UNIVERSITÉ DE ROUEN

Faculté de droit, des sciences économiques et de gestion.

Année académique 2007- 2008.

Master II Recherche, Mention droit public approfondi, spécialité Systèmes juridiques et protection des droits.

Mémoire

La protection des données personnelles face aux nouvelles exigences de sécurité.

Mémoire soutenu publiquement le 10 juin 2008

Jury de soutenance :

Teresa GARCÍA-BERRIO

Guillaume TUSSEAU

Sous la direction du professeur Teresa GARCÍA-BERRIO

Présenté par Sami FEDAOUI

Les opinions exprimées dans ce mémoire sont propres à leur auteur et n'engagent en rien la responsabilité de l'université de Rouen.

Introduction

Si l'État constitue le produit d'une évolution historique dans l'organisation de la communauté humaine, il est également la figure à même de produire un ordre social dont l'objet est de réguler ce qui précisement ne peut être régulé par la sphère privée. Pour reprendre la célèbre formule de Max Weber, l'Etat dispose et agit fondamentalement comme le détenteur du "monopole de la violence physique légitime"^1(*), ce qui est sans doute la traduction d'un transfert à l'État par la communauté humaine d'une incertitude originelle relative à la sécurité.^2(*) Certes l'État ne provient pas exclusivement de cette incertitude, il n'en demeure pas moins qu'il constitue une solution viable à celle-ci. On observe ainsi que les considérations sécuritaires sont dans une certaine mesure cosubstantielles à l'existence de l'État.^3(*) Le problème pour l'État consiste néanmoins à "justifier son existence" non seulement par cette question anthropologique de la sécurité mais également par son retrait de la sphère privée, espace privilégié de liberté et d'intimité, du moins prétendue comme tel. Partant, il est intéressant de voir que c'est en matière de données à caractère personnel que l'on retrouve de manière très significative la tension entre ces deux tendances.

Les données personnelles sont en effet des informations qui permettent d'identifier individuellement, de manière directe ou indirecte, une personne physique.^4(*) Il s'agit donc de données qui portent sur des éléments qui caractérisent une personne, et qui sont ainsi susceptibles d'affecter la vie privée de celle-ci.^5(*) Dès lors, ces données étant ainsi considérées, on peut comprendre que l'exigence d'une certaine protection de ces données se heurte à une autre exigence, celle consistant à les mettre à la dispostion de l'État dans une certaine mesure, afin que les autorités publiques puissent assurer efficacement le maintien de la sécurité. Et même si ces considérations ne sont pas nécessairement inconciliables, il est clair que l'on est en présence de deux mouvements dont la vocation respective est bien différente puisque l'une privilégie l'intérêt de la personne tandis que l'autre tend à mettre cet intérêt "en suspens" au profit d'un intérêt sans doute plus général tenant à la sécurité. Cette notion de sécurité peut, en plus, être largement entendue et recouvrir la securité des individus comme celle de l'État lui-même. On voit bien qu'il est tout à fait possible de décliner sous plusieurs angles l'étude sur les données personnelles compte tenu de l'ampleur des enjeux, mais aussi de la relative incertitude autour des discours et des concepts concernant cette problématique.

Il convient donc de poser un cadre de réflexion qui permettrait d'étudier certains points essentiels de la protection des données à caractère personnel afin de percevoir le mouvement systèmique à l'oeuvre, et à cet égard on doit préciser que notre étude porte sur le "modèle français" en la matière. La protection des données personnelles en France a connu un développement important dans les années 70, la France ayant adopté le 6 janvier 1978 la loi relative à l'informatique, aux fichiers et aux libertés. Même si de nombreux aménagements ont été mis en oeuvre depuis lors, ce dispositif constitue le socle du système français de protection des données personnelles avec notamment la création de la Commission nationale de l'informatique et des libertés, autorité administrative indépendante chargée principalement de contrôler le respect des normes en matière de traitement des données à caractère personnel.

Tout d'abord, une des questions que l'on peut se poser est celle de savoir s'il existe ou non un fondement juridique de sécurité qui pourrait être invoqué dans le cadre du système normatif français des données personnelles, et surtout de savoir comment il peut être appréhendé. De ce point de vue, le concept de sécurité comme principe central de l'existence de l'État, tel qu'on l'a degagé, demeure une hypothèse d'ordre anthropologique et doit ici être tenue comme telle, autrement dit on ne peut conférer à cette idée une quelconque portée juridique qui appuierait valablement un ensemble de normes et d'énoncés. Dans la sphère juridique, on peut observer que la sécurité ne joue tout au plus que comme un paradigme de la "politique juridique" mais n'existe pas en tant que véritable principe juridique. Et il en est ainsi en ce qui concerne plus précisement les données personnelles, mais on ne peut pour autant exclure la notion de sécurité des dispositifs juridiques dans ce domaine, ne serait-ce qu'en raison de la dimension paradigmatique de celle-ci. Dans ce domaine, les normes mises en oeuvre prennent en compte ce souci de la sécurité, c'est ainsi que la puissance publique peut soutenir dans son activité de police que certaines circonstances d'éspèce justifiaient une atteinte à la protection des données personnelles. Ceci conformément à une tradition française qui admet que la préservation de l'ordre public peut tout à fait être un motif de restriction de certaines libertés publiques ou individuelles, d'ailleurs le texte même de certaines dispositions régissant le traitement des données personnelles s'inscrit dans ce sens.^6(*)

Mais la sécurité ne doit pas être seulement comprise comme fondement des mécanismes juridiques car il s'agit aussi d'un facteur d'impulsion de ces mesures, et c'est sans doute sur ce point que l'exigence de sécurité déploie le plus activement ses effets. Ceci revient à dire que traiter la sécurité uniquement sous l'angle des normes juridiques positives conduirait à omettre un point important en ce que la sécurité est ouvertement invoquée dans le discours "métajuridique". Ainsi il est presque inutile de s'interroger ici sur la validité juridique du principe de sécurité, car il suffit de se placer sur un autre niveau d'analyse, certes plus politique, pour découvrir que la sécurité est un élément très présent et qui exerce une certaine influence sur le choix des règles positivées. C'est en ce sens que l'on peut parler du paradigme de la sécurité comme l'une des valeurs de références dans l'orientation de ces choix.

Par ailleurs, le cas des données personnelles n'est plus considéré comme un "univers clos" dans lequel le droit au respect de l'intimité de la vie privée empêche toute intrusion extérieure. Ceci s'explique avant tout parce qu'il devient de plus en plus difficile de tracer des frontières étanches et bien délimitées alors que le développement fulgurant des nouvelles technologies de l'information et de la communication, notamment de l'Internet, favorise au contraire l'échange d'informations de toute nature sur un réseau démultiplié. Ceci conduit à renforcer l'aspect "mercantile" de ces données même s'il n'est pas question en l'état actuel d'en faire de véritables marchandises. C'est d'ailleurs dans ce contexte qu'est intervenue la directive communautaire de 1995 dont l'intitulé est assez significatif puisqu'il mentionne la "libre circulation de ces données".^7(*) D'autre part, on constate que les données personnelles constituent un instrument qui peut servir à la lutte contre la délinquance et la criminalité. En effet, l'analyse des risques potentiels pour la sécurité, l'instruction des enquêtes judiciaires, ou encore la coopération policière et judiciaire entre plusieurs États nécessitent que puissent être traités des fichiers contenant des informations, en l'espèce des données à caractère personnel. Certes, la directive précitée ne vise pas ce type de traitement des données, elle exclue le maintien de la sécurité de son champ d'application, mais on peut considérer que ses dispositions exercent une certaine influence sur cette question dans la mesure où elle s'inspire essentiellement de la Convention 108 du Conseil de l'Europe de 1981. Et la France a transposé cette directive dans son ordre interne, moins pour répondre à l'objectif fixé de garantir un niveau élevé de protection, que pour mettre en conformité ses normes s'agissant des flux transfrontaliers de ces données.

En ce qui concerne le niveau de protection des données, on peut dire que la France a mis en oeuvre un ensemble de normes plutôt rigoureuses sur ce plan, ou à tout le moins similaires à celles élaborées par les institutions communautaires.

C'est pourquoi on peut penser qu'il est plus intéressant de centrer nos interrogations sur la dynamique systémique en France en matière de traitement des données personnelles, et c'est en ce sens que l'on est conduit à examiner l'impact des exigences sécuritaires, en tenant compte de l'"environnement européen" au sens large. Cela implique que l'on s'appuie sur les outils pertinents que nous fournit l'appareil juridique français, que ce soit ou non en réponse aux instruments juridiques élaborés à l'échelle européenne. Plus précisement, ce sont principalement les textes adoptés depuis 1978 et aussi l'activité de la CNIL face à la pratique du traitement des données personnelles qui peuvent nous éclairer sur ces tendances. Et dans une moindre mesure la jurisprudence et la doctrine peuvent également apporter des précisions importantes.

Autrement dit, il ne s'agit pas d'analyser la protection des données personnelles en tant que telle mais de mettre en évidence le mouvement de l'ensemble de ce système. Dès lors, il est clair que notre étude n'a pas pour objet de recenser la multitude de règles et de principes régissant la matière mais au contraire de dégager les traits directeurs à la base de la construction de ce système. Et dans cette optique, il faut retenir que notre analyse ne peut prétendre à l'exhaustivité car, comme on l'a vu précedemment, la question des données personnelles a la particularité de transcender les catégories traditionnelles du droit, et dépasse même les frontières de l'univers juridique dans une certaine mesure. Pour ainsi dire, notre analyse de la protection des données personnelles dans l'ordre juridique français est en quelque sorte une analyse des logiques qui président au système.

Dès lors, au vu de ces différents éléments témoignant de l'importance du paradigme sécuritaire et de la perspective libérale imprimée au sein de l'espace européen, notamment par l'Union Européenne, il devient difficile pour la France d'isoler son système juridique en matière de données à caractère personnel. C'est ainsi que l'on peut se poser la question des interactions et de la réception de ces paramètres en France, et donc de l'évolution qu'induit ou non ces impacts. Dans quelle mesure la protection des données personnelles se trouve-t-elle affectée par les considérations sécuritaires ? Plus exactement, face à l'ensemble d'exigences relativement nouvelles, peut-on dire que la protection des données, socle fondateur du système depuis 1978, demeure le principe consolidé et effectivement garanti ?

On peut considérer que le système français en matière de données personnelles fait oeuvre d'une certaine évolution dans la mesure où il tend à adapter ses instruments juridiques à des exigences qui proviennent essentiellement de la Communauté européenne, et plus générallement d'une dynamique ambiante prônant un renouveau paradigmatique. Mais il n'en demeure pas moins qu'en France l'évolution à l'oeuvre ne peut être qualifiée de véritable révolution puisqu'elle n'implique pas de métamorphoses profondes des principes qui sous-tendent ce système. Dès lors, si on peut avancer que les différents ajustements mis en oeuvre dans le domaine des données personnelles traduisent une certaine évolution de ce système ( I ), on peut également considérer qu'il n'est pas pertinent d'y voir une révolution en ce sens que ces aménagements ne remettent pas en cause les fondements propres au système français en matière de données personnelles. ( II )

Partie I : Le processus d'ajustement du modèle français à des exigences exogènes.

Une analyse du système français en matière de données personnelles nous conduit à observer une certaine évolution, à défaut d'une mutation, qui se traduit par un mouvement d'ajustement des règles juridiques face à des exigences auxquelles le système accorde une importance accrue. De ce point de vue, on peut parler d'une réevaluation du régime juridique du traitement des données personnelles dont la France entend se prévaloir à l'aune des exigences émergentes, notamment de la Communauté européenne, point de référence majeur. Et à cet égard, ce sont essentiellement l'intégration communautaire et ses implications en termes de liberté de circulation ( A ), et le paradigme de la garantie de la sécurité par la maîtrise du risque et de l'incertain qui déplacent les lignes jusqu'alors établies en France dans ce domaine des données relatives aux personnes. ( B )

A. L'intégration communautaire comme vecteur de "libéralisation" des informations.

On peut observer que la France s'inscrit dans la dynamique de l'intégration communautaire, laquelle prend une dimension de plus en plus importante dans la production des normes juridiques. C'est dans ce cadre que la France est conduite à redéfinir certains aspects de son système de traitement des données à caractère personnel au regard des exigences de l'intégration, et notamment en ce qui concerne la suppression des entraves à leur libre circulation. Aussi peut-on constater dans ce domaine, un véritable impact du principe de libre circulation des données, avec une transposition ou une assimilation de ce principe à travers certaines déclinaisons.

Chapitre 1 : Les données personnelles face au principe de libre circulation.

