La vie privée sur Internet (fr)

Un article de la Grande Bibliothèque du Droit, le droit partagé.

Catégorie: Europe > Droit privé > Droit européen > Protection des données personnelles



Auteur: Nadir Ouchene, Docteur en Droit de l’Université Paris 2, Panthéon-Assas, ATER à l’Université Paris 13 Villetaneuse.

Date: Juin 2019


Fr flag.png
Eu flag.png


Article issu du troisième numéro de la revue "13 en Droit, Revue de Droit de la Faculté de droit, sciences politiques et sociales de l’Université Paris 13."

13 en droit.png








Télécharge la revue




Non définie par la loi, la notion de vie privée, du latin privatus [1] , fait l’objet d’encadrement tant en droit interne qu’en droit international.


Le droit au respect de la vie privée est prévu par les textes mais il trouve également sa place sur Internet grâce à une vision contemporaine de la vie privée.


Désignée de manière générale comme « l’ensemble des activités d’une personne qui concerne son intimité [2]», la vie privée, ou plus précisément, le droit à l’intimité de la vie privée, relève des droits civils.


Il s’agit de la capacité, pour une ou plusieurs personnes, de s’isoler afin de préserver ses intérêts. La perception de ce qui peut être considéré comme privé varie selon les cultures, les coutumes, les individus et les époques.


Le concept de vie privée est très ancien dans le sens où Aristote [3] différenciait déjà deux tournures de la vie. Il opposait d’un côté la sphère privée associée à la vie domestique [4] , et d’un autre côté, la sphère publique associée à la politique [5].


Ce qui ressort de la vie privée se rattache aux sentiments personnels et spéciaux d’une personne mais un encadrement s’est opéré.


La loi ne donne pas de définition ou d’énumération limitative des composantes de la vie privée afin de ne pas en limiter la protection.


Dès lors, les tribunaux ont élargi son domaine et applique le principe de cette protection, à la vie familiale, à la vie sentimentale, au secret de la résidence et du domicile, au secret relatif à la santé et au droit à l’image.


De plus, à l’heure actuelle, l’étude de ce concept ne peut pas se faire sans la prise en considération d’un facteur majeur ayant eu un réel impact : l’évolution des techniques.


Les développements de la photographie, de la presse, des méthodes d’investigation, des réseaux informatiques et des moyens de communication ont bouleversé la vie privée.


Le droit au respect de la vie privée est protégé par un important arsenal législatif et jurisprudentiel. Les droits de la personnalité sont des catégories de droits récemment identifiés.


L’expansion de ces droits est spectaculaire depuis la seconde moitié du XXème siècle. Le droit au respect de la vie privée fut d’abord consacré par la Déclaration universelle des droits de l’Homme de 1948 [6] , puis par la CEDH [7] .


Ensuite, la loi n° 70-643 du 17 juillet 1970 tendant à renforcer la garantie des droits individuels des citoyens a solennellement affirmé à l’article 9 du Code civil que « chacun a droit au respect de sa vie privée » et donne aux juges les moyens de faire cesser, le cas échéant en urgence, toute atteinte à la vie privée.


Cette disposition générale s’accompagne aujourd’hui de diverses dispositions spéciales qui organisent la protection de la vie privée ou l’inimité de celle-ci.


D’ailleurs, signe de l’importance que le législateur attache aux droits de la personnalité, le droit pénal est souvent sollicité pour renforcer la protection de ces droits.


Il est possible de citer par exemple l’article 226-16 du Code pénal [8] en matière d’atteintes aux droits des personnes résultant des fichiers ou des traitements informatiques.


En outre, la jurisprudence dit et répète que « toute personne, quels que soient son rang, sa naissance, sa fortune, ses fonctions présentes ou à venir, a droit au respect de sa vie privée [9]».


Le droit au respect de la vie privée appartient même à l’internaute quelconque, bien que les secrets de sa vie personnelle ne passionnent pas les foules.


Selon l’article 9 du code civil, toute victime d’une atteinte à la vie privée peut obtenir, outre des dommages-intérêts, des mesures pour empêcher ou faire cesser l’atteinte.


La victime peut même agir en référé [10] lorsqu’il y a urgence.


Selon Gény [11] , le juge a une mission suprême qui consiste à procéder à une véritable balance entre les intérêts en présence afin de « donner la satisfaction la plus adéquate aux diverses aspirations rivales, dont la juste conciliation apparaît nécessaire pour réaliser la fin sociale de l’humanité ».


En termes de libertés publiques, le juge doit peser les différents droits afin de les garantir sans que l’un n’empiète sur l’autre.


