La protection des données personnelles face aux nouvelles exigences de sécurité( Télécharger le fichier original )par Sami Fedaoui Université de Rouen - Master 2 Droit public approfondi 2008 |
Partie I : Le processus d'ajustement du modèle français à des exigences exogènes.Une analyse du système français en matière de données personnelles nous conduit à observer une certaine évolution, à défaut d'une mutation, qui se traduit par un mouvement d'ajustement des règles juridiques face à des exigences auxquelles le système accorde une importance accrue. De ce point de vue, on peut parler d'une réevaluation du régime juridique du traitement des données personnelles dont la France entend se prévaloir à l'aune des exigences émergentes, notamment de la Communauté européenne, point de référence majeur. Et à cet égard, ce sont essentiellement l'intégration communautaire et ses implications en termes de liberté de circulation ( A ), et le paradigme de la garantie de la sécurité par la maîtrise du risque et de l'incertain qui déplacent les lignes jusqu'alors établies en France dans ce domaine des données relatives aux personnes. ( B ) A. L'intégration communautaire comme vecteur de "libéralisation" des informations.On peut observer que la France s'inscrit dans la dynamique de l'intégration communautaire, laquelle prend une dimension de plus en plus importante dans la production des normes juridiques. C'est dans ce cadre que la France est conduite à redéfinir certains aspects de son système de traitement des données à caractère personnel au regard des exigences de l'intégration, et notamment en ce qui concerne la suppression des entraves à leur libre circulation. Aussi peut-on constater dans ce domaine, un véritable impact du principe de libre circulation des données, avec une transposition ou une assimilation de ce principe à travers certaines déclinaisons. Chapitre 1 : Les données personnelles face au principe de libre circulation.Certes, les données personnelles constituent une catégorie particulière d'informations dans la mesure où elles sont susceptibles d'affecter la vie privée des individus, il n'en demeure pas moins qu'elles ont une portée informative et à ce titre doivent pouvoir être l'objet de transferts, notamment au sein de l'espace de la Communauté européenne dans lequel le principe de liberté de la circulation des personnes, des marchandises et des capitaux constitue un élément fondamental à la base de la construction européenne. L'intégration communautaire fonctionne en effet essentiellement autour de ce principe de libre circulation. Or, la Communauté européenne considère que la circulation des données personnelles est en quelque sorte "accessoire" à celle des personnes et des marchandises au sens où elle y est nécessairement attachée, et dès lors limiter ou resteindre le transfert des données c'est "par ricochet" limiter la libre circulation des personnes et des marchandises. On retrouve clairement ce type de raisonnement aux termes des dispositions de la directive communautaire de 1995, ce texte affirme explicitement que le marché intérieur a vocation à intensifier les relations économiques entre les différents opérateurs publics ou privés, c'est pourquoi il convient de garantir une fluidité suffisante dans la circulation de données à caractère personnel afin de ne pas créer une restriction des activités commerciales entre les États membres, certaines données étant des informations nécessaires à toute transaction d'ordre commercial.8(*) Cette directive a donc pour objet d'inciter à la simplification et à l'ouverture des appareils juridiques étatiques aux flux transfrontaliers des données personnelles, en particulier dans l'espace intracommunautaire. Et on peut observer que ces considérations n'ont pas été sans incidences à l'égard de la France qui s'efforce de s'approprier ces exigences provenant de la logique intégrative de la Communauté européenne. En ce sens, un processus d'ajustement se met en oeuvre en France afin de retranscrire cet impératif de libéralisation des données dans son système. Sur ce point, on doit souligner un alignement du système français en matière de traitement des données personnelles sur le modèle communautaire tel que développé à travers la directive précitée. En effet, à l'instar de ce que prévoit ladite directive, on constate que la tendance générale qui se met en oeuvre en France suit un mouvement à double sens, à savoir la réduction des contraintes et des obligations liées au traitement des données personnelles et l'assurance de transparence au profit de la personne concernée face au traitement