La protection des données personnelles face aux nouvelles exigences de sécurité( Télécharger le fichier original )par Sami Fedaoui Université de Rouen - Master 2 Droit public approfondi 2008 |
UNIVERSITÉ DE ROUEN Faculté de droit, des sciences économiques et de gestion. Année académique 2007- 2008. Master II Recherche, Mention droit public approfondi, spécialité Systèmes juridiques et protection des droits. Mémoire La protection des données personnelles face aux nouvelles exigences de sécurité. Mémoire soutenu publiquement le 10 juin 2008 Jury de soutenance : Teresa GARCÍA-BERRIO Guillaume TUSSEAU Sous la direction du professeur Teresa GARCÍA-BERRIO Présenté par Sami FEDAOUI Les opinions exprimées dans ce mémoire sont propres à leur auteur et n'engagent en rien la responsabilité de l'université de Rouen. IntroductionSi l'État constitue le produit d'une évolution historique dans l'organisation de la communauté humaine, il est également la figure à même de produire un ordre social dont l'objet est de réguler ce qui précisement ne peut être régulé par la sphère privée. Pour reprendre la célèbre formule de Max Weber, l'Etat dispose et agit fondamentalement comme le détenteur du "monopole de la violence physique légitime"1(*), ce qui est sans doute la traduction d'un transfert à l'État par la communauté humaine d'une incertitude originelle relative à la sécurité.2(*) Certes l'État ne provient pas exclusivement de cette incertitude, il n'en demeure pas moins qu'il constitue une solution viable à celle-ci. On observe ainsi que les considérations sécuritaires sont dans une certaine mesure cosubstantielles à l'existence de l'État.3(*) Le problème pour l'État consiste néanmoins à "justifier son existence" non seulement par cette question anthropologique de la sécurité mais également par son retrait de la sphère privée, espace privilégié de liberté et d'intimité, du moins prétendue comme tel. Partant, il est intéressant de voir que c'est en matière de données à caractère personnel que l'on retrouve de manière très significative la tension entre ces deux tendances. Les données personnelles sont en effet des informations qui permettent d'identifier individuellement, de manière directe ou indirecte, une personne physique.4(*) Il s'agit donc de données qui portent sur des éléments qui caractérisent une personne, et qui sont ainsi susceptibles d'affecter la vie privée de celle-ci.5(*) Dès lors, ces données étant ainsi considérées, on peut comprendre que l'exigence d'une certaine protection de ces données se heurte à une autre exigence, celle consistant à les mettre à la dispostion de l'État dans une certaine mesure, afin que les autorités publiques puissent assurer efficacement le maintien de la sécurité. Et même si ces considérations ne sont pas nécessairement inconciliables, il est clair que l'on est en présence de deux mouvements dont la vocation respective est bien différente puisque l'une privilégie l'intérêt de la personne tandis que l'autre tend à mettre cet intérêt "en suspens" au profit d'un intérêt sans doute plus général tenant à la sécurité. Cette notion de sécurité peut, en plus, être largement entendue et recouvrir la securité des individus comme celle de l'État lui-même. On voit bien qu'il est tout à fait possible de décliner sous plusieurs angles l'étude sur les données personnelles compte tenu de l'ampleur des enjeux, mais aussi de la relative incertitude autour des discours et des concepts concernant cette problématique. Il convient donc de poser un cadre de réflexion qui permettrait d'étudier certains points essentiels de la protection des données à caractère personnel afin de percevoir le mouvement systèmique à l'oeuvre, et à cet égard on doit préciser que notre étude porte sur le "modèle français" en la matière. La protection des données personnelles en France a connu un développement important dans les années 70, la France ayant adopté le 6 janvier 1978 la loi relative à l'informatique, aux fichiers et aux libertés. Même si de nombreux aménagements ont été mis en oeuvre depuis lors, ce dispositif constitue le socle du système français de protection des données personnelles avec notamment la création de la Commission nationale de l'informatique et des libertés, autorité administrative indépendante chargée principalement de contrôler le respect des normes en matière de traitement des données à caractère personnel. Tout d'abord, une des questions que l'on peut se poser est celle de savoir s'il existe ou non un fondement juridique de sécurité qui pourrait être invoqué dans le cadre du système normatif français des données personnelles, et surtout de savoir comment il peut être appréhendé. De ce point de