scoring : une pratique très encadrée par la CNIL », Gaz. Pal., 24/07/10, n° 205.. Cela évitera certaines pratiques professionnelles observées aux USA, qui visent à utiliser le profil du client sur un réseau social comme Facebook pour en déduire son mode de vie et, de là, le risque qu’il présente ⁶³A. Williams, « How Facebook can affect your credit score », article ft.com du 25/08/16.. Surtout, la CNIL rappelle que la réglementation interdit que décision soit prise exclusivement sur la base du score : le risque est grand qu’un tel système aboutisse à une décision mécanique, selon que la note du dossier considéré est inférieure ou supérieure à une note de référence fixée par les services centraux de la banque. « En conséquence, le demandeur est systématiquement informé, en cas de rejet de son dossier de crédit par l’outil de score, qu’il peut en demander une nouvelle étude, approfondie, par un agent spécialement habilité à cette fin, à l’issue d’une phase contradictoire au cours de laquelle il aura été mis en mesure de présenter ses observations sur les principales difficultés identifiées dans son dossier […] » ⁶⁴Ibid..

La pratique du scoring n’a pas vocation à se cantonner à la phase de conclusion du contrat : l’exemple des « assurances comportementales » le démontre. Lancé notamment en Allemagne par l’assureur Generali, ce contrat couvrant des risques d’invalidité ou de décès se nourrit de données de santé régulièrement transmises par l’assuré lui-même, notamment au travers d’objets connectés : une balance démontrant qu’il surveille sa ligne, un tensiomètre, une montre de fitness qui prouve qu’il court à intervalles réguliers… L’assureur n’a pas accès lui-même aux données, mais s’adosse à un « tiers indépendant » (en réalité, une filiale), qui les collecte et en tire un score : seul ce score parvient à l’assureur, qui en tire les conséquences en modulant la prime à la hausse ou à la baisse ⁶⁵C. Bourdoiseau, « Generali veut réinventer l’assurance avec “Vitality” », article argusdelassurance.com du 24/06/16..

72. La fourniture de données comme contrepartie contractuelle – Ce qui frappe, dans ce dernier exemple, n’est pas la prise automatisée de décision. Quand bien même les données issues des objets connectés seraient analysées uniquement par des opérateurs humains, et la note fixée par eux, l’inquiétude suscitée ne faiblirait pas. Ce qui inquiète, c’est la banalisation de la fourniture de données même extrêmement intimes — quoi de plus intime que les signaux vitaux du corps ? — dans les rapports avec un professionnel. Tolérer une surveillance constante contre une baisse de prime revient en quelque sorte à battre monnaie de sa vie privée. Le modèle économique, largement répandu sur Internet, « gratuité contre données » (cédées à des régies publicitaires) relève de la même idée, poussée à son paroxysme. Nous y reviendrons en étudiant la notion de contrat à l’ère numérique.

C – La circulation des données

73. Circulation interne – Même lorsque les données restent à l’intérieur de l’Union européenne, il faut s’assurer des conditions de transfert. Rien n’est plus facile que de dupliquer des fichiers numériques et de les semer à tout vent. Aussi le règlement encadre-t-il rigoureusement le recours à la sous-traitance. Il est notamment exigé du responsable de traitement qu’il choisisse exclusivement des partenaires « qui présentent des garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées » ⁶⁶Art. 28, 1) du règlement UE 2016/679 précité.. Autrement dit, s’il était apparent que le sous-traitant n’avait pas la capacité ou la volonté de se conformer lui-même au règlement, le responsable de traitement peut être personnellement sanctionné. De surcroît, la chaîne de sous-traitance ne peut pas s’allonger, de nouveaux acteurs ne peuvent y prendre place sans que le responsable de traitement y ait consenti par écrit ⁶⁷Art. 28, 2) du règlement précité, qui précise toutefois que cette autorisation peut être « spécifique ou générale »..

74. Le vaste champ d’application territorial du règlement – Lors de l’adoption de la première loi informatique et libertés, la question du déplacement des données hors des frontières ne se posait pas, et il était donc logique de ne trouver dans le texte aucune disposition relative à son rayonnement au-delà du territoire français. Aujourd’hui, la situation est bien différente. L’information parcourt le monde d’un bout à l’autre en quelques millisecondes. Il ne servirait à rien de prévoir une réglementation européenne très protectrice des individus, s’il suffisait de déplacer les informations pour y échapper ⁶⁸En réalité, on déplace moins les informations elles-mêmes que les serveurs sur lesquels elles sont stockées ou traitées..