des données la concernant.9(*) Tout d'abord, rappelons que l'évolution à l'oeuvre sous l'impulsion de la Communauté européenne et de la dynamique de l'intégration consiste à favoriser les flux transfrontaliers des données personnelles, c'est à dire appliquer aux informations, ou plus précisement aux données à caractère personnel le principe de liberté de circulation. Dans cette perspective, on peut observer que la France agit en faisant en sorte d'assimiler les mesures dégagées par la Communauté, ou du moins certaines mesures qu'elle entend s'approprier pour conférer à son règime juridique les ajustements nécessaires. L'illustration la plus significative de cette tendance est sans doute la suppression des entraves à la libre circulation des données car pour que les données puissent ainsi transiter, il convient avant tout d'exclure ou de limiter ce qui est de nature à bloquer ou à restreindre une telle liberté. Or, c'est précisement l'un des objets principaux de la directive qui vise notamment à encadrer l'obligation de notification préalable à l'autorité de contrôle. C'est dans ce sens que s'inscrit son article 18 qui ne prévoit aucunement l'absence d'obligation pesant sur le responsable du traitement des données, mais qui atténue cette obligation dans la mesure où elle peut tout à fait faire l'objet d'une simplification ou même d'une dérogtion dès que certaines conditions sont réunies. Il s'agit bien ici d'une norme qui, en raison de l'exigence de libre circulation à laquelle la Communauté entend aboutir, s'attache à développer un système de notification qui ne devienne pas un "mécanisme d'obstruction", et c'est pourquoi elle estime que la notification doit présenter un caractère obligtoire jusqu'à une certaine mesure. En substance la Communauté estime qu'il est important de réduire considérablement cette obligation de notification dès lors qu'il s'agit pour le responsable du traitement d'utiliser des données personnelles qui, en raison de leur nature et de l'objet du traitement dont il est question, ne sont pas susceptibles de porter une atteinte à l'un des droits ou libertés protégés par l'autorité de contrôle. Dans un tel cas de figure, il reviendrait simplement à ce responsable de traitement la charge de préciser « les finalités des traitements, les données ou catégories de données traitées, la ou les catégories de personnes concernées, les destinataires ou catégories de destinataires auxquels les données sont communiquées et la durée de conservation des données. »10(*) Il est clair que cette mesure s'inscrit dans la logique de l'intégration communautaire qui vise à favoriser le développement d'un marché unique au sein d'un espace sans frontières dans lequel la circulation des personnes, des biens et des services s'exerce librement dans la mesure du possible. Un allégement des formalités préalables au traitement de données personnelles est en effet un élément qui permet d'atténuer les obstacles qui s'opposent à la souplesse des flux transfrontaliers de telles données, lesquelles portent sur une personne envisagée ici comme un opérateur économique. Il est en effet difficile de concevoir la réalisation d'échanges commerciaux ou d'activités économiques sans un échange minimum de données à caractère personnel qui permettent aux agents économiques de s'identifier mutuellement. C'est dans cette perspective bien particulière que la France fait montre d'une certaine évolution dans le régime juridique qu'elle confère au traitement des données personnelles. Et cette évolution consiste précisement en une appropriation des exigences ainsi développées par la dynamique de l'intégration communautaire, c'est à dire ici l'idée selon laquelle la libre circulation des données, exigence fondamentale pour l'achévement d'un marché unique, suppose un assouplissement du règime juridique du traitement des données personnelles. On observe que la France s'est attachée à transcrire cette exigence dans son système juridique et ce, notamment à travers l'intervention du législateur en 2004. La loi du 6 août 2004 traduit clairement l'ajustement du régime juridique du traitement des données personnelles à la tendance imprimée par la directive communautaire de 1995. Cet ajustement ayant notamment pour objet de remanier le mécanisme de contrôle préalable à l'exercice de traitements de données, en l'espèce des formalités requises auprès de la CNIL en vue de satisfaire une telle demande. C'est ainsi que l'article 24 de la loi du 6 janvier 1978, tel qu'il résulte de la nouvelle loi de 2004, intègre explicitement la mesure issue de l'article 18 de la directive