Ce faisant, la liberté d’expression ne réduira pas excessivement le droit au respect de la vie privée.


Cette notion de la vie privée nécessite une étude liée à l’Internet dans la mesure où elle est utile aux internautes qui aspirent à défendre leurs droits dans un monde où la sécurité semble inexistante.


En étant devant son ordinateur, un utilisateur pense être dans sa sphère privée.


Pourtant, un manque de sécurité peut faire en sorte qu’il ouvre son espace privé au monde entier sans réellement comprendre ce que cela implique.


En ouvrant une application sur son Smartphone, un utilisateur se demande-t-il où vont finir ses données de localisation ou de consultation ? Facebook, Google sont des systèmes de surveillance ; chaque fois qu’un internaute utilise un service gratuit, il n’est pas client mais produit. Certains n’en ont pas conscience, alors que d’autres admettent l’idée qu’ils sont surveillés et se disent qu’ils ne font rien d’illégal si bien qu’ils n’ont rien à cacher.


A quel moment la violation de la vie privée a-t-elle lieu ? Lorsqu’un tiers prend les données d’un utilisateur afin de les stocker.


En effet, celui-ci pourrait avoir la possibilité et l’envie de les utiliser sans que l’utilisateur ne le sache ; une menace pèserait alors sur lui. Ainsi, tout le monde a quelque chose à cacher.


C’est l’idée reprise par Hubert Guillaud dans un article paru dans le Monde [12]  : « l’enjeu de la protection de la vie privée est plus complexe que ce que le « rien à cacher » ne le laisse entendre. L’argument du « je n’ai rien à cacher » signifie souvent « je me moque de ce qui arrive, tant que cela ne m’arrive pas à moi » ».


Il expose les déséquilibres existant entre les surveillants et les surveillés qui échappent de plus en plus à leur vie privée : « l’argument met en balance deux entités qui n’ont pas le même poids : d’un côté, il y a le citoyen, de l’autre il y a le pouvoir exécutif ; d’un côté, il y a l’employé, de l’autre l’employeur ; d’un côté, il y a le consommateur, de l’autre le commerçant ou le banquier… D’un côté, il y a le faible, de l’autre le fort. (…)


La surveillance par les données (la « Dataveillance » comme l’a proposé Roger Clarke) consiste en une utilisation systématique de systèmes de données personnelles pour enquêter ou surveiller les actions ou les communications des gens.


Le problème dans les programmes de surveillance et de fouille de données repose surtout sur le fait que nous ne sachions pas précisément ce qu’ils révèlent de nous, quelles sont les données qui sont utilisées et dans quel but ».


C’est donc dans un rapport de force et de confiance que se trouvent le respect de la vie privée et la confidentialité des données et qu’apparaissent les limites à l’anonymat sur Internet.


Pour faire face à la surveillance de masse qui nuit fortement à la vie privée (I), l’Union européenne s’est armée du règlement général sur la protection des données dit « RGPD » (II).


La surveillance de masse

Qu’est-ce qu’une surveillance de masse ? Concrètement, il s’agit d’une surveillance mondialisée mise en place sur des populations entières sans égard pour les frontières.


L’existence de ce genre de pratique n’a été largement reconnue qu’après la mise en lumière des révélations de Snowden qui ont suscité un débat politique international quant au droit à la vie privée à l’époque du numérique.


Par ailleurs, ces révélations ont créé des discordes entre les Etats-Unis et ses partenaires économiques et alliés.


Notons que cette surveillance de masse est opérée par les services de renseignement (A) mais également par les moteurs de recherche (B).


La collecte de données opérées par les services de renseignements

Le 6 juin 2013, le site du Guardian [13] publie un article [14] titré « la NSA collecte chaque jour les relevés téléphoniques de millions de clients de Verizon [15]  ».


Ce dernier révèle un jugement secret de la cour de la FISA [16] chargée de la supervision des demandes de mandats permettant la surveillance par les agences fédérales judiciaires américaines [17].


Ce jugement déclare : « Il est ordonné par la présente […] de fournir à la NSA […] sur une base quotidienne […] une copie électronique des éléments tangibles suivants : tous les enregistrements des métadonnées téléphoniques créées par Verizon pour les communications (i) entre les Etats-Unis et l’étranger, ou (ii) internes aux Etats-Unis, y compris les appels locaux [18]».


Elles concernent des renseignements extrêmement sensibles sur plus d’un milliard de citoyens situés à travers le monde.