Sous l’empire de la directive de 1995, le droit européen des données à caractère personnel s’applique non seulement aux responsables de traitement établis sur le territoire de l’Union, mais aussi lorsque « le responsable du traitement n’est pas établi sur le territoire de la Communauté et recourt, à des fins de traitement de données à caractère personnel, à des moyens, automatisés ou non, situés sur le territoire dudit État membre » ⁶⁹Art. 4, 1, c) de la directive précitée 95/46/CE.. Or, la CNIL a par exemple considéré que le seul fait de placer des cookies dans les navigateurs d’internautes européens revenait à employer des moyens de traitement situés en Europe ⁷⁰« Il est certain qu’un fichier texte ne constitue pas, en lui-même, un traitement. Cependant, la formation restreinte relève que tant la lecture que l’écriture d’informations sur la navigateur installé sur le terminal de l’utilisateur s’effectuent par l’intermédiaire de cookies, dans le but de collecter des informations dont la société sera l’unique destinataire […]. Par conséquent, l’ensemble des équipements et logiciels participant à ces actions d’écriture ou de lecture — y compris les cookies et les outils similaires — doivent être considérées comme des moyens de traitement » (délibération n° 2013-420 de la formation restreinte de la CNIL, précitée).. Ainsi, le rayonnement du texte était déjà considérable. Le nouveau règlement va plus loin encore, et ajoute les critères suivants :

Le présent règlement s’applique au traitement des données à caractère personnel relatives à des personnes concernées qui se trouvent sur le territoire de l’Union par un responsable du traitement ou un sous-traitant qui n’est pas établi dans l’Union, lorsque les activités de traitement sont liées:

a) à l’offre de biens ou de services à ces personnes concernées dans l’Union, qu’un paiement soit exigé ou non desdites personnes; ou

b) au suivi du comportement de ces personnes, dans la mesure où il s’agit d’un comportement qui a lieu au sein de l’Union ⁷¹Art. 3, 2) du règlement 2016/679 précité..

Dès lors que des produits ou services peuvent être considérés comme s’adressant à des citoyens de l’Union, le règlement s’appliquera ⁷²Cela peut résulter notamment de « (..) l’utilisation d’une langue ou d’une monnaie d’usage courant dans un ou plusieurs États membres, avec la possibilité de commander des biens et des services dans cette autre langue ou la mention de clients ou d’utilisateurs qui se trouvent dans l’Union » (considérant 23 du règlement précité).. Dès lors que l’internaute fera l’objet d’un suivi, même non nominatif, le règlement s’appliquera ⁷³Cela peut résulter notamment de « […] l’utilisation ultérieure éventuelle de techniques de traitement des données à caractère personnel qui consistent en un profilage d’une personne physique, afin notamment de prendre des décisions la concernant ou d’analyser ou de prédire ses préférences, ses comportements et ses dispositions d’esprit » (considérant 24 du règlement précité).. L’ensemble des situations saisies est extrêmement vaste ⁷⁴V. not. l’analyse de R. Perray, « La délimitation territoriale du RGPD : le champ d’application et les transferts de données hors de l’Union européenne », Dalloz IP/IT, 2016, p. 581..

75. La limitation des transferts de données hors UE – Le second pilier de la protection des données des citoyens européens, du point de vue territorial, consiste à encadrer strictement les flux sortants d’informations. Les données quittant le territoire de l’Union tombent sous la maîtrise juridique et technique d’autres nations : cela ne peut se tolérer sans garanties suffisantes. Le nouveau règlement se préoccupe de surcroît des « transferts ultérieurs » : le responsable de traitement devra veiller à appliquer les règles européennes même lorsque les données exportées reprennent leur circulation quelque temps plus tard À aucun moment on ne pourra considérer qu’elles ont fini par échapper à l’orbe du droit européen ⁷⁵Art. 44 du règlement 2016/679 précité.. Ce raisonnement peut se justifier au regard du lien entretenu par les données personnelles avec les individus dont elles émanent. Ce sont des fragments informationnels de citoyens européens que l’on transporte à travers le monde, aussi longtemps du moins que les données peuvent être qualifiées de personnelles. Ceci posé, plusieurs fondements peuvent être invoqués par un responsable de traitement qui souhaiterait exfiltrer des données hors des frontières de l’Union.