Certes, les données personnelles constituent une catégorie particulière d'informations dans la mesure où elles sont susceptibles d'affecter la vie privée des individus, il n'en demeure pas moins qu'elles ont une portée informative et à ce titre doivent pouvoir être l'objet de transferts, notamment au sein de l'espace de la Communauté européenne dans lequel le principe de liberté de la circulation des personnes, des marchandises et des capitaux constitue un élément fondamental à la base de la construction européenne. L'intégration communautaire fonctionne en effet essentiellement autour de ce principe de libre circulation. Or, la Communauté européenne considère que la circulation des données personnelles est en quelque sorte "accessoire" à celle des personnes et des marchandises au sens où elle y est nécessairement attachée, et dès lors limiter ou resteindre le transfert des données c'est "par ricochet" limiter la libre circulation des personnes et des marchandises. On retrouve clairement ce type de raisonnement aux termes des dispositions de la directive communautaire de 1995, ce texte affirme explicitement que le marché intérieur a vocation à intensifier les relations économiques entre les différents opérateurs publics ou privés, c'est pourquoi il convient de garantir une fluidité suffisante dans la circulation de données à caractère personnel afin de ne pas créer une restriction des activités commerciales entre les États membres, certaines données étant des informations nécessaires à toute transaction d'ordre commercial.^8(*) Cette directive a donc pour objet d'inciter à la simplification et à l'ouverture des appareils juridiques étatiques aux flux transfrontaliers des données personnelles, en particulier dans l'espace intracommunautaire.

Et on peut observer que ces considérations n'ont pas été sans incidences à l'égard de la France qui s'efforce de s'approprier ces exigences provenant de la logique intégrative de la Communauté européenne. En ce sens, un processus d'ajustement se met en oeuvre en France afin de retranscrire cet impératif de libéralisation des données dans son système. Sur ce point, on doit souligner un alignement du système français en matière de traitement des données personnelles sur le modèle communautaire tel que développé à travers la directive précitée. En effet, à l'instar de ce que prévoit ladite directive, on constate que la tendance générale qui se met en oeuvre en France suit un mouvement à double sens, à savoir la réduction des contraintes et des obligations liées au traitement des données personnelles et l'assurance de transparence au profit de la personne concernée face au traitement des données la concernant.^9(*)

Tout d'abord, rappelons que l'évolution à l'oeuvre sous l'impulsion de la Communauté européenne et de la dynamique de l'intégration consiste à favoriser les flux transfrontaliers des données personnelles, c'est à dire appliquer aux informations, ou plus précisement aux données à caractère personnel le principe de liberté de circulation. Dans cette perspective, on peut observer que la France agit en faisant en sorte d'assimiler les mesures dégagées par la Communauté, ou du moins certaines mesures qu'elle entend s'approprier pour conférer à son règime juridique les ajustements nécessaires. L'illustration la plus significative de cette tendance est sans doute la suppression des entraves à la libre circulation des données car pour que les données puissent ainsi transiter, il convient avant tout d'exclure ou de limiter ce qui est de nature à bloquer ou à restreindre une telle liberté. Or, c'est précisement l'un des objets principaux de la directive qui vise notamment à encadrer l'obligation de notification préalable à l'autorité de contrôle. C'est dans ce sens que s'inscrit son article 18 qui ne prévoit aucunement l'absence d'obligation pesant sur le responsable du traitement des données, mais qui atténue cette obligation dans la mesure où elle peut tout à fait faire l'objet d'une simplification ou même d'une dérogtion dès que certaines conditions sont réunies. Il s'agit bien ici d'une norme qui, en raison de l'exigence de libre circulation à laquelle la Communauté entend aboutir, s'attache à développer un système de notification qui ne devienne pas un "mécanisme d'obstruction", et c'est pourquoi elle estime que la notification doit présenter un caractère obligtoire jusqu'à une certaine mesure. En substance la Communauté estime qu'il est important de réduire considérablement cette obligation de notification dès lors qu'il s'agit pour le responsable du traitement d'utiliser des données personnelles qui, en raison de leur nature et de l'objet du traitement dont il est question, ne sont pas susceptibles de porter une atteinte à l'un des droits ou libertés protégés par l'autorité de contrôle. Dans un tel cas de figure, il reviendrait simplement à ce responsable de traitement la charge de préciser « les finalités des traitements, les données ou catégories de données traitées, la ou les catégories de personnes concernées, les destinataires ou catégories de destinataires auxquels les données sont communiquées et la durée de conservation des données. »^10(*) Il est clair que cette mesure s'inscrit dans la logique de l'intégration communautaire qui vise à favoriser le développement d'un marché unique au sein d'un espace sans frontières dans lequel la circulation des personnes, des biens et des services s'exerce librement dans la mesure du possible. Un allégement des formalités préalables au traitement de données personnelles est en effet un élément qui permet d'atténuer les obstacles qui s'opposent à la souplesse des flux transfrontaliers de telles données, lesquelles portent sur une personne envisagée ici comme un opérateur économique. Il est en effet difficile de concevoir la réalisation d'échanges commerciaux ou d'activités économiques sans un échange minimum de données à caractère personnel qui permettent aux agents économiques de s'identifier mutuellement.

C'est dans cette perspective bien particulière que la France fait montre d'une certaine évolution dans le régime juridique qu'elle confère au traitement des données personnelles. Et cette évolution consiste précisement en une appropriation des exigences ainsi développées par la dynamique de l'intégration communautaire, c'est à dire ici l'idée selon laquelle la libre circulation des données, exigence fondamentale pour l'achévement d'un marché unique, suppose un assouplissement du règime juridique du traitement des données personnelles. On observe que la France s'est attachée à transcrire cette exigence dans son système juridique et ce, notamment à travers l'intervention du législateur en 2004. La loi du 6 août 2004 traduit clairement l'ajustement du régime juridique du traitement des données personnelles à la tendance imprimée par la directive communautaire de 1995. Cet ajustement ayant notamment pour objet de remanier le mécanisme de contrôle préalable à l'exercice de traitements de données, en l'espèce des formalités requises auprès de la CNIL en vue de satisfaire une telle demande. C'est ainsi que l'article 24 de la loi du 6 janvier 1978, tel qu'il résulte de la nouvelle loi de 2004, intègre explicitement la mesure issue de l'article 18 de la directive précitée. Et elle ne manque pas de bien préciser qu'il s'agit des « catégories les plus courantes de traitements de données à caractère personnel, dont la mise en oeuvre n'est pas susceptible de porter atteinte à la vie privée ou aux libertés », ce qui témoigne de sa tendance à l'assimilation de l'exigence communautaire puisqu'elle détermine clairement le principe selon lequel dans une telle hypothèse, une simplification de l'obligation de déclaration s'impose.^11(*) C'est pourquoi elle enjoint la CNIL d'élaborer des normes visant à garantir cet assouplissement procédural, et dans ce cadre le législateur français reprend largement les différentes lignes directrices jugées incontournables aux termes de la directive, telles que les finalités du traitement ou encore la durée de conservation des données. Dans le prolongement de sa logique de réception des exigences communautaires, la France admet également que le traitement puisse faire l'objet d'une dispense d'obligation de déclaration, permettant au responsable dudit traitement de se soustraire à toute formalité préalable auprès de la CNIL.^12(*) Il revient encore à la CNIL de fixer les types de traitements de données personnelles auxquels elle n'attache aucune obligation de déclaration.

Dans le même ordre d'idées, on peut voir que l'évolution qui se produit au sein du système français consiste aussi à favoriser la circulation des données à travers une exigence parallèle à l'assouplissement des conditions de traitement des données, il s'agit ici de l'idée selon laquelle l'interessé doit pouvoir exercer un certain encadrement de ce traitement. En effet, cette idée repose sur le postulat selon lequel les données personnelles ne peuvent circuler librement que dans la mesure où les intéressés disposent d'une certaine confiance sur l'utilisation de leurs données.^13(*) Ce qui signifie que l'on permette aux individus concernés d'être tenus informés de tout élément utile à propos du traitement de données effectué ou envisagé, c'est une perspective plutôt subtile dans la mesure où elle permet de garantir une certaine transparence dans l'utilisation des données personnelles sans recourir à des mécanismes qui s'exercent a posteriori tel le droit d'accès ou le droit de rectification. La logique privilégiée est celle qui consiste à assurer les moyens de cette transparence, nécessaire à la libre circulation des données, antérieurement au traitement, en vue d'optimiser la confiance des individus impliqués par la circulation des données les concernant.

C'est dans cet esprit que la loi de 2004 a également eu pour objet d'apporter certains aménagements en la matière, et il s'avère que le raisonnement retenu par la France sur ce point suit largement les prescriptions de la directive. On peut donc encore y percevoir une assimilation des exigences qui se rattachent à l'intégration communautaire. Plus précisement on peut relever un point important qui est significatif de cette tendance, il s'agit du droit d'information à la disposition de la personne concernée par le traitement en cause. A cet égard, on peut observer que l'innovation essentielle tient en ce que le corpus juridique élargit substantiellement les informations liées au traitement des données que le responsable est tenu de communiquer à la personne concernée elle-même. Plus exactement, ce sont des informations qui doivent être portées à la connaissance de l'intéressé, qu'il s'agisse de données recueillies directement ou indirectement.

En effet, le système juridique français pose désormais une obligation bien plus détaillée par laquelle le responsable de tels traitements est tenu de délivrer des informations à la personne qui fait l'objet d'une collecte de données la concernant. Alors que cette obligation était déjà prévue dans le cadre des dispositions de la norme fondatrice de 1978^14(*), elle ne visait que certains points essentiels, pour ainsi dire nécessaires compte tenu de la fonction et de l'objet même de toute collecte de données personnelles. Ainsi par exemple concernant le caractère obligatoire ou facultatif des réponses sollicitées et des conséquences éventuelles pour la personne concernée dans l'hypothèse d'un défaut de réponse, ou encore s'agissant des destinataires des informations. Cette obligation est ainsi maintenue mais elle est surtout substantiellement élargie par l'introduction de nouvelles informations à la charge du responsable du traitement, et on peut relever à cet égard notamment l'obligation d'informer sur l'identité du responsable du traitement, et celle de renseigner sur la finalité poursuivie par le traitement en cause. Ce sont deux prescriptions prévues aux termes de l'article 32, qui consistent à apporter une information transparente au bénéfice de la personne concernée dans la mesure du possible, et à cet effet ces deux nouvelles prescriptions se dirigent sur des points qui peuvent tout à fait lever les obstacles à la communication des données, et par là même à leur circulation, car celle-ci suppose que la personne concernée puisse connaître les conditions d'utilisation des données recueillies. Il s'agit bien du principe auquel tend l'obligation d'indiquer l'identité du responsable dudit traitement ainsi que la finalité à laquelle est destinée ce traitement, les données personnelles recueillies sont ainsi communiquées avec la certitude de connaître des éléments aussi importants que le responsable des actes opérés effectivement au titre du traitement des données personnelles mais également la finalité recherchée par l'utilisation des données, c'est à dire l'objectif précis du traitement. La symétrie qui existe entre la loi française et la directive communautaire est très significative de l'ajustement opéré en France à l'aune des exigences issues du droit de l'intégration communautaire, le parallèle entre l'article 10 de la directive et l'article 32 precité de la loi française révèle l'importance accordée à l'existence d'une information claire et détaillée.

Par ailleurs, l'obligation mise à la charge du responsable du traitement se trouve accompagnée d'un droit à l'information que l'intéressé peut exercer à sa demande dès lors qu'il justifie de son identité. Cet aménagement mis en place confirme l'importance que le système français reconnaît à l'idée selon laquelle l'individu concerné doit pouvoir connaître une série d'éléments afin que la transparence du traitement soit aussi complète que possible. Cette évolution normative peut s'analyser comme la réception du modèle communautaire, en toute hypothèse sur ce point la France s'approprie cette exigence se rapportant à l'information de l'intéressé, laquelle doit être effective. L'article 39 prévoit en effet une liste d'éléments qui, indépendamment des indications devant être obligatoirement délivrées, peuvent être fournis à la demande de la personne concernée. Il s'agit essentiellement d'un mécanisme visant à compléter l'obligation qui lie le responsable du traitement par une faculté à la disposition de l'intéressé qui peut exercer lui-même son droit à l'information. Cette faculté à la disposition de l'intéressé s'exerce en vue d'obtenir certaines informations qui visent également à assurer une certaine transparence au traitement envisagé. Parmi celles-ci, on peut souligner des informations telles que les finalités du traitement, les catégories de données qui font l'objet du traitement, la communication sous une forme accessible des données la concernant ainsi que leur origine. Retenons que cette disposition admet un large champ en la matière et ce, dans l'optique de garantir l'effectivité de l'information dont doit bénéficier la personne concernée.