Pour ce faire, la NSA a intercepté les conversations téléphoniques et mis en place des systèmes d’écoutes sur internet grâce à des programmes de surveillance tels que XKeyscore, Bullrun ou PRISM. Le gouvernement britannique aurait utilisé d’autres programmes de surveillance ; Optic Nerve, Mucular et Tempora ont été cités.


Les services de renseignements sont des organisations gouvernementales qui rassemblent des informations afin de parer aux menaces ou aux risques pouvant porter atteinte à la vie de la Nation comme le prévoit l’article L.1111-1' du Code de la Défense : « la stratégie de Sécurité nationale a pour objet d’identifier l’ensemble des menaces et des risques susceptibles d’affecter la vie de la Nation, notamment en ce qui concerne la protection de la population, l’intégrité du territoire et la permanence des institutions de la République, et de déterminer les réponses que les pouvoirs publics doivent y apporter. L’ensemble des politiques publiques concourt à la Sécurité nationale. La politique de Défense a pour objet d’assurer l’intégrité du territoire et la protection de la population contre les agressions armées. Elle contribue à la lutte contre les autres menaces susceptibles de mettre en cause la Sécurité nationale. Elle pourvoit au respect des alliances, des traités et des accords internationaux et participe, dans le cadre des traités européens en vigueur, à la politique européenne de sécurité et de défense commune ».


Au motif de la sécurité nationale, les services de renseignement peuvent espionner les individus et intercepter leurs communications.


A titre d’exemple, utilisés par la direction générale de la Sécurité intérieure [19] , les « IMSI-catcher [20]» ont suscité le débat lors de l’examen de la loi sur le renseignement [21].


Ces appareils de surveillances, facilement transportables [22] , permettent d’intercepter le trafic des communications mobiles afin d’intercepter les messages envoyés par un téléphone portable. Pour parvenir à un tel résultat, l’appareil simule une fausse antenne relais et intercepte le message avant de le renvoyer à l’opérateur afin que l’envoi du message ait lieu normalement.


Toutefois, les interceptions ne sont pas ciblées et tous les téléphones à proximité sont dupés par le « IMSI-catcher ».


Bernard Cazeneuve, le ministre de l’Intérieur de l’époque, avait défendu sa suppression : « il ne faudrait pas que les technologies prévues pour intercepter les communications d’individus que l’on a intérêt à surveiller permettent, du même coup, d’écouter d’autres personnes qui ne devraient pas l’être [23]».


La CNIL [24] aussi s’était inquiétée : « Il ne s’agit plus seulement d’accéder aux données utiles concernant une personne identifiée, mais de permettre de collecter de manière indifférenciée, un volume important de données qui peuvent être relatives à des personnes tout à fait étrangères à la mission de renseignement [25] ».


En tout état de cause, les outils de communication sont rarement sûrs et Internet est devenu une aubaine pour les services de renseignement qui exploitent les failles sécuritaires pour s’introduire dans la vie privée de chacun ; les Etats les ont utilisés pour la mise en place de la surveillance de masse. Mais la collecte des données est surtout l’apanage des moteurs de recherches et des réseaux sociaux (B).


La collecte de données opérée par les moteurs de recherche

L’utilisation des données est massive et leur nombre quasi infini.


Les nouvelles technologies permettent aux moteurs de recherche et aux réseaux sociaux de croiser toutes ces données afin d’obtenir des informations sur l’identité des utilisateurs.


Ces informations peuvent être relatives à la géolocalisation, aux centres d’intérêts, aux derniers achats ou au cercle d’amis de l’internaute.


D’aucuns estiment qu’il s’agit de la plus grande collecte de données non institutionnelle.


En outre, la collecte des données peut s’effectuer avec le consentement de l’internaute qui va volontairement fournir certaines informations personnelles : prénom et nom, date de naissance, études, situation personnelle, goûts musicaux, orientation sexuelle.


Il y a un changement de paradigme dans le rapport que les individus ont au réseau à une époque où ils concèdent gracieusement leurs données afin qu’elles soient monétisées par les grandes entreprises d’Internet.


Le scandale « Cambridge analytica » d’avril 2018 en est la parfaite illustration.


Cette société privée d’analyse de données aurait récupéré les données de 37 millions d’utilisateurs de Facebook : « au total, nous pensons que les informations concernant jusqu’à 87 millions de personnes – principalement aux Etats-Unis – ont pu être partagées à tort avec Cambridge Analytica [26] ».


Cette dernière, également spécialisée dans l’influence politique, a participé à la campagne de Donald Trump en 2016.


En France, plus de 211 000 utilisateurs seraient concernés à cause de l’application «thisisyourdigitallife » qui aurait été téléchargée et installée par 76 utilisateurs.


