A Les données à caractère personnel
L'article 2 alinéa 2 de la loi Informatique et
Libertés, modifiée par la loi n° 2004-801 du 6 août
2004 transposant la directive 95/46/CE du 24 octobre 1995 du Parlement
européen et du Conseil relative à la protection des personnes
physiques à l'égard du traitement des données à
caractère personnel et à la libre circulation de ces
données, définit les données à caractère
personnel (ou « donnée personnelle ») comme : « Toute
information relative à une personne physique identifiée ou qui
peut être identifiée, directement ou indirectement, par
référence à un numéro d'identification ou à
un ou plusieurs éléments qui lui sont propres. Pour
déterminer si une personne est identifiable, il convient de
considérer l'ensemble des moyens en vue de permettre son identification
dont dispose ou auxquels peut avoir accès le responsable du traitement
ou toute autre personne. »
Avant la réforme opérée par la loi du 6
août 2004, la loi Informatique et Libertés ne visait pas
expressément la notion de données à caractère
personnel mais celles « d'informations nominatives ». Ce changement
terminologique marque un élargissement de la notion puisqu'il permet
d'étendre la protection de la loi à la voix et à l'image
des personnes concernées22.
Sur Facebook, le candidat à l'inscription doit
obligatoirement fournir certaines informations telles que son prénom,
son nom de famille, son adresse électronique, son mot de passe, son sexe
et sa date de naissance. D'autres informations concernant ses centres
d'intérêts, sa formation et ses expériences
professionnelles peuvent également être publiées sur son
profil lors de l'inscription ou à tout moment. Ces informations
étant « des informations relatives à une personne
physique identifiée »23, elles peuvent être
qualifiées des données à caractère personnel.
D'autres informations, dites sensibles, sont susceptibles
d'être publiées sur Facebook (B).
22 Jurisclasseur administratif, fascicule 274 «
Informatique. Traitement de données à caractère personnel
» paragraphe 38.
23 Article 2 alinéa 2 de la loi Informatique et
Libertés.
B Les données sensibles
L'utilisateur a également la possibilité de
fournir lors de son inscription ou à tout moment des informations
très intimes comme sa situation amoureuse, ses préférences
sexuelles, ses opinions politiques, sa religion.
Ces informations pourraient être
considérées comme des informations sensibles au sens de la loi
Informatique et Libertés, dont le traitement est soumis à
davantage de restrictions, voire est interdit dans certains cas.
En effet, l'article 8 I de la loi Informatique et
Libertés interdit de « collecter ou de traiter des
données à caractère personnel qui font apparaître,
directement ou indirectement, les origines raciales ou ethniques, les opinions
politiques, philosophiques ou religieuses ou l'appartenance syndicale des
personnes, ou qui sont relatives à la santé ou à la vie
sexuelle de celles-ci ». L'article 8 II pose des limites à
cette interdiction en fonction de la finalité du traitement.
L'interdiction peut ainsi être levée par le
« consentement exprès » de la personne
concernée (article 8 II 1°), de sorte que le traitement portant sur
ces données dites sensibles sera licite. Cette exception permet de
responsabiliser l'individu en lui permettant de consentir à ce que la
loi par principe lui interdit24. Le consentement de la personne
devient la pierre angulaire de la loi Informatique et Libertés puisque
par sa libre volonté, tout individu peut dévoiler toute sa vie
privée. Pour savoir si Facebook peut collecter ces données
sensibles en ayant recueilli le consentement de ses utilisateurs, il convient
d'approfondir cette notion de consentement.
La loi Informatique et Libertés ne précisant pas
ce que recouvre la notion de consentement, il est nécessaire de se
reporter à la directive du 24 octobre 1995. Le droit français
devant être interprété au regard de l'objectif à
atteindre de la directive.
L'article 2 (h) de la directive du 24 octobre 1995
définit le consentement comme « toute
manifestation de
volonté, libre, spécifique et informée ». Pour
être valable, le consentement
24 Cours de Madame A. Lepage de 2008-2009 du Master 2 Droit du
Multimédia et de l'Informatique de Paris II.
comprend trois critères cumulatifs que sont la
liberté du consentement, la spécificité du consentement et
l'information.
On peut considérer que le consentement de l'utilisateur
qui fournit de telles informations sur Facebook a été librement
donné puisque l'utilisateur du site de réseau social a le choix
de délivrer ou non cette information. Le consentement est
également spécifique puisqu'il porte sur une question
précise et non sur un ensemble de questions, de sorte que l'utilisateur
a la possibilité de ne répondre qu'à certaines questions,
indépendamment des autres. L'exigence d'information, dernier
critère cumulatif, n'est toutefois pas incontestable. En effet, il n'est
pas certain que la personne ait été correctement informée
des conséquences que la délivrance de cette information pourrait
avoir, comme par exemple du fait que cette information serait collectée
par le responsable du traitement et puisse être par la suite
utilisée pour proposer de la publicité ciblée.
La politique de confidentialité de Facebook, dont la
dernière mise à jour date du 26 novembre 2008, précise que
« Lorsque vous vous connectez sur Facebook, nous enregistrons le type
de votre navigateur et votre adresse IP ».
En dernier lieu de ce I, une incertitude entoure le cas
d'enregistrement de l'adresse IP par Facebook : constitue-elle une
donnée à caractère personnel ? (C).
| 