Dès lors, au vu de ces différents éléments on peut considérer que la libre circulation des données personnelles, exigence développée par la Communauté européenne, constitue bien un facteur d'évolution à l'égard des principes régissant le traitement des données personnelles dans le "modèle français", du moins dans une certaine mesure. Et une évolution de ce modèle est également à l'oeuvre en raison de l'impact du principe de disponibilité.

Chapitre 2 : Les données personnelles face au principe d'accessibilité.

La Communauté européenne crée une impulsion qui a un véritable impact sur le "modèle français" en matière de traitement des données personnelles dans la mesure où se manifeste une tendance à la "libéralisation" des données. Et cette tendance repose sur la dynamique classique de libre circulation au sens des flux transfrontaliers nécessaires à la réalisation du marché unique, mais aussi sur une dynamique qui ne relève pas de l'intégration communautaire proprement dite, il s'agit du principe de disponibilité dont la vocation est d'assurer la libre circulation des données dans l'optique de la coopération des services répressifs des États membres. Ceux-ci estiment en effet que la libre circulation des données personnelles doit pouvoir aussi se décliner dans le cadre des activités régaliennes liées à l'ordre public et à la répression pénale des infractions. Ce principe revêt une importance particulière, notamment en raison de la volonté d'établir un espace de coopération policière et judiciaire en matière pénale.^15(*)

On peut se reporter aux articles 29 et 30 du Traité sur l'Union Européenne qui traduisent une tendance novatrice de la construction européenne. L'Union européenne ne se réduisant plus uniquement à sa dimension économique, elle aspire à constituer un véritable espace de "liberté, de sécurité et de justice" à travers la mise en oeuvre d'une coopération étroite entre les autorités de police et de justice des États membres afin de parvenir à cet objectif. Ainsi, s'agissant des données personnelles, l'exigence soulignée par les États membres est bien de permettre une disponibilité des informations, c'est à dire de les rendre accesibles entre les autorités compétentes dès lors que ces informations sont détenues par les services d'un autre État membre. C'est dans ce souci que le Conseil de l'Union européenne a émis la proposition de décision-cadre du 12 octobre 2005^16(*) qui met en évidence que la coopération des autorités de police et de justice appelle notamment une disponibilité des données à caractère personnel dans une certaine mesure. Ce texte bien moins contraignant que la directive communautaire de 1995 s'affirme, au demeurant, comme une référence importante permettant une certaine impulsion dans une matière régalienne, autrement dit très marquée par la logique de souveraineté propre à l'État.

Le principe majeur qui ressort de cette proposition à l'égard des données à caractère personnel consiste à favoriser leur accessibilité en vue de les rendre disponibles, de nature à comporter un effet utile au service de la coopération des autorités répressives des États membres. Et de ce point de vue, il est clairement envisagé d'assurer une suppression des obstacles à leur libre circulation dans une certaine mesure. Il s'agit ici de conjuguer plusieurs impératifs afin que la coopération en la matière soit suffisament efficace sans qu'elle ne porte préjudice à la protection nécessaire des données personnelles. Ces exigences sont ainsi posées au centre du dispositif de la proposition, notamment avec les considérants 5 et 6, ce qui ne manque pas de rappeller la logique que sous-tend la directive communautaire de 1995.

C'est pourquoi l'article 6 met en oeuvre une obligation suivant laquelle tout État membre est tenu de prendre les mesures nécessaires afin de fournir les informations dont les autorités compétentes équivalentes d'un autre État membre et Europol ont besoin pour l'accomplissement de leur activité légale. Cette obligation fait l'objet d'un certain encadrement car il est question de limiter ce mécanisme selon un principe de proportionnalité et de nécessité.^17(*) Il s'agit d'assurer dans une certaine mesure la libre circulation des données à caractère personnel par leur accessibilité dès lors qu'elle est susceptible de permettre l'efficacité de la coopération pénale des États membres. Or, dans un domaine aussi important que la préservation de l'ordre public lato sensu au sein d'un espace dépassant le cadre national, on peut aisément comprendre que l'évolution du régime juridique français suppose de se reporter à des instruments internationaux auxquels elle est partie car la dimension de coopération est ici omniprésente. Autrement dit, des conventions internationales spécifiques permettent de souligner cette évolution à l'oeuvre en France, et c'est ici une singularité par rapport à l'évolution qu'implique l'intégration communautaire dans sa dimension économique, laquelle s'est opérée "directement" dans l'ordre interne à travers la transposition de la directive.

A cet égard, on peut souligner que la France a conclu le traité de Prüm en 2005^18(*), également appelé "Schengen plus", lequel vise à renforcer la coopération en la matière. Certes, ce traité n'est pas exclusivement consacré à la question des données à caractère personnel mais on peut observer qu'elle joue un rôle très important dans la coopération recherchée, comme en témoigne l'article 1er qui énonce le principe général selon lequel la coopération transfrontalière doit être mise en oeuvre notamment à l'appui de l'échange d'informations. Indépendamment des modalités de cette coopération, les États parties expriment ici la tendance à inscrire l'échange d'informations dans le cadre de leur coopération. Plus particulièrement, la convention vise en ses articles 3 à 5 à permettre l'accessibilité des profils ADN en vue d'une consultation et d'une comparaison automatisées. Il s'agit de données indexées ne comportant aucune information nominative qui permettrait d'identifier directement la personne concernée.^19(*) Et sur la base de cet échange d'informations par comparaison des données indexées, la partie requérante peut solliciter la transmission d'autres données à caractère personnel dès lors qu'il s'avère que ladite comparaison est concordante. Ainsi sous réserve du respect de ces deux phases du processus de coopération, les États membres peuvent in fine accéder à des données à caractère personnel, même nominatives, afin d'accomplir leur mission de constatation et de répression des infractions pénales. C'est ici une évolution remarquable pour la France et pour les autres parties contractantes dans la mesure où le principe de souveraineté se trouve assorti d'une limitation suivant laquelle l'État membre est tenu de constituer une base automatisée de données indexées en référence à un fichier d'analyse ADN et ce, afin d'assurer pour les autres parties la faculté de la consulter au cas par cas dès lors que l'une d'entre elles aurait besoin de procéder à une comparaison. Et ce même mécanisme est prévu à l'égard des données dactyloscopiques, à savoir les empreintes digitales d'individus, les articles 8 à 10 du traité leur reconnaissant un régime largement similaire à celui des profils ADN.

Dès lors, il faut bien comprendre que la logique ainsi suivie par la France répond à une idée plutôt subtile à certains égards. L'idée directrice consiste à permettre l'efficacité d'une coopération en matière pénale, notamment à travers l'échange d'informations et ainsi des données à caractère personnel dans la mesure du possible, ce qui peut s'analyser comme l'objectif d'opérer la libre circulation des données car la transmission et la consultation de données équivaut dans une certaine mesure à une circulation. Or, c'est précisement en raison de cette finalité que la France ajuste son modèle en s'appropriant l'exigence de disponibilité dégagée notamment par le Conseil de l'Union dans sa proposition de décision-cadre précitée. En effet, la France a adopté le traité de Prüm dans cette optique puisque l'un des moyens de favoriser cette circulation des données est de s'appuyer sur un principe de disponibilité dans la mesure où l'obstacle principal réside dans la faculté discrétionnaire laissée à l'État quant à l'opportunité de délivrer les informations nécessaires. Il faut savoir que dans le domaine de la coopération policière au niveau européen, la France était soumise essentiellement au régime de la convention d'application de l'accord de Schengen de 1990 qui, en son article 39, ouvrait la possibilité de l'échange d'informations sans poser une véritable obligation à la charge de l'État requis.^20(*) Désormais la France dispose des instruments juridiques pour développer sa coopération en la matière puisque l'adoption du traité de Prüm de 2005 confère à ce mécanisme un caractère obligatoire dès lors que certaines conditions sont observées.

Dans le même ordre d'idées, la circulation des données ainsi visée ne peut être assurée par le principe de disponibilité que si ce principe s'incorpore dans un cadre de transparence et de confiance légitime. Pour que cette obligation de rendre disponible certaines données personnelles aboutisse effectivement à leur libre circulation, il est essentiel que cette disponibilité ne soit pas de nature à porter préjudice à d'autres intérêts importants tels que la protection des droits fondamentaux et des libertés fondamentales des personnes dont les données sont traitées, ou le bon déroulement d'une enquête en cours. Il est évident que le principe de disponibilité trouve une limite certaine dans ces différentes hypothèses, dès lors il convient de laisser une marge de manoeuvre aux autorités compétentes requises, et c'est la raison pour laquelle l'article 14 de la proposition de décision-cadre énumère une liste de motifs qui peuvent justifier le refus de transmettre les informations demandées. On peut retenir plus particulièrement le motif de refus fondé sur des considérations liées à la protection des libertés et des droits fondamentaux des personnes concernées par les données traitées, il s'agit d'un principe qui rejoint tout à fait le sens imprimé par la Convention de 1981.^21(*) Et de ce point de vue, le traité de Prüm s'inscrit dans ce sens car l'article 34 prévoit explicitement que « concernant le traitement de données à caractère personnel transmises [...] chaque Partie contractante garantit dans son droit national un niveau de protection des données correspondant au moins à celui résultant de la Convention du Conseil de l'Europe du 28 janvier 1981 », ce qui témoigne de l'ajustement du modèle français, en l'espèce par coopération avec les États parties, en vue de donner une pleine effectivité à ce principe de disponibilité.

Dans cette perspective, on peut affirmer qu'il existe une tendance à la libéralisation des données à caractère personnel dès lors que l'on comprend la libéralisation comme un mouvement visant à favoriser la libre circulation. Il est clair que cette exigence est étroitement liée à l'impulsion de la construction européenne et notamment à la dynamique de l'intégration communautaire dans le champ socio-économique, mais on voit ici que cette exigence a également émergé dans le domaine de la coopération pénale. Certes, à première vue l'évolution du régime juridique en matière de données personnelles dans le système français est sans doute moins perceptible en ce qui concerne l'accessibilité des données au service de la coopération pénale interétatique, mais il n'en demeure pas moins qu'une évolution y est à l'oeuvre. En effet, même si le cadre normatif posé par le texte de référence de 1978 n'a pas fait l'objet d'un aménagement de ce point vue, ce qui prima facie peut laisser penser à un statu quo, il faut bien comprende que les ajustements se sont opérés au delà de ce cadre classique puisque ce sont essentiellement des traités, auxquels la France a adhéré, qui traduisent cette évolution. D'ailleurs cette particularité peut s'expliquer par la spécificité de l'objet en cause c'est à dire le champ pénal sous l'angle de la coopération transfrontalière, une telle matière implique que la France ajuste son modèle avec des conventions internationales. Le traité de Prüm de 2005 en est l'illustration la plus significative dans la mesure où l'on retrouve l'exigence d'accessibilité des données personnelles au centre des mécanismes de coopération en ce domaine. Par ailleurs, l'évolution du modèle français se traduit également par l'ajustement à des exigences exogènes émergentes prônant la solution de l'identification face à l'incertitude et au risque.

B. Les données personnelles sous l'impact du paradigme de la maîtrise des risques par l'identification.

Si l'exigence de libéralisation des données personnelles, provenant notamment de la Communauté européenne, a eu un certain impact faisant évoluer des points importants du modèle juridique français en matière de données personnelles, un mouvement analogue s'opère en ce sens que le système juridique français intégre de plus en plus un paradigme relativement récent, à savoir l'identification garantie par les données personnelles servant d'outil en vue de maîtriser le risque, lequel peut prendre des formes tout à fait diverses. L'évolution consiste ici à assimiler dans le modèle français des exigences novatrices faisant des données personnelles, un instrument de contrôle a priori "privilegié".

Chapitre 1 : L'essor de la logique d'exception dans le cadre des données personnelles.

Avant tout, un constat préalable s'impose car comme le souligne à raison Sylvia Preuss-Laussinotte, on ne peut ignorer un basculement dans un univers de « précaution »^22(*) dans lequel il ne s'agit plus tellement de suivre le mouvement des individus mais bien davantage d'anticiper les comportements "à risque". Et ceci n'est pas sans lien avec le développement d'un renouveau des concepts et des principes liés au maintien de la sécurité nationale et internationale, notamment depuis les attentats terroristes du 11 septembre 2001, événement ayant sans doute agi comme un "catalyseur" à cet effet. Ces éléments ne sont pas sans importance du point de vue de l'analyse juridique car à certains égards le droit s'inscrit dans une représentation axiologique déterminée qu'il convient de prendre en compte.^23(*) Ainsi il ressort manifestement une tendance visant à contrôler le risque par la certitude de l'identification et ce, notamment sous l'impulsion du système juridique des États-Unis mais également avec les avatars de ce modèle au sein de l'Union européenne. Or, il apparaît que ces modèles ont institué une logique d'exception par laquelle une asymétrie fondamentale est opérée entre un régime des données personnelles de droit commun et un régime "sui generis" spécifiquement destiné à une ou plusieurs catégories d'individus ou groupes d'individus, à des fins également spécifiques. On peut souligner que le droit imprime une telle logique essentiellement dans le domaine des fichiers de sécurité.