Il s’agit d’un questionnaire que ces 76 utilisateurs de Facebook ont installé et qui aurait impacté leur cercle d’amis.


Le 24 mars 2018, un juge de la Haute Cour de Londres a donné au régulateur britannique chargé de la protection des données l’autorisation de perquisitionner les bureaux de la société afin de consulter les serveurs et d’effectuer une vérification des données.


Mark Zuckerberg, le créateur de Facebook, a même été contraint de s’expliquer devant le Congrès américain le 10 avril 2018.


Face à des élus très remontés en raison de la défaillance de Facebook sur la protection des données, le patron de Facebook a présenté de longues excuses et reconnu ses manquements : « Il est clair désormais que nous n’avons pas assez travaillé pour empêcher ces outils d’être utilisés à des fins néfastes. Cela inclut les fausses nouvelles, les interférences étrangères, les discours de haine ainsi que la vie privée. Nous n’avons pas suffisamment pris conscience de l’ampleur de notre responsabilité, et c’était une grave erreur. C’était mon erreur et je suis désolé. J’ai créé et dirige Facebook, je suis responsable de ce qui s’y passe [27]».


Néanmoins, son argumentaire n’a pas convaincu et les offensives des élus se sont multipliées : « nous donneriez-vous le nom de l’hôtel dans lequel vous étiez hier soir ? (...) Et le nom des gens avec qui vous avez échangé des messages la semaine dernière ? (…) Votre droit à la vie privée. Il s’agit de votre droit et de savoir si vous êtes prêt à l’abandonner afin, je cite, de connecter le monde. Tout le monde devrait pouvoir contrôler la façon dont ses données sont utilisées [28]».


Par ailleurs, lorsqu’un sénateur lui a demandé s’il trouvait approprié le nouveau règlement européen sur la protection des données personnelles [29], le jeune milliardaire a rétorqué « tout le monde mérite une bonne protection des données, je pense que ce sera relativement différent aux États-Unis, où nous avons une sensibilité un peu différente ».


Il ne l’avoue pas mais ce texte européen et ses objectifs semblent le contrarier puisqu’il a été contraint de modifier sa politique relative aux données personnelles.


En effet, « le règlement général sur la protection des données », dit RGPD, tend à encadrer les activités de Facebook, Google et consorts sur la scène européenne mais aussi sur la scène internationale.


Les « mastodontes du Net » n’étaient pas très enthousiastes face à certaines règles contraignantes du RGPD.


Facebook a par exemple émis quelques recommandations sur le règlement avant son entrée en vigueur.


Ce texte s’appuie sur la protection de la vie privée et des données personnelles.


Les entités concernées ; partis politiques, administrations, entreprises, associations et leurs sous-traitants ne pourront collecter que les données nécessaires en s’assurant du consentement éclairé des utilisateurs qui auront un droit de regard et de modification sur l’utilisation de leurs données.


Facebook est contraint à plus de transparence et c’est la raison pour laquelle le réseau social a invité tous ses utilisateurs européens à une vérification des options de protections de leur vie privée.


Pour préparer le site à l’entrée en vigueur du RGPD, une équipe de juristes et d’experts a été réquisitionnée à Dublin au siège européen de la plateforme.


Le règlement a poussé la plateforme a centralisé tous ses réglages relatifs à la vie privée sur une page plus accessible pour les utilisateurs.


Facebook a même rendu publics ses « sept principes » relatifs à la vie privée : « Facebook vous donne le contrôle de votre confidentialité » ; « Facebook vous aide à comprendre comment vos données sont utilisées » ; '« Facebook tient compte de la confidentialité pour ses produits dès leur conception » ; « Facebook travaille dur à sécuriser vos informations » ; « Facebook vous donne le contrôle de vos informations et vous pouvez les supprimer ».


Par conséquent, les difficultés inhérentes à Internet se sont multipliées et ont nécessité l’instauration de règles censées garantir la sécurité juridique des internautes (II).


Le Règlement général sur la protection des données personnelles

Voté le 27 avril 2016, le Règlement général sur la protection des données personnelles, dit RGPD, est entré en vigueur le 25 mai 2018 et a abrogé l’ancienne directive européenne 95/46/CE [30] et une grande partie de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés.


D’aucuns considèrent qu’il s’agit d’une énorme avancée. Les règles protégeant l’intégrité de l’identité des utilisateurs et les atteintes à leur vie privée sont renforcées. Pour plus d’efficacités, le RGPD s’inscrit dans la continuité de la directive européenne mais présente de nombreux changements.


Il s’agit d’un règlement européen si bien que contrairement à une directive, il ne nécessite pas de transposition dans les Etats membres.