Premièrement, un tel transfert de données peut se fonder sur une « décision d’adéquation ». Une telle décision est prise par la Commission, lorsqu’elle a constaté « […] que le pays tiers, un territoire ou un plusieurs secteurs déterminés dans ce pays tiers, ou l’organisation internationale en question assure un niveau de protection adéquat » ⁷⁶Art. 45, 1) du même règlement.. Au premier abord, la solution semble la plus simple pour une entreprise. Elle n’a qu’à vérifier que le pays visé figure sur la liste blanche constituée des pays bénéficiant d’une décision d’adéquation. Si la réponse est positive, elle n’a aucune formalité supplémentaire à accomplir. Le problème est que la Commission est faillible, et que ses décisions peuvent être contestées devant la Cour de justice de l’Union européenne. C’est ce qu’a fait M. Schrems. Utilisateur de Facebook, il savait que des données le concernant étaient envoyées par la filiale irlandaise de cette société vers les États-Unis d’Amérique. Or, à la lumière des révélations d’Edward Snowden sur le programme PRISM, il a considéré que ce pays n’offrait pas un niveau de protection adéquat ⁷⁷Sur ces révélations, V. par ex. la synthèse de M. Szadowski et D. Leloup, « Prism, Snowden, surveillance : 7 questions pour tout comprendre », article lemonde.fr du 08/08/13..

Cela revenait à contester la décision d’adéquation rendue par la Commission européenne dans le cadre de la « sphère de sécurité » (Safe Harbor) ⁷⁸Il s’agissait de 2000/520/CE: Décision de la Commission du 26 juillet 2000 conformément à la directive 95/46/CE du Parlement européen et du Conseil relative à la pertinence de la protection assurée par les principes de la «sphère de sécurité» et par les questions souvent posées y afférentes, publiés par le ministère du commerce des États-Unis d’Amérique.. L’autorité irlandaise de protection des données refusa de déjuger la Commission, mais la Cour de justice de l’Union européenne adopta une position toute différente. Examinant le droit antiterroriste américain, elle releva notamment que « […] une réglementation permettant aux autorités publiques d’accéder de manière généralisée au contenu de communications électroniques doit être considérée comme portant atteinte au contenu essentiel du droit fondamental au respect de la vie privée » ⁷⁹CJUE, 6 octobre 2015, Maximilian Schrems c./ Data protection commissionner, C-362/14, § 94.. Elle ajouta qu’ « […] une réglementation ne prévoyant aucune possibilité pour le justiciable d’exercer des voies de droit afin d’avoir accès à des données à caractère personnel le concernant, ou d’obtenir la rectification ou la suppression de telles données, ne respecte pas le contenu essentiel du droit fondamental à une protection juridictionnelle effective » ⁸⁰Ibid., § 95.. La décision d’adéquation fut invalidée, provoquant un vent de panique chez les nombreuses sociétés exportant des données européennes vers les USA. Le règlement de 2016 laisse apparaître les stigmates de l’affaire Schrems lorsqu’il commande à la Commission, s’agissant de ses futures décisions d’adéquation, d’examiner une liste de critères, parmi lesquels : « l’état de droit, le respect des droits de l’homme et des libertés fondamentales, la législation pertinente, tant générale que sectorielle, y compris en ce qui concerne la sécurité publique, la défense, la sécurité nationale […] » ⁸¹Art. 45, 2, a).. Quant au Safe Harbor, il a été remplacé par un nouveau mécanisme dit Privacy Shield. À son propos, il convient de formuler deux remarques. La première, c’est que les professionnels des données resteront quoiqu’il arrive méfiants à son égard, car rien n’interdit à la CJUE de déjuger une nouvelle fois la Commission, dans un arrêt Schrems bis, les progrès accomplis pouvant ne pas être considérés comme suffisants ⁸²Les CNILs européennes, regroupées au sein du « G29 » (en référence à l’article 29 de la directive précitée 95/46/CE), avaient fait part de leurs inquiétudes en ce sens dans une déclaration commune du 29/07/16 : https://www.cnil.fr/fr/declaration-du-g29-relative-la-decision-de-la-commission-europeenne-concernant-le-privacy-shield.. la seconde, c’est que le nouveau président américain Donald Trump a peut-être fait exploser le Privacy Shield en signant un executive order écartant les citoyens non américains du bénéfice de la loi Privacy Act ⁸³Executive order du 25/01/17 « Sec. 14. Privacy Act. Agencies shall, to the extent consistent with applicable law, ensure that their privacy policies exclude persons who are not United States citizens or lawful permanent residents from the protections of the Privacy Act regarding personally identifiable information ».. Les données à partir desquelles la Commission a prononcé l’adéquation du Privacy Shield sont ainsi complètement bouleversées. Les entreprises se tourneront donc avec intérêt vers les autres mécanismes permettant d’assurer un transfert de données vers un pays hors Union européenne.