Et la France tend progressivement à s'inscrire dans cette évolution puisque son système juridique s'approprie de plus en plus la logique d'exception. A ce propos, on doit préciser qu'il ne faut pas entendre la logique de l'exception ainsi évoquée au sens des circonstances exceptionnelles telles qu'elles existent par exemple dans le système juridique français. Cette hypothèse qui est en règle générale prévue dans la Constitution, n'a pas tout à fait la même signification que la logique d'exception que l'on vise à faire ressortir dans notre étude. En effet, il faut comprendre qu'à la différence de l'hypothèse de circonstances exceptionnelles, la logique d'exception ne procéde pas à la suspension du droit commun, autrement dit elle n'affecte pas son applicabilité, elle vise substantiellement à déroger au droit commun applicable par le changement, l'adjonction ou le retrait d'éléments. C'est pourquoi l'on retient ici une notion de "logique d'exception" qui s'inspire certes de la situation d'état d'exception^24(*) dans la mesure où elle aboutit à contourner la mise en oeuvre du droit commun, mais elle ne procède pas de la même manière. A cet égard, on peut relever plusieurs éléments qui témoignent d'une évolution progressive du droit français vers la logique exceptionnaliste en matière de données à caractère personnel.

A cet égard, on peut observer que la France connaît de plus en plus un certain "morcellement" dans le régime juridique lié à la protection des données personnelles car en fonction de la l'objet ou la finalité du traitement ou encore en fonction du type d'individus visé, le droit peut introduire certaines dérogations. Si l'on se place du point de vue de la lutte anti-terrorisme, cette logique est tout à fait perceptible, et l'ajustement du système français face aux exigences définies dans le domaine des flux de passagers aériens, plus connu sous l'expression Passenger Name Record ou PNR désignant les fichiers crées par les compagnies aériennes de transport lors des réservations de voyage des passagers, montre bien l'essor de cette logique en France. En effet, la France a adopté un dispositif législatif en 2006 visant à adapter son système juridique en vue du maintien de la sécurité dans l'optique notamment de la lutte contre le terrorisme.^25(*) Et sur ce plan, on peut observer que le législateur français s'est largement inspiré de la directive 2004/82/CE du Conseil du 29 avril 2004 concernant l'obligation pour les transporteurs de communiquer les données relatives aux passagers, et dans une moindre mesure de l'Accord de mai 2004 conclu entre l'Union européenne et les États-Unis. On retrouve cette logique de l'exception dans la mesure où les données personnelles peuvent faire l'objet d'un traitement dès lors que la personne visée se trouve dans le cas de figure d'un passager aérien, et ce traitement peut être exercé dans des conditions qui dérogent au régime commun de protection. Ainsi, par exemple la licéité du traitement telle que régie par la loi de 1978 se voit accompagnée des exceptions prévues par les exigences relevant des motifs de lutte contre le terrorisme. Ce n'est pas tellement eu égard au contenu des données traitées que l'exception déploie ses effets en France car les données sensibles demeurent l'objet d'une protection fondamentale, ce sont essentiellement la proportionnalité et la durée de l'utilisation qui témoignent de l'ajustement français à la logique exceptionnaliste car désormais l'obligation de communiquer ces données aux autorités du maintien de la sécurité compétents est systématique, dénué de tout principe de nécessité effective, s'agissant des dossiers de passagers aériens, et cette communication des données permet une utilisation largement étendue du point de vue de la durée légale du traitement. Le principe d'adéquation et de licéité du traitement des données prévaut au titre de l'article 6 de la loi de 1978, ce qui signifie que la pertinence et l'opportunité du recours au traitement ainsi que sa durée ne doivent pas excéder ce qui est nécessaire et proportionné au regard de la finalité du traitement envisagé, or cette licéité conditionnée par rapport à la situation effectivement de nature à justifier le traitement en cause est complétement ignorée dans le cadre de ces données relatives notamment au cas des passagers aériens dont les données doivent être automatiquement délivrées et ce, pour une période d'utilisation in abstracto fixé à cinq ans.26(*) C'est bien l'illustration d'une logique d'exception que le système juridique français intégre progressivement pour des hypothèses déterminées, en l'espèce au cas des passagers aériens sur le fondement des exigences de sécurité liées au terrorisme.

Par ailleurs, parallèlement à ces exigences fondées sur la particularité de la question du terrorisme, on retrouve cette logique à l'oeuvre dans le cadre de certains fichiers relatifs aux infractions pénales, et de ce point de vue c'est notamment la tendance imprimée par l'espace Schengen qui affecte le régime français. L'espace Schengen repose notamment sur un vaste système d'informations qui favorise la coordination des autorités et services qui traitent des informations et des données à caractère personnel, notamment des agents des autorités policières et judiciaires. Si l'efficacité est au centre des objectifs poursuivis par ce système, il faut admettre qu'il repose moins sur une structure d'ensemble ordonnée que sur la démultiplication des systèmes d'informations avec un véritable « morcellement des protections » selon la formule de Sylvia Preuss-Laussinotte.27(*) La logique de l'exception s'affirme en France également dans ce domaine, bien qu'encore de façon progressive, on constate en effet une émergence du principe speciala generalibus derogant à travers la constitution de fichiers de données personnelles qui, en raison de leur finalité très spécifique principalement destinée à l'identification des personnes considérées potentiellement dangereuses, présentent des points de dérogations vis-à-vis du régime juridique ordinaire. On peut relever un type de traitement dans lequel on retrouve ce caractère exceptionnel de façon assez significative, il s'agit des données traitées dans le cadre du Système de Traitement des Infractions Constatées, connu comme le STIC.28(*) La France a consacré la mise en oeuvre de ce système de fichage en vue de traiter des données à caractère personnel, ce système fonctionne tel un "mégafichier" de police servant à identifier des individus en fonction d'indices ou d'éléments graves et concordants attestant leur participation à la commission de certaines catégories d'infractions dont l'énumération est fixée par décret. Il apparaît qu'en 2003 la loi pour la sécurité intérieure a entendu s'adapter à l'essor de ce paradigme de l'identification comme garantie de la sécurité, et c'est dans cette optique que s'est greffée la logique d'exception car si l'on analyse les innovations issues de cette norme, on peut observer que la particularité présente consiste à contourner certaines conditions de licéité en retenant un principe plus large quant à la faculté de recueillir et de traiter de tels données. En effet, concernant les éléments qui peuvent justifier à bon droit ce type de traitement, ladite loi substitue la condition selon laquelle ces éléments doivent attester d'une participation à la commission d'une de ces infractions par une condition qui n'exige qu'une participation "rendue vraisemblable".29(*) De plus, cette même disposition prévoit que le traitement en cause peut viser des données concernant ces personnes sans limitation d'âge. Ainsi, même si cela apparaît moins clairement que pour les données PNR, on retrouve cette logique de l'exception avec la particularité du STIC qui est un type de traitement répondant à une exigence d'identification autour de considérations sécuritaires, et dont la licéité du recours s'appuie sur une dérogation aux conditions restrictives communes de nécessité et de proportionnalité. La finalité de ce type de traitement étant de recueillir des données personnelles afin de permettre la constatation des infractions, le rassemblement des preuves de celles-ci, et la recherche de leur auteur, le dispositif de la loi 1978 exigerait que ces données ne puissent être recueillies que dans la mesure où la personne visée a manifestement participé à la commission de l'infraction. Or, c'est précisement le point qui fait l'objet de la dérogation introduite par la loi de 2003 qui opère un changement dans l'étendue de cette condition de licéité avec l'avénement d'une simple condition de "vraisemblance".

Si ces différents éléments traduisent bien une évolution progressive de la logique exceptionnaliste dans le système juridique français de la protection des données personnelles, c'est bien en raison du paradigme également en plein essor qui consiste à considérer les données personnelles sous l'angle de la certitude de l'identification face au risque. Et ce paradigme se vérifie également à travers une autre tendance du modèle français en la matière, il s'avère que la France s'attache à ajuster le régime juridique des données personnelles, quoique de manière "périphérique", aux mutations technologiques et notamment la biométrie qui permettent une telle identification.

Chapitre 2 : Un ajustement "à petits pas" aux nouvelles technologies de sécurité.

Le paradigme de l'identification comme instrument de contrôle et de surveillance face au risque prend une dimension encore plus importante dès lors que se met en oeuvre tout un appareil scientifique et technologique à même de garantir cette aspiration. Or, c'est bien ce qui se présente désormais avec ce qu'on appelle communément les "technologies de sécurité", et la biométrie à titre principal. En effet, comme le souligne à juste titre Ayse Ceyhan, l'intérêt de la biométrie réside clairement dans sa capacité à mesurer « l'unicité d'un individu à partir des parties inchangeables de son corps. »30(*) Aussi, sous l'impusion de l'Union européenne et des États-Unis, la France tend à introduire ces mutations d'ordre sociétal dans son système juridique mais on voit ici que cette évolution se caractérise aussi par son caractère modéré. Dans une certaine mesure, on peut affirmer qu'il existe bien une tendance à ajuster son droit concernant les données à caractère personnel aux exigences nouvelles d'identification dès lors que cet ajustement se met en oeuvre à la périphérie du cadre normatif de droit commun. Autrement dit, la France a consacré le traitement des données biométriques sur des points épars du corpus juridique régissant les données personnelles. C'est ainsi en matière d'identité des personnes, avec des dispositifs spécifiques ou à titre expérimental, et surtout en matière de coopération européenne dans laquelle la France prend une place importante à plusieurs niveaux.

Tout d'abord, la France a opéré une évolution qui a son importance au regard de cette question car la loi de 2004 confère à la CNIL un pouvoir d'autorisation en ce qui concerne les traitements automatisés comportant des données biométriques nécessaires au contrôle de l'identité des personnes. C'est ici une avancée qu'il faut prendre en considération car cela témoigne du développement en cours des données biométriques dans les dispositifs de contrôle de l'identité des personnes, que ce soit des dispositifs sous la responsabilité de personnes publiques ou privées. Cet état de fait suppose qu'un contrôle préalable minimum puisse avoir lieu, dès lors le législateur français a pris acte de cette nouvelle donne pour lui assurer une certaine lisibilité, c'est l'objet du dernier alinéa du paragraphe I de l'article 25 nouvellement rédigé. Parallèlement, le système juridique français tend à développer les fichiers et bases de données automatisées utilisant la biométrie, ainsi par exemple les empreintes génétiques deviennent un instrument de plus en plus utilisé dans certains fichiers nationaux d'identification. La reconnaissance du Fichier national automatisé des empreintes génétiques ou FNAEG, notamment avec les lois de 2001 et 2003, en est une illustration certaine. En effet, ce type de fichier vise à l'identification des auteurs d'infractions pénales par la centralisation de données génétiques issues de « traces biologiques ».31(*) L'adoption d'un tel type de fichiers de données à caractère personnel présentant des informations génétiques des individus dont la participation à la commision à une infraction apparaît "vraisemblable"32(*) est révélatrice de la tendance française à transcrire dans son système juridique les conséquences de l'exigence suivant laquelle les données personnelles doivent pouvoir servir d'instrument d'identification dans une perspective de certitude face au risque et à l'insécurité. Et dans une certaine mesure, on peut rapprocher cette évolution de celle qui consiste à faire des données biométriques un élément d'identité. L'évolution présente consiste en effet à assurer l'identification des individus par la donnée personnelle biométrique, or ce qu'on peut aussi observer dans le même ordre d'idées est l'émergence de ce principe en vue d'assurer l'identité même de l'individu. Mais il convient de nuancer ce propos car le système juridique français n'a pas matérialisé une telle tendance du fait de certaines résistances aux documents d'identité biométriques.