Il encadre, au niveau européen [31], la collecte et l’utilisation des données relatives aux salariés, administrés et clients.


Le renforcement des droits des personnes et de la confiance, éléments essentiels au développement économique et à l’innovation, est la pierre angulaire des 99 articles de la réforme.


A cet égard, la Commission européenne a précisé que « s’ils n’ont pas totalement confiance, les consommateurs hésiteront à faire des achats en ligne et à recourir à de nouveaux services. Cela risquerait de ralentir l’innovation dans l’utilisation des nouvelles technologies [32] ».


La libre circulation des données personnelles doit être assurée afin de renforcer l’effectivité du droit de la protection des données et le marché unique du numérique.


Ce faisant, le RGPD crédibilise le contrôle au moyen du renforcement de la coopération entre les autorités qui pourront agir de manière transnationale à travers des décisions communes.


La responsabilisation des acteurs traitant des données est également un objectif.


En ce sens, le champ d’application du règlement est différent de celui de l’ancienne directive 95/46/CE.


Désormais, l’article 3 du RGPD prévoit que c’est le lieu « d’exercice effectif et réel d’une activité au moyen d’un dispositif stable », et non la forme juridique, qui sera retenu.

Dès lors, si le soustraitant [33] ou le responsable de traitement [34] est situé dans l’Union européenne, le règlement a vocation à s’appliquer, et ce, peu importe le lieu du traitement.


C’est par exemple le cas si une entreprise établie en Italie traite les données d’un citoyen Brésilien.


En revanche, si le sous-traitant ou le responsable de traitement n’est pas situé dans l’Union européenne, le champ d’application du règlement est restreint puisqu’il ne s’appliquera que si le traitement est lié au suivi du comportement d’un utilisateur ou à l’offre de bien ou de services avec ou sans paiement.


L’idée est d’encadrer la récolte des données personnelles effectuée par les multinationales comme Google ou Facebook.


Dans la continuité des anciennes mesures, la définition de donnée personnelle n’a pas été modifiée.


La loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés n’utilisait pas la terminologie « données à caractère personnel » mais « informations nominatives ».


Son article 4 les désignait comme « les informations qui permettent (…) l’identification des personnes physiques auxquelles elles s’appliquent ».

Depuis la loi LCEN [35] , son article 2 dispose que : « constitue une donnée à caractère personnel toute information 20 21 relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, par référence à un numéro d’identification ou à un ou plusieurs éléments qui lui sont propres. Pour déterminer si une personne est identifiable, il convient de considérer l’ensemble des moyens en vue de permettre son identification dont dispose ou auxquels peut avoir accès le responsable du traitement ou toute autre personne ».


Mais, l’article 4 du RGDP donne une définition plus large de la donnée, il s’agit de « toute information se rapportant à une personne physique identifiée ou identifiable ».


De plus, « est réputée être une personne physique identifiable une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale ».


Ainsi, une donnée peut être personnelle même si elle est liée à un individu dont l’identité n’est pas connue.


Il peut s’agir d’un groupe sanguin, d’un poids, d’une date de naissance ou encore d’une conviction politique.


En outre, d’anciens principes sont maintenus afin que l’encadrement de la collecte des données personnelles soit garanti [36].


Dès lors, l’article 5 du RGPD prévoit que « les données à caractère personnel doivent être traitées de manière licite, loyale et transparente au regard de la personne concernée », en déterminant les finalités du traitement et en minimisant les données qui doivent être « pertinentes, adéquates » et non excessives au regard des objectifs de traitement.


Il renvoie à l’article 6-3 de la loi informatique et liberté qui dispose que les données « sont adéquates, pertinentes et non excessives au regard des finalités pour lesquelles elles sont collectées et de leurs traitements ultérieurs ».

L’article 5 du RGPD met en avant les exigences habituelles de la pertinence, l’adéquation et la proportionnalité de la collecte des données par rapport aux finalités de traitement en y ajoutant un nouveau principe, celui de sa minimisation.


Ce principe contraint, selon Maître Alain Bensoussan, l’entité concernée à donner une justification quant au caractère nominatif des données collectées [37] .


L’anonymat devient alors le principe et l’identification l’exception.


De plus, l’entité doit fixer une durée de conservation des données adaptée aux finalités [38] et une fois ce délai dépassé, les données devront être supprimées ou anonymisées, ce qui n’est pas une tâche quelconque [39] .


Concernant les règles préventives des atteintes à la vie privée, l’article 6 du RGPD prévoit que le traitement doit être licite ou remplir une des conditions exposées.