précitée. Et elle ne manque pas de bien préciser qu'il s'agit des « catégories les plus courantes de traitements de données à caractère personnel, dont la mise en oeuvre n'est pas susceptible de porter atteinte à la vie privée ou aux libertés », ce qui témoigne de sa tendance à l'assimilation de l'exigence communautaire puisqu'elle détermine clairement le principe selon lequel dans une telle hypothèse, une simplification de l'obligation de déclaration s'impose.11(*) C'est pourquoi elle enjoint la CNIL d'élaborer des normes visant à garantir cet assouplissement procédural, et dans ce cadre le législateur français reprend largement les différentes lignes directrices jugées incontournables aux termes de la directive, telles que les finalités du traitement ou encore la durée de conservation des données. Dans le prolongement de sa logique de réception des exigences communautaires, la France admet également que le traitement puisse faire l'objet d'une dispense d'obligation de déclaration, permettant au responsable dudit traitement de se soustraire à toute formalité préalable auprès de la CNIL.12(*) Il revient encore à la CNIL de fixer les types de traitements de données personnelles auxquels elle n'attache aucune obligation de déclaration. Dans le même ordre d'idées, on peut voir que l'évolution qui se produit au sein du système français consiste aussi à favoriser la circulation des données à travers une exigence parallèle à l'assouplissement des conditions de traitement des données, il s'agit ici de l'idée selon laquelle l'interessé doit pouvoir exercer un certain encadrement de ce traitement. En effet, cette idée repose sur le postulat selon lequel les données personnelles ne peuvent circuler librement que dans la mesure où les intéressés disposent d'une certaine confiance sur l'utilisation de leurs données.13(*) Ce qui signifie que l'on permette aux individus concernés d'être tenus informés de tout élément utile à propos du traitement de données effectué ou envisagé, c'est une perspective plutôt subtile dans la mesure où elle permet de garantir une certaine transparence dans l'utilisation des données personnelles sans recourir à des mécanismes qui s'exercent a posteriori tel le droit d'accès ou le droit de rectification. La logique privilégiée est celle qui consiste à assurer les moyens de cette transparence, nécessaire à la libre circulation des données, antérieurement au traitement, en vue d'optimiser la confiance des individus impliqués par la circulation des données les concernant. C'est dans cet esprit que la loi de 2004 a également eu pour objet d'apporter certains aménagements en la matière, et il s'avère que le raisonnement retenu par la France sur ce point suit largement les prescriptions de la directive. On peut donc encore y percevoir une assimilation des exigences qui se rattachent à l'intégration communautaire. Plus précisement on peut relever un point important qui est significatif de cette tendance, il s'agit du droit d'information à la disposition de la personne concernée par le traitement en cause. A cet égard, on peut observer que l'innovation essentielle tient en ce que le corpus juridique élargit substantiellement les informations liées au traitement des données que le responsable est tenu de communiquer à la personne concernée elle-même. Plus exactement, ce sont des informations qui doivent être portées à la connaissance de l'intéressé, qu'il s'agisse de données recueillies directement ou indirectement. En effet, le système juridique français pose désormais une obligation bien plus détaillée par laquelle le responsable de tels traitements est tenu de délivrer des informations à la personne qui fait l'objet d'une collecte de données la concernant. Alors que cette obligation était déjà prévue dans le cadre des dispositions de la norme fondatrice de 197814(*), elle ne visait que certains points essentiels, pour ainsi dire nécessaires compte tenu de la fonction et de l'objet même de toute collecte de données personnelles. Ainsi par exemple concernant le caractère obligatoire ou facultatif des réponses sollicitées et des conséquences éventuelles pour la personne concernée dans l'hypothèse d'un défaut de réponse, ou encore s'agissant des destinataires des informations. Cette obligation est ainsi maintenue mais elle est surtout substantiellement élargie par l'introduction de nouvelles informations à la charge du responsable du traitement, et on peut relever à cet égard notamment l'obligation d'informer sur l'identité du responsable du traitement, et celle de renseigner sur la finalité poursuivie par le traitement en cause. Ce