vue, le concept de sécurité comme principe central de l'existence de l'État, tel qu'on l'a degagé, demeure une hypothèse d'ordre anthropologique et doit ici être tenue comme telle, autrement dit on ne peut conférer à cette idée une quelconque portée juridique qui appuierait valablement un ensemble de normes et d'énoncés. Dans la sphère juridique, on peut observer que la sécurité ne joue tout au plus que comme un paradigme de la "politique juridique" mais n'existe pas en tant que véritable principe juridique. Et il en est ainsi en ce qui concerne plus précisement les données personnelles, mais on ne peut pour autant exclure la notion de sécurité des dispositifs juridiques dans ce domaine, ne serait-ce qu'en raison de la dimension paradigmatique de celle-ci. Dans ce domaine, les normes mises en oeuvre prennent en compte ce souci de la sécurité, c'est ainsi que la puissance publique peut soutenir dans son activité de police que certaines circonstances d'éspèce justifiaient une atteinte à la protection des données personnelles. Ceci conformément à une tradition française qui admet que la préservation de l'ordre public peut tout à fait être un motif de restriction de certaines libertés publiques ou individuelles, d'ailleurs le texte même de certaines dispositions régissant le traitement des données personnelles s'inscrit dans ce sens.6(*) Mais la sécurité ne doit pas être seulement comprise comme fondement des mécanismes juridiques car il s'agit aussi d'un facteur d'impulsion de ces mesures, et c'est sans doute sur ce point que l'exigence de sécurité déploie le plus activement ses effets. Ceci revient à dire que traiter la sécurité uniquement sous l'angle des normes juridiques positives conduirait à omettre un point important en ce que la sécurité est ouvertement invoquée dans le discours "métajuridique". Ainsi il est presque inutile de s'interroger ici sur la validité juridique du principe de sécurité, car il suffit de se placer sur un autre niveau d'analyse, certes plus politique, pour découvrir que la sécurité est un élément très présent et qui exerce une certaine influence sur le choix des règles positivées. C'est en ce sens que l'on peut parler du paradigme de la sécurité comme l'une des valeurs de références dans l'orientation de ces choix. Par ailleurs, le cas des données personnelles n'est plus considéré comme un "univers clos" dans lequel le droit au respect de l'intimité de la vie privée empêche toute intrusion extérieure. Ceci s'explique avant tout parce qu'il devient de plus en plus difficile de tracer des frontières étanches et bien délimitées alors que le développement fulgurant des nouvelles technologies de l'information et de la communication, notamment de l'Internet, favorise au contraire l'échange d'informations de toute nature sur un réseau démultiplié. Ceci conduit à renforcer l'aspect "mercantile" de ces données même s'il n'est pas question en l'état actuel d'en faire de véritables marchandises. C'est d'ailleurs dans ce contexte qu'est intervenue la directive communautaire de 1995 dont l'intitulé est assez significatif puisqu'il mentionne la "libre circulation de ces données".7(*) D'autre part, on constate que les données personnelles constituent un instrument qui peut servir à la lutte contre la délinquance et la criminalité. En effet, l'analyse des risques potentiels pour la sécurité, l'instruction des enquêtes judiciaires, ou encore la coopération policière et judiciaire entre plusieurs États nécessitent que puissent être traités des fichiers contenant des informations, en l'espèce des données à caractère personnel. Certes, la directive précitée ne vise pas ce type de traitement des données, elle exclue le maintien de la sécurité de son champ d'application, mais on peut considérer que ses dispositions exercent une certaine influence sur cette question dans la mesure où elle s'inspire essentiellement de la Convention 108 du Conseil de l'Europe de 1981. Et la France a transposé cette directive dans son ordre interne, moins pour répondre à l'objectif fixé de garantir un niveau élevé de protection, que pour mettre en conformité ses normes s'agissant des flux transfrontaliers de ces données. En ce qui concerne le niveau de protection des données, on peut dire que la France a mis en oeuvre un ensemble de normes plutôt rigoureuses sur ce plan, ou à tout le moins similaires à celles élaborées par les institutions communautaires. C'est pourquoi on peut penser qu'il est plus intéressant de centrer nos interrogations sur la dynamique systémique en France en matière de traitement des données personnelles, et c'est en ce sens que l'on est conduit à examiner l'impact des exigences sécuritaires, en tenant