Ensuite, on peut observer c'est aussi et surtout dans le domaine de la coopération transfrontalière que le système juridique français s'est imprégné de cette exigence de certitude à l'appui de l'identification. Son modèle juridique a fait l'objet d'aménagements importants dans la mesure où la coopération transfrontalière s'est opérée essentiellement sur l'espace Schengen et les systèmes d'informations qui y sont mis en oeuvre. Or ce sont ces systèmes qui ont largement favorisé et donné l'impulsion pour que les États entreprennent les ajustements nécessaires à ce que la coopération soit effective. C'est ce que l'on a pu souligner précedemment s'agissant de l'orientation donnée dans le cadre du troisième pilier de l'Union européenne, et il s'agit d'un élément qui ne peut être ignoré concernant les évolutions juridiques ayant trait à la biométrie. Sylvia Preuss-Laussinotte avait déjà perçu cette évolution en France, avant même l'adoption par le Conseil de la proposition de décision-cadre de 2005. Elle estimait que « la France en créant un fichier d'empreintes génétiques met de fait son système pénal et policier en conformité » avec les exigences européennes qui sont définies dans l'optique d'une coopération transfrontalière.33(*) Or son constat ne manque pas de pertinence puisque c'est cette impulsion européenne, surtout à travers l'espace Schengen, qui a permis le développement en France du traitement de données biométriques ou plutôt de la constitution de différentes bases de données automatisées comportant des informations de type biométrique. En effet, l'exigence d'un réseau d'informations qui puissent circuler à des fins de coopération pénale a été la ligne directrice de l'espace Schengen et plus générallement des dispositifs juridiques adoptés dans le cadre du troisième pilier. C'est précisement dans ce contexte qu'a émergé la biométrie dans la sphère juridique des données personnelles. Deux points d'impact majeur peuvent être relevés, à savoir d'une part l'évolution induite par le principe d'accessibilité des données et d'autre part l'évolution liée à la "question migratoire".

Tout d'abord, on peut avancer que le principe d'accessibilité des données personnelles a contribué à cette évolution dans la mesure où la logique d'efficacité de la coopération est au centre de ce principe. Or, cet objectif ne peut être assuré que si les informations communiquées en vertu de ce principe sont suffisament fiables et certaines, c'est pourquoi les données biométriques font figure de références à cet effet. On peut voir ici qu'à travers les données biométriques, les logiques d'efficacité et de certitude liée à l'identification se rejoignent, c'est dans cet esprit que les États membres se sont attachés à faciliter leur circulation. Ainsi ce sont principalement les données indexées de fichiers d'analyse ADN qui font l'objet d'une disponibilité, le traité de Prüm de 2005 ayant determiné le régime applicable à un tel type de traitement.

Ensuite, on doit souligner que cette évolution s'est également opérée dans le cadre de la maîtrise des flux migratoires avec le développement de la biométrie dans les données personnelles des étrangers. Sur ce point, il apparaît que les empreintes digitales ont constitué un élément qui s'est progressivement instauré dans les fichiers relatifs aux étrangers. Le fichier EURODAC concernant les demandes d'asile témoigne de cette tendance puisque le réglement n° 2725/2000 du Conseil du 11 décembre 2000 qui l'a institué, entend clairement organiser l'échange et la comparaison des empreintes digitales des demandeurs d'asile et des étrangers à l'occasion du franchissement irrégulier d'une frontière extérieure d'un État membre. Il s'agit ici du renforcement de la Convention de Dublin de 1990 que la France a transposé dans son système juridique, notamment avec la loi de 1997.34(*) En substance, il est question de permettre le traitement de données dactyloscopiques dès lors qu'il s'agit de vérifier le caractère frauduleux ou non de la demande de délivrance d'un titre de séjour pour les ressortissants étrangers n'ayant pas la nationalité d'un des États membres de la Communauté européenne. On peut donc considérer que la question biométrique a encore apporté un ajustement du système juridique relatif aux données personnelles sous l'impact de l'exigence d'identification certaine, "authentique" pour ainsi dire.

Dès lors, ces différents éléments peuvent nous conduire à affirmer qu'en matière de données prsonnelles une certaine évolution du régime juridique français s'est effectuée afin d'adapter le modèle existant à des exigences exogènes. Toutefois, il serait excessif de considérer ces évolutions comme de véritables "révolutions" au sens où elles seraient de nature à altérer structurellement le système juridique de protection des données personnelles en France. A cet égard, on observe que ces évolutions n'ont pas affecté les principes fondamentaux entourant la matière.

Partie II : Les contrepoids à l'évolution fondés sur un principe de sauvegarde des droits fondamentaux.

Certes, le système français fait montre d'une certaine tendance à assimiler des exigences exogènes, plus ou moins novatrices, dans son édifice juridique en matière de données personnelles, il faut tout de même observer que ces évolutions se trouvent encadrées par un ensemble de principes qui ont pour objet de maintenir une exigence fondamentale, à savoir la sauvegarde des libertés et droits fondamentaux présentant un lien direct ou indirect avec la question des données personnelles. Autrement dit, la France tend à construire un système juridique qui puisse "absorber" les mutations qui l'affectent sans qu'elles n'aient pour incidence de compromettre la préservation de ce principe, considéré comme la "pierre angulaire" de cet édifice juridique. Dans cet ordre d'idées, on observe que le système juridique français assure le respect des libertés fondamentales se rapportant aux données personnelles à l'appui de conditions tenant à la nature des données et à la nécessité du traitement ( A ), et à cet égard on peut avancer que le traitement des données à caractère personnel fait l'objet d'un contrôle élargi et protéiforme. ( B )

A. Le respect des libertés fondamentales garanti par des conditions substantielles relatives au traitement.

Il s'agit ici de montrer qu'en dépit des ajustements mis en oeuvre en France dans le corpus juridique des données personnelles, la sauvegarde des droits fondamentaux exige que le traitement de ces données soit conditionné par des considérations tenant à sa licéité. Et de ce point de vue, on observe que la construction du système français s'articule autour de principes qui visent à encadrer le traitement tant au regard de la nature des données susceptibles de faire l'objet de ce traitement, qu'au regard de sa nécessité et de sa proportionnalité.

Chapitre 1 : La licéité du traitement liée à la nature des données traitées.

Tout d'abord, on peut considérer que le respect des libertés fondamentales constitue la "pierre angulaire" du système juridique français en matière de données personnelles, à la lumière notamment du principe essentiel prévu au titre de l'article premier de la loi dite "informatique et libertés" selon lequel il ne peut être porté atteinte « ni à l'identité humaine, ni aux droits de l'homme, ni à la vie privée, ni aux libertés individuelles ou publiques. »35(*) Il ressort manifestement de cette dispostion que la "clef de voûte" de l'édifice juridique consacré à la question des données personnelles consiste à préserver la préeminence des libertés et des droits fondamentaux. Certes, cet article vise explicitement l'informatique dans cette perspective, toutefois il convient d'analyser l'économie générale de ce dispositif, or l'article 2 rappelle expréssement que l'ensemble de ce régime juridique s'applique généralement aux traitements automatisés ainsi qu'aux traitements non automatisés de données à caractère personnel contenues ou appelées à figurer dans des fichiers.

Il est essentiel de retenir que le fondement majeur de ce cadre normatif, la ratio legis pour ainsi dire, réside dans la protection des libertés et droits fondamentaux dès lors que le traitement des données personnelles implique une incidence sur ces droits fondamentaux soit en raison de l'objet même de ces types de données ou en raison de leur connexité avec d'autres droits ou libertés. Et à ce propos, on peut voir que ce principe est assuré essentiellement par l'encadrement de la nature des données qui peuvent faire l'objet d'un traitement.

La question des données sensibles permet de mettre en évidence la portée de ce principe fondamental visant à la protection des droits fondamentaux à raison de la nature des données à caractère personnel. Tout d'abord, on peut observer une certaine résistance du système juridique à admettre le traitement de données subjectives. Le traitement doit se limiter autant que possible à l'utilisation de données que l'on pourrait qualifier d'objectives. Et quand bien même un traitement aurait eu lieu sur des données faisant apparaître certains aspects de la personnalité de l'individu concerné, il ne saurait être question de pouvoir s'en servir pour fonder une quelconque décision produisant des effets juridiques. L'article 10 prend en considération sans doute à juste titre le cas de figure de la décision juridictionnelle car elle peut impliquer dans une certaine mesure d'apprécier le comportement d'une personne. C'est pourquoi, cet article exclut tout à fait la possibilité de rendre une décision de justice à l'appui d'éléments issus d'un traitement de données personnelles de nature à évaluer certains aspects de la personnalité de l'individu concerné. De même, toute décision qui comporterait des effets juridiques ne peut être fondée sur des éléments issus d'un tel traitement de données. Ce principe rejoint tout à fait la réticence à admettre le traitement des données sensibles, c'est à dire celles ayant trait aux origines raciales ou ethniques, aux opinions politiques, philosophiques ou religieuses, ou à l'appartenance syndicale des personnes, ou encore celles relatives à la santé ou à la vie sexuelle de celles-ci.36(*) Étant donné le lien étroit de ces informations avec la personnalité de l'individu, du moins pour certaines d'entre elles, le droit restreint largement la possibilité d'opérer un traitement de telles données dans l'optique de préserver le respect de l'intimité de la vie privée des individus.

Le droit français considère que le respect des libertés et des droits fondamentaux, notamment le droit à l'intimité de l'individu dans sa vie privée, nécessite que l'on soumette les traitements de données à une condition de licéité se rapportant à la nature même des données qui s'inscrivent ou non dans ce cadre. Ceci est significatif avec les opinions politiques, philosophiques ou religieuses car elles portent directement sur la dimension subjective de la personnalité des individus, et ne pas apporter une quelconque restriction au traitement de ces types d'informations affecterait la vie privée et l'intimité qu'elle implique mais également la liberté de conscience et d'opinion car leur traitement est susceptible d'altérer, voire de réduire la portée de ce droit inaliénable.37(*)

S'agissant des autres types d'informations, notamment des origines raciales ou ethniques, il est vrai qu'il est difficile d'y voir des données qu'il convient d'encadrer sur des considérations tenant à l'intimité de la vie privée, celles-ci ne correspondant pas vraiment à la catégorie des données subjectives propres aux aspects de la personnalité. C'est bien la raison pour laquelle, le principe posé à l'article premier envisage le respect des droits fondamentaux plus largement que sous l'acception de la vie privée. Dès lors, on peut penser que ces données sont considérées comme étant sennsibles sur le fondement d'autres exigences fondamentales telles que l'égalité devant la loi sans distinction de race ou d'origine.38(*) A cet égard, la jurisprudence du Conseil constitutionnel est très significative dans la mesure où le juge suprême développe un raisonnement juridique dans le prolongement logique de ce principe.39(*) Le juge constitutionnel estime en effet dans le considérant 29 de cette décision, que « si les traitements nécessaires à la conduite d'études sur la mesure de la diversité des origines des personnes, de la discrimination et de l'intégration peuvent porter sur des données objectives, ils ne sauraient, sans méconnaître le principe énoncé par l'article 1^er de la Constitution, reposer sur l'origine ethnique ou la race », ce qui montre bien la prégnance de ce principe dans le système juridique français.

C'est ainsi que si les évolutions présentées précédemment ont remanié des points juridiques en vue notamment d'une libre circulation des données, elles ne sont pas de nature à compromettre outre mesure la "pierre angulaire" du régime français au sens où il existe un contrepoids à cette tendance à travers l'encadrement du traitement eu égard à la nature des données qu'il vise. La tendance libérale imprimée à la question des données personnelles se fond dans les limites ainsi mises en oeuvre. Autrement dit, certaines catégories de données sont considérées par essence exclues du traitement sous peine d'illicéité dudit traitement. Ainsi, en principe, les données sensibles ne peuvent faire l'objet d'un traitement, qu'il soit automatisé ou non, ce qui signifie qu'en règle générale ne peuvent figurer des éléments mentionnant les informations énumérées à cet effet.

Par ailleurs, dans le même esprit, cet encadrement ne fait pas obstacle à la possibilité de traiter de telles données dites sensibles car ce traitement peut s'avérer nécessaire dans des hypothèses particulières, et de ce point de vue une liste limitative prévoit des exceptions qui permettent de collecter et de traiter celles-ci.40(*) Or si l'on se place à ce niveau d'analyse, on retrouve encore un certain encadrement visant à faire prévaloir le respect des libertés et des droits fondamentaux.

En effet, on observe que la nécessité d'une autorisation est maintenue par le système français à l'égard de ces traitements présentant un risque d'atteinte aux droits fondamentaux. Il s'agit d'une condition de licéité de ce type de traitement prévue au titre des articles 25 et 26 de la présente loi. Plusieurs modalités de cette condition d'autorisation auprès de la CNIL sont mises en place, mais il faut retenir l'idée selon laquelle tout traitement de données sensibles justifié par la finalité même du traitement en cause telle que prévue par l'une des exceptions figurant ici, doit faire l'objet d'une autorisation préalable. Cette condition instituant une protection renforcée est significative de l'importance accordée en France à l'encadrement de ces traitements à risque et ce, en vue de garantir autant que possible la sauvegarde des droits fondamentaux.

Au vu de l'ensemble de ces points, on peut avancer que les évolutions à l'oeuvre au sein du modèle juridique français en matière de données personnelles n'ont pas eu d'incidences majeures sur la "pierre angulaire" de celui-ci, à savoir la nécessaire sauvegarde des droits fondamentaux. En toute hypothèse, on peut affirmer que ces évolutions ne compromettent en aucune mesure la préeminence de ce principe central car des garanties jouant comme contrepoids des ajustements mis en place permettent d'assurer le maintien de cette exigence fondamentale. Et de ce point de vue, la restriction de la licéité du traitement quant à la nature des données s'y rapportant est un paramètre, pour le moins, important et qui doit être souligné. Aussi doit-on relever un autre paramètre qui rejoint et confirme notre propos, il s'agit de l'encadrement du traitement des données personnelles à raison de la nécessité et la proportionnalité du traitement.