Deuxièmement, donc, le responsable de traitement peut se passer de décision d’adéquation s’il justifie de « garanties appropriées » ⁸⁴Art. 46 du règlement 2016/679 précité.. Cela renvoie notamment à deux mécanismes : l’utilisation, dans les contrats emportant transferts de données hors Union, de clauses type adoptées par la Commission européenne ⁸⁵Art. 46, c) du même règlement. Ces modèles sont consultables sur www.cnil.fr/fr/les-clauses-contractuelles-types-de-la-commision-europeenne. ; les « règles d’entreprise contraignantes » (binding corporate rules ou BCR) rédigées par l’entreprise elle-même, et soumises à l’autorité de contrôle ⁸⁶Art. 47 du même règlement.. Il est à craindre que la rédaction de BCR soit trop complexe et trop coûteuse pour les entreprises de tailles petite et moyenne, et qu’elles se contentent de copier-coller les clauses types de la Commission européenne dans leurs contrats sans véritablement s’interroger sur le sens profond de ces stipulations, et sur l’inflexion des pratiques qu’elles supposent.

D – Autorités de contrôle et sanctions

76. La CNIL aujourd’hui – Lorsque la Commission nationale de l’informatique et des libertés française est instituée par la loi de 1978, l’expression « autorité administrative indépendante » semble être employée pour la première fois ⁸⁷Art. 8 de la loi 78-17 précitée dans sa rédaction d’origine : « La commission nationale de l’informatique et des libertés est une autorité administrative indépendante ».. Si le mot ne lui préexistait pas, la chose en revanche était déjà connue, sous la forme de la Commission des opérations de bourse ou de la Commission de la concurrence ⁸⁸La Commission des opérations de bourse a été créée par une ordonnance 67-833 du 28 septembre 1967 ; la Commission de la concurrence par une loi 77-806 du 19 juillet 1977.. La CNIL est indépendante du pouvoir politique, dispose d’un pouvoir réglementaire et d’un budget propre de 16 millions d’euros ⁸⁹https://www.cnil.fr/fr/le-fonctionnement.. Ses missions sont nombreuses et étendues ⁹⁰Art. 11 de la loi 78-17 précitée, dans sa rédaction actuelle.. Le cœur était constitué par les « formalités préalables », dont il a déjà été indiqué qu’elles diminueront fortement lors de l’entrée en vigueur du règlement de 2016, et qui consistaient à recevoir des déclarations et à délivrer des autorisations préalables aux traitements de données ⁹¹. V.supra, n°68.. Elle peut procéder à des contrôles et prononcer des sanctions. Mais son rôle pédagogique ne doit pas être sous-estimé : la CNIL informe les professionnels et le grand public, réalise des études de terrain et de prospective, décerne des labels à des produits ou techniques respectueux du droit des données à caractère personnel.

77. La CNIL demain – Le règlement européen de 2016 crée un statut uniforme qui s’appliquera à toutes les autorités de protection des données de l’Union européenne. ⁹²Chapitre VI du règlement 2016/679 précité (articles 51 et suivants). Cela leur permettra notamment de coopérer lorsqu’un dossier concernera plusieurs États membres — ce sera fréquent — en désignant une autorité chef de file, qui coordonnera leur action et servira d’interlocuteur unique à l’extérieur.

