La protection des données personnelles face aux nouvelles exigences de sécurité( Télécharger le fichier original )par Sami Fedaoui Université de Rouen - Master 2 Droit public approfondi 2008 |
B. Les données personnelles sous l'impact du paradigme de la maîtrise des risques par l'identification.Si l'exigence de libéralisation des données personnelles, provenant notamment de la Communauté européenne, a eu un certain impact faisant évoluer des points importants du modèle juridique français en matière de données personnelles, un mouvement analogue s'opère en ce sens que le système juridique français intégre de plus en plus un paradigme relativement récent, à savoir l'identification garantie par les données personnelles servant d'outil en vue de maîtriser le risque, lequel peut prendre des formes tout à fait diverses. L'évolution consiste ici à assimiler dans le modèle français des exigences novatrices faisant des données personnelles, un instrument de contrôle a priori "privilegié". Chapitre 1 : L'essor de la logique d'exception dans le cadre des données personnelles.Avant tout, un constat préalable s'impose car comme le souligne à raison Sylvia Preuss-Laussinotte, on ne peut ignorer un basculement dans un univers de « précaution »22(*) dans lequel il ne s'agit plus tellement de suivre le mouvement des individus mais bien davantage d'anticiper les comportements "à risque". Et ceci n'est pas sans lien avec le développement d'un renouveau des concepts et des principes liés au maintien de la sécurité nationale et internationale, notamment depuis les attentats terroristes du 11 septembre 2001, événement ayant sans doute agi comme un "catalyseur" à cet effet. Ces éléments ne sont pas sans importance du point de vue de l'analyse juridique car à certains égards le droit s'inscrit dans une représentation axiologique déterminée qu'il convient de prendre en compte.23(*) Ainsi il ressort manifestement une tendance visant à contrôler le risque par la certitude de l'identification et ce, notamment sous l'impulsion du système juridique des États-Unis mais également avec les avatars de ce modèle au sein de l'Union européenne. Or, il apparaît que ces modèles ont institué une logique d'exception par laquelle une asymétrie fondamentale est opérée entre un régime des données personnelles de droit commun et un régime "sui generis" spécifiquement destiné à une ou plusieurs catégories d'individus ou groupes d'individus, à des fins également spécifiques. On peut souligner que le droit imprime une telle logique essentiellement dans le domaine des fichiers de sécurité. Et la France tend progressivement à s'inscrire dans cette évolution puisque son système juridique s'approprie de plus en plus la logique d'exception. A ce propos, on doit préciser qu'il ne faut pas entendre la logique de l'exception ainsi évoquée au sens des circonstances exceptionnelles telles qu'elles existent par exemple dans le système juridique français. Cette hypothèse qui est en règle générale prévue dans la Constitution, n'a pas tout à fait la même signification que la logique d'exception que l'on vise à faire ressortir dans notre étude. En effet, il faut comprendre qu'à la différence de l'hypothèse de circonstances exceptionnelles, la logique d'exception ne procéde pas à la suspension du droit commun, autrement dit elle n'affecte pas son applicabilité, elle vise substantiellement à déroger au droit commun applicable par le changement, l'adjonction ou le retrait d'éléments. C'est pourquoi l'on retient ici une notion de "logique d'exception" qui s'inspire certes de la situation d'état d'exception24(*) dans la mesure où elle aboutit à contourner la mise en oeuvre du droit commun, mais elle ne procède pas de la même manière. A cet égard, on peut relever plusieurs éléments qui témoignent d'une évolution progressive du droit français vers la logique exceptionnaliste en matière de données à caractère personnel. A cet égard, on peut observer que la France connaît de plus en plus un certain "morcellement" dans le régime juridique lié à la protection des données personnelles car en fonction de la l'objet ou la finalité du traitement ou encore en fonction du type d'individus visé, le droit peut introduire certaines dérogations. Si l'on se place du point de vue de la lutte