Chapitre 2 : La licéité liée à l'adéquation du traitement aux nécessités.

Si la France exprime une certaine "résistance" consistant à maintenir au fondement de son édifice juridique consacré aux données personnelles, l'exigence suivant laquelle la préservation des libertés et des droits fondamentaux de la personne doit prévaloir, c'est également à travers un principe de nécessité et de proportionnalité que cette exigence "cardinale" est garantie. En effet, on peut observer que le régime juridique français est traversé par un principe qui entend encadrer les recours aux traitements de données personnelles dans la mesure de ce qui s'avère nécessaire et proportionnel au regard de la finalité poursuivie par les traitements en cause. Ces considérations tenant aux nécessités selon l'objectif recherché jouent également comme une condition impliquant la licéité du traitement. Dans une certaine mesure, ce principe tend à répondre au même dessein que l'encadrement du traitement de données personnelles sous l'angle de la nature desdites données, on peut identifier ici une logique symétrique dont l'objet est de garantir le fondement de ce régime juridique, entendons la protection des libertés et des droits fondamentaux se rapportant aux informations à caractère personnel. On peut admettre que la sauvegarde de ces droits fondamentaux, qu'il s'agisse du respect de l'intimité de la vie privée, des libertés individuelles ou de tout autre droit fondamental, exige que le traitement des données personnelles soit soumis à un principe encadrant son opportunité au regard de la finalité poursuivie car un tel traitement répond nécessairement à une finalité déterminée ou à des finalités diverses. Le respect des droits fondamentaux et la protection dont ils font l'objet s'apprécie ainsi à la lumière de l'adéquation de l'exercice du traitement par rapport aux finalités qu'il poursuit. Ce critère évalue ainsi si le traitement en cause constitue ou non un abus de droit rendant son exercice disproportionné à cet égard.

C'est dans cette optique que le droit français limite le recours aux traitements de données à caractère personnel, en faisant de la nécessité et de la proportionnalité des éléments qui conditionnent la licéité. On retrouve ces considérations aux termes de l'article 6 de la présente loi qui prévoit que le traitement n'est licite que dans la mesure où les données traitées sont adéquates, pertinentes et non excessives au regard des finalités poursuivies par leur collecte et leur traitement.41(*) En outre, il est également précisé par cet article que les finalités pour lesquelles le traitement est envisagé doivent être déterminées, explicites et légitimes, et que le traitement ne doit pas s'avérer ultérieurement incompatible avec ces finalités. Le cadre étant ainsi posé, on peut considérer que la France entend faire de ces exigences, de véritables contrepoids permettant de consolider la protection des droits fondamentaux à la base de l'ensemble de ce régime juridique.

C'est ici un principe qui vise à assurer la préeminence des droits et des libertés se rattachant à la question des données personnelles, et on peut voir que c'est particulièrement vrai en ce qui concerne les données sensibles dans la mesure où elles sont, en principe, non susceptibles de faire l'objet d'une collecte et d'un traitement ultérieur, sous réserve des exceptions prévues dès lors que la finalité du traitement l'exige. Dans la mesure où c'est la finalité particulière du traitement considéré qui peut justifier que les données sensibles y figurent, il apparaît essentiel de pouvoir apprécier si le traitement respecte véritablement l'objectif ou les différents objectifs qu'il s'est assigné. Ainsi, l'exigence d'adéquation de l'exercice du traitement vis-à-vis de l'objet qu'il recouvre, tant du point de vue de son recours que de son utilisation effective, présente dès lors une importance considérable. En vertu de ce principe, le traitement de données sensibles qui constitue un traitement à risque à l'égard de droits tels que les libertés fondamentales de conscience et d'opinion, comme on a pu le montrer précédemment, se voit accompagné d'une condition de licéité en supplément de l'obligation d'autorisation qui est le critère de la proportionnalité des données traitées au regard des objectifs du traitement. Ce sont par exemple la durée de conservation et le rôle attribué au traitement de ces données qui peuvent ainsi être comparés à la finalité explicite du traitement. Ainsi, pour reprendre le cas de figure des données mentionnant les origines raciales ou ethniques de l'individu, il est clair que le respect du principe consacrant l'égalité devant la loi sans distinction de race ou d'origine exige que l'on prenne en considération non seulement les finalités liées au traitement de telles données mais aussi la pertinence, l'opportunité et la nécessaire adéquation de ce traitement dans son effectivité à l'aune de ces finalités. Ainsi, il pourrait être déterminé si le traitement en cause aboutit à créer une distinction fondée sur les origines raciales ou ethniques dans la mesure où cela implique d'observer des éléments tenant par exemple à la legitimité des données traitées, à l'équilibre porté à la conciliation entre ce qui est nécessaire de conserver et ce qui peut être effacé de l'enregistrement. A contrario, on peut affirmer qu'un traitement de données sensibles dont on ne peut contester la licéité à l'appui de conditions tenant à la nécessité et à la proportionnalité de son exercice, n'est pas tout à fait à même d'assurer le respect des principes fondamentaux de protection des droits de la personne.

Dans le même ordre d'idées, on peut considérer que le respect de l'intimité de la vie privée implique que l'on encadre le recours au traitement des données sensibles par l'exigence de proportionnalité ainsi développée. Le bien-fondé de ce principe se retrouve essentiellement en ce qui concerne les données faisant apparaître les opinions politiques, philosophiques ou religieuses des individus. En effet, le caractère profondément subjectif de telles données ouvre à une plus large marge de manoeuvre dans le traitement opéré puisque la collecte de ces informations peut induire une utilisation à des fins différentes et incompatibles avec celles pour lesquelles elles ont été recueillies.

Un tel cas de figure peut notamment se présenter dans les fichiers d'identification visant à assurer la sécurité publique, il n'est pas insignifiant de poser des critères tenant à la nécessité et à la proportionnalité dès lors que le respect de l'intimité de la vie privée est susceptible d'être affecté par d'éventuelles dérives dans le traitement effectif des données, par exemple avec les fichiers de sécurité.42(*)

Ce qu'il faut retenir dans le cadre de notre analyse est l'idée que la France a assorti son système d'une garantie tenant à la licéité du traitement sur la base de l'adéquation pertinente du traitement et de son exercice avec les finalités qu'il poursuit. C'est assurément un paramètre qui contrebalance les évolutions, notamment la tendance liée à la libre circulation des données, dans la mesure où ces évolutions sont tout à fait assimilées dans le régime juridique français dans la stricte mesure où la "pierre angulaire" au fondement de l'édifice normatif est préservé. Le maintien de cette exigence de proportionnalité constitue à cet égard une garantie consistant à consolider le principe "matriciel" de protection des libertés et des droits fondamentaux.

Si l'on peut considérer, à la lumière de ces éléments, que le socle fondamental du régime juridique français n'est pas affecté par les ajustements présentés précédemment, il faut également observer que cette préservation de la "matrice" du régime juridique français en la matière s'affirme aussi à travers le contrôle élargi et protéiforme dont fait l'objet le traitement de données personnelles.

B. Le respect des libertés fondamentales garanti par l'étendue du contrôle du traitement.

Si le modèle juridique français n'est pas affecté structurellement par les évolutions qui se sont mises en oeuvre dans le domaine des données personnelles, c'est en raison de contrepoids d'ordre substantiel visant à sauvegarder le principe de protection des libertés et des droits fondamentaux, mais c'est également en raison de contrepoids d'ordre procédural que la France consolide la préeminence de ce principe. A cet égard, deux éléments peuvent être soulignés, d'une part le large seuil de contrôle préalable existant autour des traitements de données à caractère personnel, et d'autre part la multitude des acteurs de ce contrôle.

Chapitre 1 : L'étendue élargie du contrôle préalable des traitements de données.

Tout d'abord, la question du contrôle des traitements de données personnelles peut être analysée sous l'angle de sa portée, et de ce point de vue on peut considérer dans une certaine mesure que le système juridique français vise essentiellement à consolider la prédominance du respect des droits fondamentaux tant la portée du contrôle préalable est élargie. En effet, on observe que le corpus juridique français s'articule autour d'un large contrôle préalable du traitement des données personnelles dont les modes d'intervention sont principalement de deux ordres. Ce contrôle préalable repose sur la répartition entre le système de la déclaration, et celui de l'autorisation. Ainsi les données personnelles traitées en France sont soumises à une protection multiforme que la CNIL assure a priori. En ce sens, on peut affirmer que l'évolution qui consiste à alléger les formalités préalables en vue de permettre la libre circulation des données n'a pas bouleversé la structure essentielle propre au modèle français selon lequel la protection des droits fondamentaux doit prévaloir en ce qui concerne le champ des données personnelles. On observe ainsi que si la loi de 2004 a pour effet d'abondonner la distinction entre fichiers publics soumis à autorisation et fichiers privés soumis à déclaration, il n'en demeure pas moins que ces deux types de contrôle subsistent au sein du système français, seule la distinction selon le critère du caractère public ou privé du traitement n'a plus lieu d'être. L'existence de ces deux modes d'intervention à titre de contrôle préalable n'est aucunement remise en cause, car l'objet de cet ajustement est uniquement d'opérer à l'établissement d'autres critères de classification.

Dès lors, dans cette perspective, on peut souligner que l'aménagement ainsi présenté consiste à préserver la dualité de ce système de contrôle préalable tout en favorisant le régime de la déclaration, formalité allégée de contrôle plus simple que le régime d'autorisation. C'est en cela que les articles 22 à 31 de la loi nouvellement rédigée organisent une répartition "résistante" aux différentes évolutions.

Tout d'abord, l'article 22 consacre en quelque sorte un régime de contrôle préalable de droit commun en ce sens qu'il énonce qu'à l'exception de certains cas de figure prévues aux articles 25 et suivants qui soumis à autorisation, le traitement des données personnelles doit faire l'objet en principe d'une déclaration. Ainsi, on retrouve ici l'idée selon laquelle la déclaration est la règle, et l'autorisation l'exception. Ce principe est assez révelateur de l'assise du principe directeur de sauvegarde des droits fondamentaux dans le système juridique français puisqu'il s'inscrit dans le prolongement logique de la tendance visant à assouplir les formalités préalables, tel qu'on l'a étudié précédemment, sans pour autant altérer l'existence de ces deux modalités de contrôle préalable garantissant un système "complet" de garanties à même d'assurer la préservation dudit principe directeur. Si le mécanisme de la déclaration constitue le mode principal de contrôle préalable, on observe en effet que le mécanisme d'autorisation demeure également un contrôle important. Elle recouvre non seulement un large "panel" de traitement de données personnelles, mais elle peut revêtir en plus différentes modalités d'intervention. L'article 25 énumère une liste de plusieurs catégories de traitement qui doivent faire l'objet d'une autorisation accordée par la CNIL, à ce titre on peut notamment relever les traitements de données sensibles justifiés par l'intérêt public, les traitements portant sur des données relatives aux infractions, condamnations ou mesures de sûreté, ou encore ceux portant sur des données biométriques nécessaires au contrôle de l'identité des personnes ou même ceux comportant des appréciations sur les difficultés sociales des personnes. Tous ces types de traitement soumis à une obligation d'autorisation auprès de la CNIL montrent bien qu'il n'est aucunement question pour la France de réduire ce contrôle préalable renforcé aux seuls traitements opérés sous la responsabilité de personnes publiques à des fins de service public à caractère administratif, même si l'autorisation concerne dans une large mesure ce type de traitement.

