Marie-Laure LAFFAIRE Protection des données à caractère personnel Éditions d Organisation, 2005 ISBN : 2-7081-3235-0
Chapitre 2 Champ d application Le champ d application matériel de la réglementation est visé en ces termes à l article 2 de la loi du 6 janvier 1978 modifiée (qui reprend l article 3 de la directive européenne de 1995) : «La présente loi s applique aux traitements automatisés de données à caractère personnel, ainsi qu aux traitements non automatisés de données à caractère personnel contenues ou appelées à figurer dans des fichiers, à l exception des traitements mis en œuvre pour l exercice d activités exclusivement personnelles, lorsque leur responsable remplit les conditions prévues à l article 5.» Ainsi, avant d aborder le corps de cette législation, le préalable est bien entendu de se situer dans le champ d application de la loi du 6 janvier 1978 modifiée, c est-à-dire de procéder à un traitement automatisé ou non de données à caractère personnel relatives à des personnes physiques, considérant que la loi du 6 janvier 1978 modifiée est territorialement applicable. Pour faire simple, le postulat de départ peut prendre la forme de l équation suivante : Données à caractère personnel + traitement (dès la simple collecte) = application de la loi du 6 janvier 1978 Personnes physiques Ce postulat de départ doit être utilisé comme un réflexe pratique et aboutir à définir si oui ou non la loi est applicable au traitement concerné. Éditions d Organisation 35
PROTECTION DES DONNÉES À CARACTÈRE PERSONNEL Afin de bien maîtriser cette réglementation, il est donc indispensable de connaître les notions-clés (éléments déclencheurs et éléments moteurs). Ces notions font l objet d une définition légale nouvelle ou aménagée. Elles seront brièvement exposées ci-après ainsi qu au chapitre 3 (les acteurs). Enfin, il convient de noter que certains cas sont exclus du champ d application de la loi. Exclusions du champ d application de la loi Exclusion des traitements réalisés à des fins personnelles La nouvelle loi précise que les traitements mis en œuvre pour l exercice d activités exclusivement personnelles, ne tombent pas dans le champ d application de la loi. Cela était déjà le cas antérieurement pour les traitements relevant du strict exercice du droit à la vie privée (ancien article 45 de la loi de 1978). TEXTES Loi du 6 janvier 1978 Directive européenne du 24 octobre 1995 Article 2 La présente loi s applique aux traitements automatisés de données à caractère personnel ( ) à l exception des traitements mis en œuvre pour l exercice d activités exclusivement personnelles. Article 3 La présente directive ne s applique pas au traitement de données à caractère personnel effectué par une personne physique pour l exercice d activités exclusivement personnelles ou domestiques. Illustration Il s agit principalement des répertoires d adresses personnels, des correspondances ou encore des annuaires privés. 36 Éditions d Organisation
Champ d application Réflexe pratique Ces cas d exclusion sont expressément visés par la loi et restent limités. Exclusion de certains traitements en raison de leur finalité Dans certains cas et par combinaison d articles de la loi, certains traitements peuvent échapper à l application de la réglementation eu égard à leur finalité. Ce serait le cas par exemple d un fichier de données recensant l ensemble des ouvrages d une bibliothèque, y inclus bien entendu les noms, prénoms et titres des auteurs. La CNIL a estimé que les traitements automatisés lorsqu ils portent sur des données à caractère personnel jugées accessoires par rapport à leur finalité principale et lorsque les informations ne portent pas atteinte ni directement ni indirectement à l identité humaine, aux droits de l homme, à la vie privée ou aux libertés individuelles ou publiques n entrent pas dans le champ d application de la loi du 6 janvier 1978. Cela conduit à une analyse au cas par cas subordonnée au contrôle du juge. En matière de textes, il convient de se référer aux articles 1 et 2 de la loi du 6 janvier 1978 modifiée. Illustration Dans une délibération n 80-34 du 21 octobre 1980 relative au traitement automatisé de la comptabilité générale, la CNIL a estimé à l époque que les traitements portant sur la comptabilité générale ne constituaient pas des traitements de données à caractère personnel au sens de la définition donnée par la loi. Ainsi, la CNIL a décidé que : «La tenue de la comptabilité générale des organismes publics ou privés, à laquelle des comptabilités auxiliaires sont éventuellement rattachées, est obligatoire en vertu des articles 8 à 10 du Code de commerce et de l article 340 de la loi du 24 juillet 1966 Éditions d Organisation 37
PROTECTION DES DONNÉES À CARACTÈRE PERSONNEL et que cette comptabilité ne pourrait être établie dans les conditions fixées par lesdits textes sans l enregistrement de données nominatives ; Considérant que si des informations nominatives figurent dans les systèmes automatisés de comptabilité générale, leur traitement a pour seul objet la représentation et les fluctuations du patrimoine de l organisme ainsi que la constatation de sa situation financière ; Que d autre part, ces informations ne portent atteinte ni directement ni indirectement à l identité humaine, aux droits de l homme, à la vie privée ou aux libertés individuelles ou publiques ; Estime que de tels traitements ne constituent pas des traitements automatisés d informations nominatives au sens de l article 5 de la loi du 6 janvier 1978 et en conséquence, échappent à l obligation de demande d avis ou de déclaration inscrite dans les articles 15 et 16 de ladite loi sous réserve d observer les conditions suivantes : le traitement automatisé de la comptabilité générale et des comptabilités auxiliaires qui peuvent lui être rattachées doit avoir pour seul objet la représentation et les fluctuations du patrimoine de l organisme public ou privé et la constatation de sa situation financière ; les informations nominatives sont limitées comme suit : nom et prénom, adresse, domiciliations bancaires, renseignements sur la nature des opérations effectuées ; les informations ne doivent pas faire l objet d une cession à des tiers ou d un échange. Le traitement ne doit pas donner lieu à des interconnexions autres que celles nécessaires à l objet défini ci-dessus.» Réflexe pratique Ces cas potentiels d exclusion sont rares. Ils ne sont pas expressément visés par la loi et une telle analyse reste soumise au contrôle du juge. 38 Éditions d Organisation