anti-terrorisme, cette logique est tout à fait perceptible, et l'ajustement du système français face aux exigences définies dans le domaine des flux de passagers aériens, plus connu sous l'expression Passenger Name Record ou PNR désignant les fichiers crées par les compagnies aériennes de transport lors des réservations de voyage des passagers, montre bien l'essor de cette logique en France. En effet, la France a adopté un dispositif législatif en 2006 visant à adapter son système juridique en vue du maintien de la sécurité dans l'optique notamment de la lutte contre le terrorisme.25(*) Et sur ce plan, on peut observer que le législateur français s'est largement inspiré de la directive 2004/82/CE du Conseil du 29 avril 2004 concernant l'obligation pour les transporteurs de communiquer les données relatives aux passagers, et dans une moindre mesure de l'Accord de mai 2004 conclu entre l'Union européenne et les États-Unis. On retrouve cette logique de l'exception dans la mesure où les données personnelles peuvent faire l'objet d'un traitement dès lors que la personne visée se trouve dans le cas de figure d'un passager aérien, et ce traitement peut être exercé dans des conditions qui dérogent au régime commun de protection. Ainsi, par exemple la licéité du traitement telle que régie par la loi de 1978 se voit accompagnée des exceptions prévues par les exigences relevant des motifs de lutte contre le terrorisme. Ce n'est pas tellement eu égard au contenu des données traitées que l'exception déploie ses effets en France car les données sensibles demeurent l'objet d'une protection fondamentale, ce sont essentiellement la proportionnalité et la durée de l'utilisation qui témoignent de l'ajustement français à la logique exceptionnaliste car désormais l'obligation de communiquer ces données aux autorités du maintien de la sécurité compétents est systématique, dénué de tout principe de nécessité effective, s'agissant des dossiers de passagers aériens, et cette communication des données permet une utilisation largement étendue du point de vue de la durée légale du traitement. Le principe d'adéquation et de licéité du traitement des données prévaut au titre de l'article 6 de la loi de 1978, ce qui signifie que la pertinence et l'opportunité du recours au traitement ainsi que sa durée ne doivent pas excéder ce qui est nécessaire et proportionné au regard de la finalité du traitement envisagé, or cette licéité conditionnée par rapport à la situation effectivement de nature à justifier le traitement en cause est complétement ignorée dans le cadre de ces données relatives notamment au cas des passagers aériens dont les données doivent être automatiquement délivrées et ce, pour une période d'utilisation in abstracto fixé à cinq ans.26(*) C'est bien l'illustration d'une logique d'exception que le système juridique français intégre progressivement pour des hypothèses déterminées, en l'espèce au cas des passagers aériens sur le fondement des exigences de sécurité liées au terrorisme. Par ailleurs, parallèlement à ces exigences fondées sur la particularité de la question du terrorisme, on retrouve cette logique à l'oeuvre dans le cadre de certains fichiers relatifs aux infractions pénales, et de ce point de vue c'est notamment la tendance imprimée par l'espace Schengen qui affecte le régime français. L'espace Schengen repose notamment sur un vaste système d'informations qui favorise la coordination des autorités et services qui traitent des informations et des données à caractère personnel, notamment des agents des autorités policières et judiciaires. Si l'efficacité est au centre des objectifs poursuivis par ce système, il faut admettre qu'il repose moins sur une structure d'ensemble ordonnée que sur la démultiplication des systèmes d'informations avec un véritable « morcellement des protections » selon la formule de Sylvia Preuss-Laussinotte.27(*) La logique de l'exception s'affirme en France également dans ce domaine, bien qu'encore de façon progressive, on constate en effet une émergence du principe speciala generalibus derogant à travers la constitution de fichiers de données personnelles qui, en raison de leur finalité très spécifique principalement destinée à l'identification des personnes considérées potentiellement