L'autorisation doit préciser des éléments standards qui importent en premier lieu, c'est à dire la dénomination et la finalité du traitement, le service auprès duquel s'exerce le droit d'accès, les catégories de données à caractère personnel enregistrées et les destinataires auxquels ces données sont communiquées. On peut se reporter à l'article 29 de la présente loi qui pose ces différents éléments relevant du régime d'autorisation.43(*)

Une jurisprudence récente du Conseil d'État44(*) relative au fichier ELOI géré par le ministère de l'intérieur visant à traiter des données à caractère personnel dans le cadre de l'informatisation de la procédure d'éloignement des étrangers, peut être soulignée pour illustrer l'ampleur et la portée de ce contrôle préalable au regard de la sauvegarde des libertés et des droits fondamentaux de la personne. Le juge administratif a considéré que les requérants sont tout à fait fondés dans leur réclamation tendant à l'annulation de l'arrêté créant le fichier ELOI sur le fondement que l'obligation d'autorisation a été contournée. En effet, compte tenu de l'objet du fichier et de la nature des données traitées dans ce cadre, la création d'un tel fichier impose qu'elle soit préalablement autorisée par décret en Conseil d'État aprés avis de la CNIL, et en aucun cas à l'initiative exclusive d'un arrêté ministériel. Les libertés individuelles qui sont susceptibles d'être affectées par un tel traitement, notamment la liberté d'aller et de venir et le droit à la sûreté, sont ainsi garanties par l'exigence d'un contrôle préalable, en l'espèce d'un contrôle renforcé avec l'autorisation, lequel permet de préciser des éléments importants sur les conditions de mises en oeuvre de ce traitement. Et cette jurisprudence est d'autant plus significative lorsque l'on remarque que le juge administratif estime que le principe même de l'existence de ce fichier n'est pas en cause à cet égard. Cela témoigne de l'importance accordée à ce type de contrôle a priori. Et pour appuyer encore notre propos, on peut souligner le véritable impact de ce principe puisque ce fichier a été effectivement mis en oeuvre dès lors que les pouvoirs publics ont suivi cette exigence d'autorisation.45(*)

Dès lors, il convient de bien préciser que l'existence d'un contrôle préalable est un paramètre important dans l'optique de la protection des droits fondamentaux tels que l'intimité de la vie privée ou les libertés individuelles. En effet, le système juridique français en matière de données personnelles reconnaît un rôle très important à l'autorité administrative indépendante de la CNIL. La logique principale qui a guidé la création de la CNIL en 1978 était en effet d'assurer, par un organe indépendant, la licéité des traitements de données à caractère personnel. C'est d'ailleurs sans doute en raison de l'indépendance qui caractérise cet organe, que le droit français a développé une étendue aussi large de contrôle préalable assuré par l'intervention conjointe de la CNIL soit par déclaration ou par autorisation. Ainsi que le montre Sylvia Preuss-Laussinotte, le système juridique français privilégie le contrôlre a priori des traitements de données personnelles, alors même que les exigences européennes vont dans le sens d'un contrôle a posteriori au détriment du contrôle préalable dans l'optique de la libéralisation au sein de l'espace communautaire.46(*) On comprend ainsi que la France s'attache à maintenir la "pierre angulaire" de son système, à savoir la préeminence des droits fondamentaux en établissant des contrepoids aux évolutions. Et la préservation de la dualité des modes de contrôle préalable s'inscrit tout à fait dans une telle perspective puisque cela permet de disposer d'un large éventail de moyens permettant d'intervenir antérieurement à l'exercice du traitement envisagé.

Aussi dans le même ordre d'idées, on peut observer que ce contrôle, qu'il soit préalable ou postérieur, à l'exercice du traitement de données personnelles se caractérise également par la pluralité des acteurs de ce contrôle, ce qui implique que l'on étudie le rôle joué par la CNIL mais aussi et surtout par la personne concernée elle-même. Le rôle conféré à ces différents acteurs du contrôle s'inscrit également dans l'optique d'assurer autant que possible la préservation des droits de la personne, fondement de l'édifice juridique français.

Chapitre 2 : Une pluralité d'agents dans le rôle de contrôle des traitements de données personnelles.

Il est vrai que le régime juridique français en matière de données personnelles se caractérise par un large contrôle préalable du traitement des données selon une répartition entre deux modalités d'intervention, à savoir la déclaration et l'autorisation. Un autre paramètre caractérise le corpus juridique français, ce qui implique que l'on relativise l'impact des exigences nouvelles ayant entraîné certains ajustements. Il s'agit de l'idée selon laquelle le droit français considère que la sauvegarde des droits fondamentaux de la personne exige que le contrôle qui s'exerce face au traitement des données soit suffisament réparti entre plusieurs agents. Dans ce cadre, on peut observer que le contrôle exercé à l'égard du traitement est réparti entre deux agants principaux qui sont la CNIL et la personne concernée elle-même.

Tout d'abord, s'agissant de la CNIL, on observe qu'il lui est dévolu un véritable pouvoir de contrôle à titre préalable face au traitement de données personnelles. Son intervention s'affirme ainsi largement dans le cadre de la déclaration ou de l'autorisation auxquelles sont soumis les traitement de données personnelles. Mais son contrôle ne se réduit pas à un tel rôle d'examen a priori, la CNIL effectue également un contrôle qui consiste notamment à émettre des délibérations. La Commission est une autorité administrative indépendante investie de plusieurs missions pour lesquelles elle peut mettre en oeuvre un pouvoir réglementaire. Elle est ainsi habilitée à procéder par voie de recommandation et à prendre des décisions individuelles ou réglementaires. L'article 11 de la présente loi pose le cadre dans lequel peut s'exercer ce pouvoir, et à cet égard l'éventail de mesures dont elle dispose à ce titre peut faire office d'un certain contrôle à l'encontre du traitement des données personnelles, certes de moindre impact que celui ayant trait à son contrôle des formalités préalables mais néanmoins important si l'on admet que le contrôle doit aussi être entendu comme la faculté de fournir des avis et des recommandations. A ce titre, le contrôle qui s'exerce ici opére en quelque sorte comme certaines juridictions dont la fonction consultative permet de disposer d'un avis précisant certains points complexes ou d'interpréter la signification d'une norme particulière pour un cas de figure laissant en suspens des questions juridiques. Le rôle qu'elle a joué à l'égard des fichiers de police, et notamment du STIC, témoigne particulièrement de l'impact de ce type de contrôle informel que constituent les délibérations. Baffard William a pu dégager un "corps de règles" opposables à ce type de traitement47(*), on voit ainsi que si des délibérations n'ont pu aboutir à l'effet escompté aux termes de celles-ci, il en est d'autres qui ont été suivies par le législateur français au sujet de la création du STIC et des textes d'application. Ainsi par exemple, en ce qui concerne la durée de conservation des données, conformément aux prescriptions de la CNIL, la durée ne peut excéder un délai de cinq ans dès lors que ces données portent sur des mineurs.48(*) L'intervention de la CNIL par cette délibération a permis ainsi d'obtenir du législateur qu'il prenne en compte l'exigence de proportionnalité des conditions d'exercice de ce traitement à l'égard des mineurs, et sur cette base les données portant sur des mineurs collectées dans le cadre du STIC doivent être effacées à l'expiration du délai de cinq ans.

Ensuite, on doit mettre en évidence le rôle de contrôle accompli par un autre agent, à savoir l'intéressé lui-même. En effet, la personne concernée par le traitement en cause dispose de droits à l'encontre de celui-ci lui permettant d'opérer un certain contrôle. Il s'agit du droit d'opposition qui consiste à refuser que des données la concernant fassent l'objet d'un traitement, cette faculté d'opposition ne peut s'exercer que dans la mesure où la loi ne l'exclut pas expréssement.49(*) Il s'agit également du droit d'accès aux données faisant l'objet ou ayant fait l'objet d'un traitement.50(*) Autrement dit, sous réserve de certaines conditions, la personne concernée est fondée à demander au responsable du traitement de mettre à sa connaissance les données traitées qui la concernent. Aussi, doit-on relever que ce droit d'accès peut se décliner en deux types de contrôle, l'un étant limité puisqu'il ne vise qu'à l'information de la personne concernée, l'autre étant plus étendu car il consiste à permettre une éventuelle rectification des données par celle-ci. S'agissant du droit d'accès visant à l'information tel que prévu à l'article 39, notre étude a pu faire ressortir précédemment ce que cela recouvre quant aux types d'informations ouvertes à la disposition de l'individu concerné. Toutefois, on peut apporter des précisions sur une question significative, car s'agissant des données traitées dans ce que l'on appelle communément les "fichiers de sécurité", on peut observer que l'individu dispose d'un certain contrôle, et la jurisprudence administrative confirme cette tendance par deux arrêts relativement récents du Conseil d'État.51(*) En effet, cette jurisprudence montre bien la portée que le droit français reconnaît à cette exigence d'information puisque l'individu concerné peut accéder aux données traitées dans un fichier intéressant la sûreté de l'État, la défense et la sécurité publique. Ainsi, lorsque la communication des données à la personne concernée est susceptible de mettre en cause les fins assignées au traitement, l'intéressé peut agir auprès de la CNIL au titre de son droit d'accès, et par ce biais la CNIL est tenue de l'informer qu'il a été procédé aux vérifications nécessaires. Aussi, l'individu concerné est tout à fait fondé à procéder au contrôle des données traitées par le biais de son droit de rectification, de mise à jour et d'effacement de celles-ci. C'est ici l'article 40 qui régit l'exercice de cette prérogative accordée directement à la personne concernée. L'individu étant ainsi encore considéré comme un agent principal dans le processus de contrôle des traitements de données à caractère personnel, son rôle consistant à opérer un contrôle autour du traitement le concernant.

Au vu de ces différents éléments, on peut avancer que la France n'a pas altéré la "pierre angulaire" de son édifice juridique en matière de données personnelles puisque le principe de protection des droits fondamentaux de la personne en demeure la base essentielle et ce, quand bien même des évolutions se soient produites et des ajustements effectués par rapport à ces différentes exigences tels la libre circulation des données ou le paradigme sécuritaire de l'identification face au risque. Le contrôle de la CNIL constitue l'un des contrepoids visant à consolider la permanence du fondement du système français tenant à la protection des libertés et des droits de la personne se rapportant aux informations à caractère personnel. Et l'individu concerné demeure également l'un des agents de ce contrôle puisqu'il bénéficie d'une série de contrepoids face aux traitements le concernant directement. Cela traduit ici le caractère protéiforme du contrôle qui peut exister en France à l'encontre du traitement des données personnelles.

Conclusion

On peut avancer que notre étude sur la protection des données personnelles sous l'angle du système juridique français fait ressortir plusieurs éléments complexes. En effet, une dynamique d'évolution est perceptible dans le corpus juridique français puisque des ajustements sont mis en oeuvre afin de transposer des exigences issues tendances qui dépassent le cadre national français. De ce point de vue, on doit souligner une appropriation de considérations exogènes résultant notamment de la dynamique d'intégration communautaire au sein de l'espace européen qui s'articule autour d'un principe de libéralisation, mais également de l'émergence d'un paradigme sécuritaire consistant à déplacer les lignes du droit des données personnelles selon une finalité consistant à intégrer dans la juridicité ce qui permet l'identification face au risque d'ordre sécuritaire.

Ces différentes tendances ont induit des évolutions auxquelles le système juridique français a dû se confronter, et dans une large mesure ce qui ressort de ces intéractions est la propension de la France à aménager son corps de règles et de principes régissant la matière.

Toutefois, il apparaît que ces différents ajustements mis en oeuvre en France n'ont pas pour incidence d'inverser la logique substantielle propre au système français. Il ne s'agit pas tellement de souligner que l'on est ici en présence d'une spécificité irréductible au "modèle français", ce n'est en tout cas pas l'objet de notre propos. Ce que l'on peut retenir est plutôt l'idée selon laquelle il s'avère que dans le système juridique français aucun véritable bouleversement ne peut être déduit des évolutions observées dans la mesure où le fondement du système portant sur la protection des données personnelles réside dans la nécessaire protection des libertés fondamentales de la personne en rapport avec la question des données personnelles et de leur traitement. A cet égard, on peut relever en effet des garanties qui visent à sauvegarder ce principe essentiel.

Une telle analyse nous conduit à considérer que le mouvement systémique qui anime le droit français en matière de données personnelles procède d'un équilibre selon lequel l'aménagement des principes n'est envisageable que dans la mesure où le socle de base tenant à la protection des données et des droits subséquents ne s'en trouve pas compromis.

Il apparaît que la France envisage le champ des données personnelles essentiellement sous l'angle de la protection des personnes visées par le traitement de telles informations, c'est sans doute en raison du principe fondateur inscrit dans le texte même de la loi de référence et ce, depuis 1978. Mais une interrogation se pose lorsque l'on envisage le discours juridique sous l'angle de la représentation qu'il renvoie du phénomène réel. Autrement dit, en quoi la situation effective en termes de protection des personnes contribue-t-elle à la construction de cet ordre juridique ?

BIBLIOGRAPHIE

I-Documents officiels

-Loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés.

-Loi n° 2004-801 du 6 août 2004 relative à la protection des personnes physiques à l'égard des traitements de données à caractère personnel et modifiant la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés.

(Avec exposé des motifs du projet de loi)

-Loi n° 2006-64 du 23 janvier 2006 relative à la lutte contre le terrorisme et portant dispositions diverses relatives à la sécurité et aux contrôles frontaliers.

-Loi n° 2003-239 du 18 mars 2003 pour la sécurité intérieure.