Il se situe dans la continuité de l’article 7 de la loi informatique et libertés qui dispose que : « Un traitement de données à caractère personnel doit avoir reçu le consentement de la personne concernée ».


Ainsi, l’organisme a d’abord la possibilité d’obtenir le consentement de la personne concernée [40] défini par l’article 4 comme « toute manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou par un acte positif clair, que des données à caractère personnel la concernant fassent l’objet d’un traitement ».


Dès lors, le consentement ne peut pas être donné via une case pré-cochée et doit être non-équivoque.


De même, la licéité du traitement ne sera pas remise en cause si l’utilisateur retire son consentement puisqu’il a la possibilité de le faire à tout moment : « la personne concernée a le droit de retirer son consentement à tout moment. Le retrait du consentement ne compromet pas la licéité du traitement fondé sur le consentement effectué avant ce retrait. La personne concernée en est informée avant de donner son consentement. Il est aussi simple de retirer que de donner son consentement ».


Par ailleurs, à l’instar de l’article 7 de la loi informatique et libertés, l’organisme a la possibilité de répondre à d’autres principes de licéité énoncés à l’article 6 du RGPD.


Tel est le cas lorsque « le traitement est nécessaire à l’exécution d’un contrat auquel la personne concernée est partie ou à l’exécution de mesures précontractuelles prises à la demande de celle-ci ; nécessaire au respect d’une obligation légale à laquelle le responsable du traitement est soumis ; nécessaire à la sauvegarde des intérêts vitaux de la personne concernée ou d’une autre personne physique ; nécessaire à l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique dont est investi le responsable du traitement ; nécessaire aux fins des intérêts légitimes poursuivis par le responsable du traitement ou par un tiers, à moins que ne prévalent les intérêts ou les libertés et droits fondamentaux de la personne concernée qui exigent une protection des données à caractère personnel, notamment lorsque la personne concernée est un enfant ».


Cet intérêt légitime permettant d’écarter la nécessité du consentement préalable est laissé à l’appréciation souveraine du juge.


L’autre aspect préventif consiste à garantir la confidentialité et la sécurité des données personnelles de la personne en l’informant « d’une façon concise, transparente, compréhensible et aisément accessible, en des termes clairs et simples » qu’une collecte de ses données est en cours.


L’utilisateur aura ensuite la possibilité d’accéder à ses données pour les modifier ou les supprimer.


Concernant les données personnelles sensibles, l’article 9 du RGPD dispose que le traitement de ce genre de données « qui révèle l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l’appartenance syndicale, ainsi que le traitement des données génétiques, des données biométriques aux fins d’identifier une personne physique de manière unique, des données concernant la santé ou des données concernant la vie sexuelle ou l’orientation sexuelle d’une personne physique sont interdits ».


En parallèle, d’autres possibilités juridiques ou extrajuridiques protégeant l’utilisateur sont à évoquer.


L’idée d’un droit de propriété des internautes sur leurs données est souvent proposée mais les conséquences seraient trop importantes pour pouvoir réellement le mettre en place.


En ce sens, le RGPD fait apparaître de nouveaux droits qui avaient déjà été envisagés par la loi n° 2016-1321 du 7 octobre 2016 pour une République numérique : le droit au déréférencement et le droit à la portabilité des données personnelles.


Cette dernière est prévue par l’article 20 du RGPD : « les personnes concernées ont le droit de recevoir les données à caractère personnel les concernant qu’elles ont fournies à un responsable du traitement, dans un format structuré, couramment utilisé et lisible par machine, et ont le droit de transmettre ces données à un autre responsable du traitement sans que le responsable du traitement auquel les données à caractère personnel ont été communiquées y fasse obstacle ».


Cette possibilité est très opportune d’un point de vue pratique puisque l’utilisateur a désormais un rôle actif dans le recueil de ses données.


Il est en mesure de contrôler le partage de ses données entre les différents services et systèmes qu’il utilise.


Cela permet une meilleure gestion de ses données qui ne sont pas dispersées un peu partout.


Certains regrettent l’absence du droit à la mort numérique et du droit à la transparence des algorithmes mais en France ils sont déjà garantis par la loi pour une République numérique.


Le premier permet d’exprimer de son vivant ses volontés concernant la conservation et l’effacement de ses données après sa mort tandis que le second permet à l’utilisateur d’être informé qu’un algorithme a été utilisé pour une prise de décision le concernant.


Enfin, le RGPD prévoit que l’organisme traitant les données doit être capable de prouver que toutes ses obligations sont respectées.


Il a la charge de la preuve et un registre des traitements doit être tenu.