dangereuses, présentent des points de dérogations vis-à-vis du régime juridique ordinaire. On peut relever un type de traitement dans lequel on retrouve ce caractère exceptionnel de façon assez significative, il s'agit des données traitées dans le cadre du Système de Traitement des Infractions Constatées, connu comme le STIC.28(*) La France a consacré la mise en oeuvre de ce système de fichage en vue de traiter des données à caractère personnel, ce système fonctionne tel un "mégafichier" de police servant à identifier des individus en fonction d'indices ou d'éléments graves et concordants attestant leur participation à la commission de certaines catégories d'infractions dont l'énumération est fixée par décret. Il apparaît qu'en 2003 la loi pour la sécurité intérieure a entendu s'adapter à l'essor de ce paradigme de l'identification comme garantie de la sécurité, et c'est dans cette optique que s'est greffée la logique d'exception car si l'on analyse les innovations issues de cette norme, on peut observer que la particularité présente consiste à contourner certaines conditions de licéité en retenant un principe plus large quant à la faculté de recueillir et de traiter de tels données. En effet, concernant les éléments qui peuvent justifier à bon droit ce type de traitement, ladite loi substitue la condition selon laquelle ces éléments doivent attester d'une participation à la commission d'une de ces infractions par une condition qui n'exige qu'une participation "rendue vraisemblable".29(*) De plus, cette même disposition prévoit que le traitement en cause peut viser des données concernant ces personnes sans limitation d'âge. Ainsi, même si cela apparaît moins clairement que pour les données PNR, on retrouve cette logique de l'exception avec la particularité du STIC qui est un type de traitement répondant à une exigence d'identification autour de considérations sécuritaires, et dont la licéité du recours s'appuie sur une dérogation aux conditions restrictives communes de nécessité et de proportionnalité. La finalité de ce type de traitement étant de recueillir des données personnelles afin de permettre la constatation des infractions, le rassemblement des preuves de celles-ci, et la recherche de leur auteur, le dispositif de la loi 1978 exigerait que ces données ne puissent être recueillies que dans la mesure où la personne visée a manifestement participé à la commission de l'infraction. Or, c'est précisement le point qui fait l'objet de la dérogation introduite par la loi de 2003 qui opère un changement dans l'étendue de cette condition de licéité avec l'avénement d'une simple condition de "vraisemblance". Si ces différents éléments traduisent bien une évolution progressive de la logique exceptionnaliste dans le système juridique français de la protection des données personnelles, c'est bien en raison du paradigme également en plein essor qui consiste à considérer les données personnelles sous l'angle de la certitude de l'identification face au risque. Et ce paradigme se vérifie également à travers une autre tendance du modèle français en la matière, il s'avère que la France s'attache à ajuster le régime juridique des données personnelles, quoique de manière "périphérique", aux mutations technologiques et notamment la biométrie qui permettent une telle identification. * 22 On peut observer dans son article précité qu'elle analyse un glissement vers un paradigme sécuritaire dans lequel le risque n'est plus admis, et le discours juridique a tendance à s'en approprier. * 23 Paul Amselek, "la part de la science dans les activités des juristes", Dalloz 1997, Chronique, P. 337 * 24 Le système juridique des Etats-Unis a en outre la particularité de se poser comme le modèle d'un état d'exception "normalisé" depuis le tournant de la "guerre contre le terrorisme". * 25 Loi n° 2006-64 du 23 janvier 2006 relative à la lutte contre le terrorisme et portant dispositions diverses relatives à la sécurité et aux contrôles frontaliers. * 26 Cette durée de cinq ans a été posée par l'article 4 de l'arrêté du 19 décembre 2006 qui précise la portée de l'article 7 de la loi de 2006 précitée. * 27 Sylvia Preuss-Laussinotte, ibid. * 28 Loi n° 2003-239 du 18 mars 2003 pour la sécurité intérieure. * 29 Loi n° 2003-239, art. 21, paragraphe 2. |
|