-Décret n° 2007-1890 du 26 décembre 2007 portant création d'un traitement automatisé de données à caractère personnel relatives aux étrangers faisant l'objet d'une mesure d'éloignement et modifiant la partie réglementaire du code de l'entrée et du séjour des étrangers et du droit d'asile.

-Convention pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel, Strasbourg, 28 janvier 1981.

-Directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données.

-Traité relatif à l'approfondissement de la coopération transfrontalière, notamment en vue de lutter contre le terrorisme, la criminalité transfrontalière et la migration illégale, Prüm, 27 mai 2005.

-Proposition de décision-cadre du conseil relative à l'échange d'informations en vertu du principe de disponibilité. COM/2005/0490 final

-Décision de la Commission du 14 mai 2004 relative au niveau de protection adéquat des données à caractère personnel contenues dans les dossiers des passagers aériens transférés au Bureau des douanes et de la protection des frontières des États-Unis d'Amérique (2004/535/CE).

-Conclusions de l'avocat général Léger présentées le 22 novembre 2005, affaires jointes C-317/04 et C-318/04.

II-Ouvrages

Giorgio AGAMBEN, État d'exception, Paris, Le Seuil, 2003, 151 p.

Xavier BIOY, Henry ROUSSILLON (dir.), La liberté personnelle : une autre conception de la liberté, Toulouse, Presses de l'Université des Sciences sociales, 2006, 156 p.

Jean CARBONNIER, Flexible droit : pour une sociologie du droit sans rigueur, Paris, L.G.D.J, 10ème édition, 2001, 493 p.

Jacques CHEVALLIER, L'État post-moderne, Paris, L.G.D.J, 2ème édition, 2004, 226 p.

Pierre KAYSER, La protection de la vie privée par le droit. Protection du secret de la vie privée, Presses Universitaires d'Aix-Marseille, Economica, 3ème édition, 1995, 605 p.

Gilles LEBRETON, Libertés publiques et droits de l'homme, Paris, Armand Colin, 7ème édition, 2005, 551 p.

Jean Claude PAYE, La fin de l'État de droit : la lutte antiterroriste, de l'état d'exception à la dictature, Paris, La Dispute, 2004, 214 p.

Sylvia PREUSS-LAUSSINOTTE, Les fichiers et les étrangers au coeur des nouvelles politiques de sécurité, Paris, Librairie Générale de Droit et de Jurisprudence, Bibliothèque de droit public, tome 209, 2000, 426 p.

François RANGEON, Hobbes. État et droit, Paris, Albin Michel, 1982, 218 p.

François SAINT-BONNET, L'État d'exception, Paris, PUF, Léviathan, 2001, 393 p.

III-Articles

Paul AMSELEK, « La part de la science dans les activités des juristes », Dalloz, 1997, Chronique, p. 337.

Didier BIGO, « Sécurité et immigration : vers une gouvernementalité par l'inquiétude ? », Cultures & Conflits, n° 31-32, 1998, pp. 13-38.

Ayse CEYHAN, « Enjeux d'identification et de surveillance à l'heure de la biométrie », Cultures & Conflits, n° 64, 2006, pp. 33-47.

Philippe GUILLOT, « Protection des données à caractère personnel et lutte anti-terrorisme : l'accord U.E.-É.U. sur les dossiers de passagers aériens (PNR) », Les annales de droit, n° 2, 2008, pp. 37-57.

Sylvia PREUSS-LAUSSINOTTE, « Bases de données personnelles et politiques de sécurité : une protection illusoire ? », Cultures & Conflits, n° 64, 2006, pp. 77-95.

IV-Jurisprudence

Décision n° 2007-557 DC du 15 novembre 2007, Loi relative à la maîtrise de l'immigration, à l'intégration et à l'asile.

Fichier Eloi, Conseil d'État, le 12 mars 2007, (N°s 297888, 297896, 298085).

Moon Sun Myung, CE, Assemblée, 6 novembre 2002, (N°s 194295 - 219587).

Skandrani, CE, Section, 7 avril 2006, (N° 275216).

V-Internet : sites officiels et ressources documentaires

Site officiel de la Commission Nationale Informatique et Libertés

www.cnil.fr

-Documents et rapports publiés par la CNIL (délibérations, normes simplifiées, rapports annuels)

Site officiel du Conseil de l'Europe

www.coe.int

-Rapports et études des Comités de protection des données

-Rapports et études des experts

Site officiel de l'Union européenne

www.europa.eu

-Portail d'accès rubrique Commission Européenne > Justice et affaires intérieures (documents et rapports officiels européens sur la protection des données personnelles, rapports d'évaluation, état de la législation)

VI-Divers

Mémoire de DEA Informatique et droit, Université de Montpellier I, William Baffard, Le système de traitement des infractions constatées (STIC) et la protection des données personnelles, 2003, 92 p.

TABLE DES MATIÈRES

Introduction..................................................................................................................................Page 1

Partie I : Le processus d'ajustement du modèle français à des exigences exogènes....................Page 6

A. L'intégration communautaire comme vecteur de « libéralisation » des informations............Page 6

Chapitre 1 : Les données personnelles face au principe de libre circulation...............................Page 6

Chapitre 2 : Les données personnelles face au principe d'accessibilité.....................................Page 11

B. Les données personnelles sous l'impact du paradigme de la maîtrise des risques par l'identification............................................................................................................................Page 16

Chapitre 1 : L'essor de la logique d'exception dans le cadre des données personnelles............Page 16

Chapitre 2 : Un ajustement « à petits pas » aux nouvelles technologies de sécurité.................Page 20

Partie II : Les contrepoids à l'évolution fondés sur un principe de sauvegarde des droits fondamentaux............................................................................................................................Page 24

A. Le respect des libertés fondamentales garanti par des conditions substantielles relatives au traitement...................................................................................................................................Page 24

Chapitre 1 : La licéité du traitement liée à la nature des données traitées.................................Page 24

Chapitre 2 : La licéité liée à l'adéquation du traitement aux nécessités.....................................Page 27

B. Le respect des libertés fondamentales garanti par l'étendue du contrôle du traitement........Page 30

Chapitre 1 : L'étendue élargie du contrôle préalable des traitements de données.....................Page 30

Chapitre 2 : Une pluralité d'agents dans le rôle de contrôle des traitements de données personnelles...............................................................................................................................Page 33

Conclusion.................................................................................................................................Page 37

Bibliographie.............................................................................................................................Page 38

* 1 Max Weber, Le savant et le politique, Paris, Plon, 1959, 230 p.

* 2 Didier Bigo estime que "plus les menaces sont mal définies, plus elles apparaissent comme " surgies de nulle part ", plus elles peuvent catalyser des peurs diverses et générer un capital d'inquiétude (crime organisé transnational, mafia globale, immigration illégale) justifiant la pérennité des institutions", cf son article « Sécurité et immigration : vers une gouvernementalité par l'inquiétude ? », Cultures & Conflits, n° 31-32, 1998, pp. 13-38

* 3 Hobbes est sans doute celui qui a fondé cette représentation de l'État dans la mesure où il lui reconnaît une fonction sociale préeminente, il considère ainsi qu'il tire sa légitimité de cette nécessité sociale.

* 4 Sylvia Preuss-Laussinotte met en avant les expressions différentes qui peuvent désigner ce type de données, cf son article « Bases de données personnelles et politiques de sécurité : une protection illusoire ? », Cultures & Conflits, n° 64, 2006, pp. 77-95.

* 5 Ibidem, l'auteur nous montre ici qu'il ne s'agit plus de considérer cette question des données personnelles uniquement sous l'angle de la vie privée, elle observe une certaine autonomisation de la question.

* 6 On peut se reporter à l'analyse de Sylvia Preuss-Laussinotte, ibid, elle releve à juste titre que la notion d'ordre public entretient une certaine imprécision permettant une acceptation souple.

* 7 Directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données.

* 8 Le considérant (5) de la directive précitée met bien en évidence la perspective d'augmentation importante de ces échanges, compte tenu des divers types d'activités ou d'opérations commerciales et économiques et les différents types d'acteurs de la vie économique.

* 9 Ce double mouvement opère un équilibre subtil visant à lever tous les obstacles que peut rencontrer la libre circulation des données personnelles.

* 10 Directive 95/46/CE, article 18, paragraphe 2

* 11 On peut également se réferer à l'exposé des motifs du projet de loi de 2004 portant transposition de la directive pour voir que la France a "pris acte" de cette exigence de simplification souhaitée par la Communauté européenne.

* 12 Loi n° 2004-801 du 6 août 2004 relative à la protection des personnes physiques à l'égard des traitements de données à caractère personnel et modifiant la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, article 24, II.

* 13 C'est sans doute une conception liée au principe de confiance légitime issu des principes généraux du droit communautaire.

* 14 Loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, article 27.

* 15 Cet espace constitue un objectif procédant du troisième pilier de l'Union européenne, mais il est clairement un objectif majeur de la construction européenne.

* 16 Proposition de décision-cadre du conseil relative à l'échange d'informations en vertu du principe de disponibilité. COM/2005/0490 final

* 17 Ibidem, l'article 7 a pour objet de délimiter le cadre dans lequel peut s'exercer un tel mécanisme de coopération.

* 18 Traité relatif à l'approfondissement de la coopération transfrontalière, notamment en vue de lutter contre le terrorisme, la criminalité transfrontalière et la migration illégale, Prüm, 27 mai 2005. Rappelons que la France a ratifié cette convention internationale en 2007.

* 19 L'idée directrice consiste ici à garantir l'anonymat à ce stade de la procédure.

* 20 La phase diplomatique de la procédure liée à la souveraineté inhérente à l'État demeurait omniprésente dans la coopération.

* 21 Convention pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel, Strasbourg, 28 janvier 1981, article 16.

* 22 On peut observer dans son article précité qu'elle analyse un glissement vers un paradigme sécuritaire dans lequel le risque n'est plus admis, et le discours juridique a tendance à s'en approprier.

* 23 Paul Amselek, "la part de la science dans les activités des juristes", Dalloz 1997, Chronique, P. 337

* 24 Le système juridique des Etats-Unis a en outre la particularité de se poser comme le modèle d'un état d'exception "normalisé" depuis le tournant de la "guerre contre le terrorisme".

* 25 Loi n° 2006-64 du 23 janvier 2006 relative à la lutte contre le terrorisme et portant dispositions diverses relatives à la sécurité et aux contrôles frontaliers.

* 26 Cette durée de cinq ans a été posée par l'article 4 de l'arrêté du 19 décembre 2006 qui précise la portée de l'article 7 de la loi de 2006 précitée.

* 27 Sylvia Preuss-Laussinotte, ibid.

* 28 Loi n° 2003-239 du 18 mars 2003 pour la sécurité intérieure.

* 29 Loi n° 2003-239, art. 21, paragraphe 2.

* 30 Ayse Ceyhan, « Enjeux d'identification et de surveillance à l'heure de la biométrie », Cultures & Conflits, n° 64, 2006, pp. 33-47.

* 31 Cf art. 706-54 du Code de Procédure Pénale.

* 32 On retrouve ici le même mécanisme que le STIC.

* 33 Sylvia Preuss-Laussinotte, Les fichiers et les étrangers au coeur des nouvelles politiques de sécurité, Paris, Librairie Générale de Droit et de Jurisprudence, tome 209, 2000, p. 61 et s.

* 34 Loi du 24 avril 1997 ou loi»Debré».

* 35 Principe posé par la loi de 1978, et maintenu comme tel par la loi de 2004

* 36 Loi n° 2004-801, art. 8, paragraphe 1.

* 37 Rappelons que l'article 10 de la Déclaration des droits de l'homme et du citoyen prévoit que «nul ne peut être inquiété pour ses opinions, même religieuses».

* 38 Il s'agit d'un principe énoncé aux termes de l'article premier de la Constitution française de 1958.

* 39 Cf notamment une décision récente du 15 novembre 2007, n° 2007-557 DC.

* 40 Cette possibilité repose sur le principe selon lequel certains traitements, au regard de leur finalité même, exigent de traiter de telles données.

* 41 Loi n° 2004-801, art. 6.

* 42 Nous prenons le cas de figure des fichiers de sécurité car c'est un type de traitement en plein essor.

* 43 Loi 2004-801, art.29.

* 44 Fichier Eloi, Conseil d'État, 12 mars 2007, (N°s 297888, 297896, 298085).

* 45 Cf décret 2007-1890 du 26 décembre 2007.

* 46 Sylvia Preuss-Laussinotte, op. Cit, p. 244.

* 47 Dans ses travaux de recherche, il a développé une analyse de l'impact réel de la CNIL dans l'élaboration du STIC.

* 48 CNIL, délibération 98-097 du 24 novembre 1998.

* 49 Loi n° 2004-801, art. 38.

* 50 Ibid., art. 39 et s.

* 51 Moon, CE, 2002 et Skandrani, CE, 2006