Ce concept, appelé « accountability », désigne « l’obligation pour les entreprises de mettre en œuvre des mécanismes et des procédures internes permettant de démontrer le respect des règles relatives à la protection des données41 ».


Le RGPD prend en compte ce concept à travers l’article 5 in fine qui dispose que « le responsable du traitement est responsable du respect du paragraphe 1 et est en mesure de démontrer que celui-ci est respecté (responsabilité) ».


Par conséquent, le règlement poursuit des objectifs bien établis.


Il tend à renforcer les droits des utilisateurs qui auront le droit à la portabilité de leurs données personnelles leur permettant de les récupérer et de les réutiliser.


Ensuite, le règlement aspire à une responsabilisation des acteurs traitant les données. Enfin, il vise à faire coopérer les autorités en matière de traitement des données.


Elles seront amenées à prendre des décisions communes pour les cas transnationaux.


La complexité de ce récent texte va compliquer son application tant pour les entreprises que pour les citoyens, c’est la raison pour laquelle certains utilisateurs préfèrent se fier à des méthodes de chiffrement pour échanger leurs informations et à l’utilisation du Darknet afin d’être de plus en plus anonyme.


Notes

  1. 1 Dépourvu de, séparé de
  2. 2 Définition de la vie privée : http://www.linternaute.fr/dictionnaire/fr/definition/vie-privee/
  3. 3 Vème siècle avant J.C
  4. 4 Oikos
  5. 5 Polis
  6. 6 - Article 12 : « Nul ne sera l’objet d’immixtions arbitraires dans sa vie privée, sa famille, son domicile ou sa correspondance, ni d’atteintes à son honneur et à sa réputation. Toute personne a droit à la protection de la loi contre de telles immixtions ou de telles atteintes ».
  7. 7 Article 8 : « Toute personne a droit au respect de sa vie privée et familiale, de son domicile et de sa correspondance. Il ne peut y avoir ingérence d’une autorité publique dans l’exercice de ce droit que pour autant que cette ingérence est prévue par la loi et qu’elle constitue une mesure qui, dans une société démocratique, est nécessaire à la sécurité nationale, à la sûreté publique, au bien-être économique du pays, à la défense de l’ordre et à la prévention des infractions pénales, à la protection de la santé ou de la morale, ou à la protection des droit et libertés d’autrui »
  8. 8 Le fait, y compris par négligence, de procéder ou de faire procéder à des traitements de données à caractère personnel sans qu’aient été respectées les formalités préalables à leur mise en oeuvre prévues par la loi est puni de cinq ans d’emprisonnement et de 300 000 euros d’amende ».
  9. 9 - Cour de cassation, 1ère chambre civile, 23 octobre1990, n°89-13.163 ; solution rappelée par le TGI le 11 janvier 2008 au sujet de la publication d’un livre sur Cécilia Sarkozy : « Attendu, en droit, qu’en vertu de l’article 9 du Code civil et par principe, toute personne a droit au respect de sa vie privée, quelle que soit sa notoriété »
  10. 10 Il s’agit d’une procédure simplifiée et accélérée, soumise au principe du contradictoire, grâce à laquelle une partie peut, dans certains cas prévus par la loi, obtenir immédiatement une décision provisoire, auprès d’une juridiction dédiée à cet effet, statuant en général à juge unique.
  11. 11 - F. Gény, Méthode d’interprétation et sources en droit privé positif, LGDJ, 1919, tome II, n°173.
  12. 12 Hubert GUILLAUD, La valeur sociale de la vie privée, 27 octobre 2009. Disponible à cette adresse : https://www.lemonde.fr/technologies/article/2009/10/27/la-valeur-sociale-de-la-vie-privee_1259161_651865.html, [consulté le 24 avril 2015].
  13. 13 The Guardian est un site de presse britannique.
  14. 14 GREENWALD G., NSA collecting phone records of millions of Verizon customers daily, 6 juin 2013. Disponible à cette adresse : https://www.theguardian.com/world/2013/jun/06/nsa-phone-records-verizon-court-order, [consulté le 22 septembre 2016].
  15. 15 - Texte original : « NSA collecting phone records of millions of Verizon customers daily ».
  16. 16 « The United States Foreign Intelligence Surveillance Court » (Cour de Surveillance du Renseignement Etranger des Etats-Unis)
  17. 17 THE GUARDIAN, Verizon forced to hand over telephone data – full court ruling, 6 juin 2013. Disponible à cette adresse : https://www.theguardian.com/world/interactive/2013/jun/06/ verizon-telephone-data-court-order, [consulté le 22 septembre 2016].
