1/ Les textes applicables
S’agissant du droit européen des données personnelles, il résulte jusqu’en mai 2018, de la Directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995(7)Pour un historique des textes dans ce domaine, voir https://www.touteleurope.eu/actualite/la-protection-des-droits-fondamentaux-donnees-privees-droit-a-l-oubli.html , relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données indique en son article 2, qu’aux fins de la présente directive, on entend par : a) « données à caractère personnel » : toute information concernant une personne physique identifiée ou identifiable (personne concernée); est réputée identifiable une personne qui peut être identifiée, directement ou indirectement, notamment par référence à un numéro d’identification ou à un ou plusieurs éléments spécifiques, propres à son identité physique, physiologique, psychique, économique, culturelle ou sociale… ».
Ce texte mérite d’être mentionné car même si son champ d’application est limité à celui du droit européen (art.3 alinéa 2), il permet, dans ce cadre, de contrer une disposition nationale incompatible. La Cour de justice des Communautés européennes a en effet jugé que ce texte était directement invocable devant les juridictions nationales (8)CJCE, 20 mai 2003, C-465/00, C-138/01 et C-139/01, Österreichischer Rundfunk.
Ce texte sera remplacé en mai 2018 par le Règlement n°2016/679 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données ou RGPD). Dans la mesure où il s’agit d’un règlement européen, il sera directement applicable dans tous les droits nationaux des États membres sans qu’une transposition ne soiten principe nécessaire. Cependant, les législateurs français et luxembourgeois entendent adapter la Loi pour la mettre en conformité avec le Règlement et pour préciser ses dispositions. Le RGPD dispose en son article 4 – Définitions: « Aux fins du présent règlement, on entend par :
- «données à caractère personnel», toute information se rapportant à une personne physique identifiée ou identifiable (ci-après dénommée «personne concernée») ; est réputée être une «personne physique identifiable» une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale« .
Le droit européen comprend d’autres textes relatifs aux données personnelles, entre autres le règlement et la directive 2016/680 du Parlement européen et du Conseil du 27 avril 2016 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales, et à la libre circulation de ces données (abrogeant la décision-cadre 2008/977/JAI du conseil à partir du 6 mai 2018) . Mais il s’agit déjà de textes spécifiques, qui s’intègrent dans le cadre général posé par le RGPD.
Lorsque le droit européen n’est pas applicable, la situation est régie par les définitions du droit national des données personnelles. Ainsi en droit français, la loi modifiée n°78-17 dite « Informatique et Libertés » du 6 janvier 1978 indique, en son article 2, alinéa 2, que « Constitue une donnée à caractère personnel toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, par référence à un numéro d’identification ou à un ou plusieurs éléments qui lui sont propres. Pour déterminer si une personne est identifiable, il convient de considérer l’ensemble des moyens en vue de permettre son identification dont dispose ou auxquels peut avoir accès le responsable du traitement ou toute autre personne ». Le droit luxembourgeois résulte de la Loi modifiée du 2 août 2002 relative à la protection des personnes à l’égard du traitement des données à caractère personnel(11)Les textes relatifs à l’identification numérique font l’objet d’une compilation récente consultable sur Legilux., dont l’article 2 (e) dispose que constitue une « «donnée à caractère personnel» (ci-après dénommée «donnée»): toute information de quelque nature qu’elle soit et indépendamment de son support, y compris le son et l’image, concernant une personne identifiée ou identifiable («personne concernée»); une personne physique est réputée identifiable si elle peut être identifiée, directement ou indirectement, notamment par référence à un numéro d’identification ou à un ou plusieurs éléments spécifiques, propres à son identité physique, physiologique, génétique, psychique, culturelle, sociale ou économique« .
2/ En pratique
Toute donnée susceptible d’être rattachée à une personne physique par quelque moyen que ce soit, doit être considérée comme une donnée personnelle, même si cette donnée prise isolément n’est pas identifiante. En conséquence, tout ensemble d’informations permettant de distinguer une personne au sein d’une population tels que, par exemple, des données de géolocalisation, l’IP, les coockies, l’historique, le modèle d’ordinateur, l’heure, le navigateur et l’adresse mail utilisée peuvent constituer des données personnelles dès lors que l’ensemble permet de cibler une personne déterminée. Il peut en effet s’agir d’informations qui ne sont pas associées au nom d’une personne mais qui permettent aisément de l’identifier, voire de connaître ses habitudes ou ses goûts.
La Cour de Justice de l’Union Européenne a ainsi indiqué dans son arrêt du 8 avril 2014, §.27, que les données de connexion « prises dans leur ensemble, sont susceptibles de permettre de tirer des conclusions très précises concernant la vie privée des personnes dont les données ont été conservées, telles que les habitudes de la vie quotidienne, les lieux de séjour permanents ou temporaires, les déplacements journaliers ou autres, les activités exercées, les relations sociales de ces personnes et les milieux sociaux fréquentés par celles-ci ». Ces données sont souvent désignées par le terme de « métadata » ce qui pourrait laisser penser qu’il ne s’agit pas de données personnelles. Telle n’est pas l’analyse de la Cour. En d’autres termes, une seule donnée de connexion n’est pas une donnée personnelle, mais un ensemble de données de connexion constitue en revanche quelque chose de personnel.