À l’occasion de cette uniformisation, le rôle de la CNIL française évolue, et ses pouvoirs augmentent. Son rôle évolue puisqu’avec l’introduction de la nouvelle logique de « responsabilisation » des acteurs, les responsables de traitement ne prendront l’initiative d’un contact avec elle que si l’auto-diagnostic qu’ils ont réalisé révèle des dangers particuliers ⁹³V.supra, n°68.. Par conséquent, une grande partie du terrain va devenir silencieuse. Sans les déclarations et autorisations préalables, les traitements de données ne viendront plus à la CNIL : la CNIL devra venir à eux. Son emprise sur les acteurs ne risque-t-elle pas de faiblir ? Pour l’éviter, le législateur européen accompagne la logique de « responsabilisation » d’une augmentation spectaculaire des sanctions, qui pourront aller jusqu’à 20 millions d’euros ou 4% du chiffre d’affaires annuel mondial total de l’exercice précédent ⁹⁴art. 83, 5° du règlement 2016/679 précité..

Les grands acteurs, qui ont la certitude que leurs activités seront contrôlées, prendront certainement une telle menace très au sérieux. En ira-t-il de même des acteurs de taille plus modeste ? Le risque existe qu’ils parient sur une insuffisance des moyens de la CNIL. Le budget de 16 millions d’euros, et surtout les 192 agents de la Commission ne semblent pas suffisants pour assurer sa puissance, alors que cette institution constitue le principal rempart contre les risques très graves qui pèsent sur la vie privée et l’identité numérique des citoyens.

78. Actions de groupe – Aussi pouvait-on apprécier la modification apportée à la loi informatique et libertés par la loi de novembre 2016 dite « justice du1ème siècle ». Elle permettait en effet aux individus de se regrouper pour assurer une défense plus efficace de leurs droits en matière de données personnelles devant les juridictions.

Lorsque plusieurs personnes physiques placées dans une situation similaire subissent un dommage ayant pour cause commune un manquement de même nature aux dispositions de la présente loi par un responsable de traitement de données à caractère personnel ou un sous-traitant, une action de groupe peut être exercée devant la juridiction civile ou la juridiction administrative compétente ⁹⁵Art. 43 ter, II de la loi 78-17 précitée, issu de l’art. 91 de la loi n° 2016-1547 du 18 novembre 2016 de modernisation de la justice du XXIe siècle..

Toutefois ce texte était décevant, notamment en ce qu’il restreignait l’objet de l’action à la cessation du manquement, à l’exclusion de toute demande en dommages-intérêts. Pourquoi prévoir une telle possibilité d’action, et lui retirer aussitôt tout intérêt, toute efficacité et tout caractère dissuasif ⁹⁶Le CNNum défendait des options bien plus ambitieuses : « Pour que ce recours soit pleinement activable, il est néanmoins nécessaire qu’il s’accompagne de l’extension de la capacité à agir à des associations de défense de la vie privée, des organisations syndicales de salariés ou des associations formées aux seules fins d’entreprendre l’action collective. Il est impératif qu’il permette à la fois la cessation et la suspension des traitements litigieux, mais aussi la réparation des dommages immatériels et des préjudices moraux. À l’heure actuelle, seuls les dommages patrimoniaux peuvent faire l’objet d’une réparation, or les préjudices résultant d’une atteinte au droit au respect de la vie privée ne rentrent que très rarement dans cette catégorie » (avis n° 2015-3 relatif au projet de loi pour une République numérique, novembre 2015, consultable sur cnnumerique.fr). ? Mais la loi de mai 2018 a fait évoluer la question, qui étend l’action de groupe aux actions en responsabilité destinées à obtenir la réparation des préjudices matériels et moraux ⁹⁷Art. 25 de la loi précitée du 14 mai 2018..

Ces actions de groupe peuvent porter aussi bien sur la violation, par le responsable de traitement, du statut impératif qui vient d’être décrit, que sur les droits octroyés aux individus afin qu’ils modèlent, s’ils le souhaitent, leur identité numérique. Ce sont ces derniers droits qu’il nous faut aborder à présent (II).