  18. 18 Texte original : « IT IS HEREBY ORDERED […] shall produce to the National Security Agency (NSA) […] on an ongoing daily basis […] an electronic copy of following tangible things : all cal detail record or telephony metadata created by Verizon for communications (i) between the United States and abroad ; or (ii) wholly within the United States, including local telephone calls ».
  19. 19 La DGSI est un service de renseignement de ministère de l’intérieur français.
  20. 20 0 - Littéralement ce terme donne « attrape-IMSI » ; un IMSI est un « International Mobile Subscriber Identity » c’est-à-dire un numéro de téléphone. Ainsi, le IMSI catcher permet d’intercepter les données transmises par le biais d’un téléphone portable
  21. 21 - Loi n° 2015-912 du 24 juillet 2015 relative au renseignement.
  22. 22 - Ils peuvent ressembler à des valises ou être montés à l’arrière d’un véhicule.
  23. 23 À l’Assemblée nationale lors de la séance du jeudi 18 septembre 2014. Disponible à cette adresse : http://www.assemblee-nationale.fr/14/cri/2013-2014-extra2/20142013.asp#P307228, [consulté le 20 novembre 2015].
  24. 24 La Commission nationale de l’informatique et des libertés de France.
  25. 25 UNTERSINGER M., Les critiques de la CNLIL contre le projet de loi sur le renseignement, 8 mars 2015. Disponible à cette adresse : http://www.lemonde.fr/pixels/article/2015/03/18/les-critiques-de-la-cnil-contre-le-projetde-loi-sur-le-renseignement_4595839_4408996.html, [consulté le 8 février 2016].
  26. 26 LE MONDE, Cambridge Analytica : 87 millions de comptes Facebook concernés. Disponible à cette adresse : http://www.lemonde.fr/pixels/article/2018/04/04/cambridge-analytica-87-millions-de-comptesfacebook-concernes_5280752_4408996.html, [consulté le 16 avril 2018].
  27. 27 LE PARISIEN, Facebook : ce qu’il faut retenir du mea culpa de Mark Zuckerberg devant le Congrès, 10 avril 2018. Disponible à cette adresse : http://www.leparisien.fr/high-tech/facebook-ce-qu-il-faut-retenir-du-mea-culpa-de-mark-zuckerberg-devant-le-congres-10-04-2018-7657422. php, [consulté le 8 mai 2018].
  28. 28 DUNAWAY J., Sen. Dick Durbin Proves Mark Zuckerberg Is As Awkward As the Rest of Us, 10 avril 2018. Disponible à cette adresse : https://slate.com/technology/2018/04/dick-durbins-questionat-the-senate-congressional-hearing.html, [consulté le 8 mai 2018].
  29. 29 Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016.
  30. 30 - Relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données
  31. 31 Plus précisément au sein de l’Union Européenne et de ses 28 Etats membres.
  32. 32 Proposition de Règlement RGPD, COM(2012)11 final, Bruxelles, 25 janvier 2012.
  33. 33 Le sous-traitant est défini comme « la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui traite des données à caractère personnel pour le compte du responsable du traitement ».
  34. 34 - Le responsable de traitement désigne « la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du traitement ».
  35. 35 Loi n° 2004-801 du 6 août 2004 relative à la protection des personnes physiques à l’égard des traitements de données à caractère personnel et modifiant la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés.
  36. 36 LEVALLOIS-BARTH C., Big data et protection des données personnelles : un défi (quasi) impossible ? Revue TELECOM, n° 169, 2013.
  37. 37 - Conférence de Maître Alain Bensoussan sur le droit du Big Data à l’Université Supinfo, 2 avril 2013. Disponible en vidéo à cette adresse : https://www.youtube.com/watch?v=TdYkBfoxs0M&t=7s, [consulté le 2 avril 2015].
  38. 38 Conservées sous une forme permettant l’identification des personnes concernées pendant une durée n’excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées ; les données à caractère personnel peuvent être conservées pour des durées plus longues dans la mesure où elles seront traitées exclusivement à des fins archivistiques dans l’intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques conformément à l’article 89, paragraphe 1, pour autant que soient mises en œuvre les mesures techniques et organisationnelles appropriées requises par le présent règlement afin de garantir les droits et libertés de la personne concernée. 3
  39. 39 - LEVALLOIS-BARTH C., LAURENT M., La difficile anonymisation des données personnelles, Revue TELECOM, n° 177, 2015.
  40. 40 Pour les mineurs, le traitement de données personnelles n’est licite que si le consentement est donné par le titulaire de la responsabilité parentale.