Il convient de préciser que le droit des données personnelles ne protège que les personnes physiques. Par conséquent, un fichier de noms de sociétés n’est pas concerné. En revanche, dès le moment où ce fichier d’entreprises contient des noms de personnes physiques comme le nom du dirigeant social, le cadre légal du droit des données personnelles trouve à s’appliquer.
Rappelons que les droits et obligations résultant du droit des données personnelles sont pénalement sanctionnées, et a minima, entraînent l’intervention de la CNIL ou de la CNPD.
De plus, le traitement de certaines données personnelles est strictement interdit ou trés sévèrement réglementé (référence à des condamnations pénales, état de santé, opinion politique ou syndicale). Or il est fréquent que des fichiers licites dans leur principe se trouvent « complétés » par les utilisateurs, notamment à des fins de relation clientèle (affaire Acadomia). Il est également fréquent qu’un fichier soit réalisé, sans que les auteurs aient conscience de l’illégalité de leurs actes et de l’éventuelle responsabilité pénale encourue (par ex. un cadre d’une entreprise affiche en salle de pause des cadres une liste de noms de salariés mentionnant leur affiliation syndicale). La préparation des entreprises à l’entrée en vigueur du RGPD devrait être l’occasion d’une mise en conformité générale.
Les traitements de données personnelles réalisés par une personne physique pour l’exercice d’activités exclusivement personnelles ou domestiques ne sont pas concernés, vous pouvez donc librement remplir tant votre agenda que votre carnet d’adresses, y compris sur support informatique. Mais il faut tenir compte du fait que la publication de données personnelles sur un site internet suffis à ôter tout caractère privé au traitement de données ainsi effectué. C’est en tout cas la solution retenue par la Cour de justice des communautés européennes (12)CJCE, 6 novembre 2003 Aff. C-101/01, demande de décision préjudicielle, formée par le Göta hovrätt (Suède), Recueil de jurisprudence 2003 page I-12971 et s. Cons. 47.
References
| ↑1 | Cette approche s’explique par l’histoire de la protection des droits fondamentaux, comme l’expose brièvement Sylvia Preuss-Laussinotte, dans son article « Bases de données personnelles et politiques de sécurité : une protection illusoire ? », Cultures & Conflits [Online], 64 | hiver 2006, Online since 06 March 2007, connection on 13 December 2017. URL : http://journals.openedition.org/conflits/2133 ; DOI : 10.4000/conflits.2133 |
|---|---|
| ↑2 | Article 11 de la Constitution luxembourgeoise. |
| ↑3 | Déc. du Conseil constitutionnel du 18 janvier 1995, n°94-352: »3. Considérant que la prévention d’atteintes à l’ordre public, notamment d’atteintes à la sécurité des personnes et des biens, et la recherche des auteurs d’infractions, sont nécessaires à la sauvegarde de principes et droits à valeur constitutionnelle ; qu’il appartient au législateur d’assurer la conciliation entre ces objectifs de valeur constitutionnelle et l’exercice des libertés publiques constitutionnellement garanties au nombre desquelles figurent la liberté individuelle et la liberté d’aller et venir ainsi que l’inviolabilité du domicile ; que la méconnaissance du droit au respect de la vie privée peut être de nature à porter atteinte à la liberté individuelle…« |
| ↑4 | DC °99-416 du 23 juillet 1999: « 45. Considérant qu’aux termes de l’article 2 de la Déclaration des droits de l’homme et du citoyen : » Le but de toute association politique est la conservation des droits naturels et imprescriptibles de l’Homme. Ces droits sont la liberté, la propriété, la sûreté, et la résistance à l’oppression. » ; que la liberté proclamée par cet article implique le respect de la vie privée…« |
| ↑5 | V. par exemple DC n°98-405 du 29 décembre 1998; |
| ↑6 | Décision QPC n°2016-591 du 21 octobre 2016. |
| ↑7 | Pour un historique des textes dans ce domaine, voir https://www.touteleurope.eu/actualite/la-protection-des-droits-fondamentaux-donnees-privees-droit-a-l-oubli.html |
| ↑8 | CJCE, 20 mai 2003, C-465/00, C-138/01 et C-139/01, Österreichischer Rundfunk |
| ↑9 | Ce texte a été ratifié par la France et le Luxembourg. |
| ↑10 | http://www.un.org/apps/newsFr/storyF.asp?NewsID=31708 |
| ↑11 | Les textes relatifs à l’identification numérique font l’objet d’une compilation récente consultable sur Legilux. |
| ↑12 | CJCE, 6 novembre 2003 Aff. C-101/01, demande de décision préjudicielle, formée par le Göta hovrätt (Suède), Recueil de jurisprudence 2003 page I-12971 et s. Cons. 47 |