compte de l'"environnement européen" au sens large. Cela implique que l'on s'appuie sur les outils pertinents que nous fournit l'appareil juridique français, que ce soit ou non en réponse aux instruments juridiques élaborés à l'échelle européenne. Plus précisement, ce sont principalement les textes adoptés depuis 1978 et aussi l'activité de la CNIL face à la pratique du traitement des données personnelles qui peuvent nous éclairer sur ces tendances. Et dans une moindre mesure la jurisprudence et la doctrine peuvent également apporter des précisions importantes. Autrement dit, il ne s'agit pas d'analyser la protection des données personnelles en tant que telle mais de mettre en évidence le mouvement de l'ensemble de ce système. Dès lors, il est clair que notre étude n'a pas pour objet de recenser la multitude de règles et de principes régissant la matière mais au contraire de dégager les traits directeurs à la base de la construction de ce système. Et dans cette optique, il faut retenir que notre analyse ne peut prétendre à l'exhaustivité car, comme on l'a vu précedemment, la question des données personnelles a la particularité de transcender les catégories traditionnelles du droit, et dépasse même les frontières de l'univers juridique dans une certaine mesure. Pour ainsi dire, notre analyse de la protection des données personnelles dans l'ordre juridique français est en quelque sorte une analyse des logiques qui président au système. Dès lors, au vu de ces différents éléments témoignant de l'importance du paradigme sécuritaire et de la perspective libérale imprimée au sein de l'espace européen, notamment par l'Union Européenne, il devient difficile pour la France d'isoler son système juridique en matière de données à caractère personnel. C'est ainsi que l'on peut se poser la question des interactions et de la réception de ces paramètres en France, et donc de l'évolution qu'induit ou non ces impacts. Dans quelle mesure la protection des données personnelles se trouve-t-elle affectée par les considérations sécuritaires ? Plus exactement, face à l'ensemble d'exigences relativement nouvelles, peut-on dire que la protection des données, socle fondateur du système depuis 1978, demeure le principe consolidé et effectivement garanti ? On peut considérer que le système français en matière de données personnelles fait oeuvre d'une certaine évolution dans la mesure où il tend à adapter ses instruments juridiques à des exigences qui proviennent essentiellement de la Communauté européenne, et plus générallement d'une dynamique ambiante prônant un renouveau paradigmatique. Mais il n'en demeure pas moins qu'en France l'évolution à l'oeuvre ne peut être qualifiée de véritable révolution puisqu'elle n'implique pas de métamorphoses profondes des principes qui sous-tendent ce système. Dès lors, si on peut avancer que les différents ajustements mis en oeuvre dans le domaine des données personnelles traduisent une certaine évolution de ce système ( I ), on peut également considérer qu'il n'est pas pertinent d'y voir une révolution en ce sens que ces aménagements ne remettent pas en cause les fondements propres au système français en matière de données personnelles. ( II ) * 1 Max Weber, Le savant et le politique, Paris, Plon, 1959, 230 p. * 2 Didier Bigo estime que "plus les menaces sont mal définies, plus elles apparaissent comme " surgies de nulle part ", plus elles peuvent catalyser des peurs diverses et générer un capital d'inquiétude (crime organisé transnational, mafia globale, immigration illégale) justifiant la pérennité des institutions", cf son article « Sécurité et immigration : vers une gouvernementalité par l'inquiétude ? », Cultures & Conflits, n° 31-32, 1998, pp. 13-38 * 3 Hobbes est sans doute celui qui a fondé cette représentation de l'État dans la mesure où il lui reconnaît une fonction sociale préeminente, il considère ainsi qu'il tire sa légitimité de cette nécessité sociale. * 4 Sylvia Preuss-Laussinotte met en avant les expressions différentes qui peuvent désigner ce type de données, cf son article « Bases de données personnelles et politiques de sécurité : une protection illusoire ? », Cultures & Conflits, n° 64, 2006, pp. 77-95. * 5 Ibidem, l'auteur nous montre ici qu'il ne s'agit plus de considérer cette question des données personnelles uniquement sous l'angle de la vie privée, elle observe une certaine autonomisation de la question. * 6 On peut se reporter à l'analyse de Sylvia Preuss-Laussinotte, ibid, elle releve à juste titre que la notion d'ordre public entretient une certaine imprécision permettant une acceptation souple. * 7 Directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données. |
|