sont deux prescriptions prévues aux termes de l'article 32, qui consistent à apporter une information transparente au bénéfice de la personne concernée dans la mesure du possible, et à cet effet ces deux nouvelles prescriptions se dirigent sur des points qui peuvent tout à fait lever les obstacles à la communication des données, et par là même à leur circulation, car celle-ci suppose que la personne concernée puisse connaître les conditions d'utilisation des données recueillies. Il s'agit bien du principe auquel tend l'obligation d'indiquer l'identité du responsable dudit traitement ainsi que la finalité à laquelle est destinée ce traitement, les données personnelles recueillies sont ainsi communiquées avec la certitude de connaître des éléments aussi importants que le responsable des actes opérés effectivement au titre du traitement des données personnelles mais également la finalité recherchée par l'utilisation des données, c'est à dire l'objectif précis du traitement. La symétrie qui existe entre la loi française et la directive communautaire est très significative de l'ajustement opéré en France à l'aune des exigences issues du droit de l'intégration communautaire, le parallèle entre l'article 10 de la directive et l'article 32 precité de la loi française révèle l'importance accordée à l'existence d'une information claire et détaillée. Par ailleurs, l'obligation mise à la charge du responsable du traitement se trouve accompagnée d'un droit à l'information que l'intéressé peut exercer à sa demande dès lors qu'il justifie de son identité. Cet aménagement mis en place confirme l'importance que le système français reconnaît à l'idée selon laquelle l'individu concerné doit pouvoir connaître une série d'éléments afin que la transparence du traitement soit aussi complète que possible. Cette évolution normative peut s'analyser comme la réception du modèle communautaire, en toute hypothèse sur ce point la France s'approprie cette exigence se rapportant à l'information de l'intéressé, laquelle doit être effective. L'article 39 prévoit en effet une liste d'éléments qui, indépendamment des indications devant être obligatoirement délivrées, peuvent être fournis à la demande de la personne concernée. Il s'agit essentiellement d'un mécanisme visant à compléter l'obligation qui lie le responsable du traitement par une faculté à la disposition de l'intéressé qui peut exercer lui-même son droit à l'information. Cette faculté à la disposition de l'intéressé s'exerce en vue d'obtenir certaines informations qui visent également à assurer une certaine transparence au traitement envisagé. Parmi celles-ci, on peut souligner des informations telles que les finalités du traitement, les catégories de données qui font l'objet du traitement, la communication sous une forme accessible des données la concernant ainsi que leur origine. Retenons que cette disposition admet un large champ en la matière et ce, dans l'optique de garantir l'effectivité de l'information dont doit bénéficier la personne concernée. Dès lors, au vu de ces différents éléments on peut considérer que la libre circulation des données personnelles, exigence développée par la Communauté européenne, constitue bien un facteur d'évolution à l'égard des principes régissant le traitement des données personnelles dans le "modèle français", du moins dans une certaine mesure. Et une évolution de ce modèle est également à l'oeuvre en raison de l'impact du principe de disponibilité. * 8 Le considérant (5) de la directive précitée met bien en évidence la perspective d'augmentation importante de ces échanges, compte tenu des divers types d'activités ou d'opérations commerciales et économiques et les différents types d'acteurs de la vie économique. * 9 Ce double mouvement opère un équilibre subtil visant à lever tous les obstacles que peut rencontrer la libre circulation des données personnelles. * 10 Directive 95/46/CE, article 18, paragraphe 2 * 11 On peut également se réferer à l'exposé des motifs du projet de loi de 2004 portant transposition de la directive pour voir que la France a "pris acte" de cette exigence de simplification souhaitée par la Communauté européenne. * 12 Loi n° 2004-801 du 6 août 2004 relative à la protection des personnes physiques à l'égard des traitements de données à caractère personnel et modifiant la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, article 24, II. * 13 C'est sans doute une conception liée au principe de confiance légitime issu des principes généraux du droit communautaire. * 14 Loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, article 27. |
|