Champ d application Exclusion des traitements de copies temporaires (activité de caching) La nouvelle loi a introduit une nouvelle exclusion pour prendre en compte les spécificités liées à Internet et notamment les techniques de caching, à savoir les copies temporaires de données, fichiers et autres contenus, réalisées dans le cadre d activités techniques de transmission ou de fourniture d accès sur le réseau Internet ou sur un Intranet. Cette dérogation, dont la rédaction peut sembler un peu complexe, vise notamment le recours par les fournisseurs d accès aux serveurs proxys ou encore qualifiés de serveurs «mandataires». Cette exclusion n est toutefois valable qu en raison de sa finalité même et des moyens mis en œuvre. Ainsi, la finalité consiste à améliorer en qualité lesdits services de transmission (ou d accès) en vue d un «meilleur accès aux informations transmises». Les moyens mis en œuvre doivent être exclusivement limités à un stockage automatique, intermédiaire et transitoire des données. Article 4 Loi du 6 janvier 1978 Les dispositions de la présente loi ne sont pas applicables aux copies temporaires qui sont faites dans le cadre des activités techniques de transmission et de fourniture d accès à un réseau numérique, en vue du stockage automatique, intermédiaire et transitoire des données et à seule fin de permettre à d autres destinataires du service le meilleur accès possible aux informations transmises. TEXTES Directive commerce électronique Article 13 Forme de stockage dite «caching» 1. Les États membres veillent à ce que, en cas de fourniture d un service de la société de l information consistant à transmettre, sur un réseau de communication, des informations fournies par un destinataire du service, le prestataire ne soit pas responsable au titre du stockage automatique, intermédiaire et temporaire de cette information fait dans le seul but de rendre plus efficace la transmission ultérieure de l information à la demande d autres destinataires du service, à condition que : Éditions d Organisation 39
PROTECTION DES DONNÉES À CARACTÈRE PERSONNEL a) le prestataire ne modifie pas l information ; b) le prestataire se conforme aux conditions d accès à l information ; c) le prestataire se conforme aux règles concernant la mise à jour de l information, indiquées d une manière largement reconnue et utilisées par les entreprises ; d) le prestataire n entrave pas l utilisation licite de la technologie, largement reconnue et utilisée par l industrie, dans le but d obtenir des données sur l utilisation de l information et e) le prestataire agisse promptement pour retirer l information qu il a stockée ou pour en rendre l accès impossible dès qu il a effectivement connaissance du fait que l information à l origine de la transmission a été retirée du réseau ou du fait que l accès à l information a été rendu impossible, ou du fait qu un tribunal ou une autorité administrative a ordonné de retirer l information ou d en rendre l accès impossible. 2. Le présent article n affecte pas la possibilité, pour une juridiction ou une autorité administrative, conformément aux systèmes juridiques des États membres, d exiger du prestataire qu il mette fin à une violation ou qu il prévienne une violation. Illustration Ces serveurs proxys ou serveurs mandataires ont, schématiquement, pour fonction «d économiser des capacités de communication sur le réseau, en mémorisant temporairement les adresses des internautes et les sites web consultés afin qu il ne soit pas nécessaire d accéder au serveur initial, parfois éloigné et distant, en cas 40 Éditions d Organisation
Champ d application de nouvelle requête. Ces opérations d optimisation et de régulation du trafic comportent nécessairement le stockage temporaire de données à caractère personnel, dont l exclusion du champ d application de la loi se justifie pleinement, puisqu il ne comporte aucun danger pour les libertés personnelles des internautes, compte tenu de leur effacement rapide par les serveurs proxys.» (Extrait du rapport parlementaire du député Gérard Gouzes, 9 janvier 2002, p. 31) Réflexe pratique Ce cas vise une activité technique bien précise. Les cas d extension possibles par analogie au vu des évolutions et avancées technologiques seront à considérer à la lumière de la réglementation dans son ensemble, notamment son article premier. Définition des notions phares La loi du 6 janvier 1978 modifiée s applique sous réserve que les conditions ci-dessous soient réunies : existence de données à caractère personnel 1 relatives à des personnes physiques ; mise en œuvre d un traitement automatisé ou non 2. 1. Les termes de «donnée nominative» ou encore de «donnée personnelle» pourront être utilisés (citation de cas antérieurs à la nouvelle loi), même si le terme exact de la nouvelle loi est celui de «donnée à caractère personnel». 2. Sous l empire de la loi ancienne (article 45 ancien), si le traitement n était pas automatisé (fichiers manuels par exemple), seule une partie des dispositions de la loi du 6 janvier 1978 avait vocation à s appliquer. Cette distinction n existe plus aujourd hui, reprenant en cela la position de la directive européenne. Éditions d Organisation 41
PROTECTION DES DONNÉES À CARACTÈRE PERSONNEL Notion de données à caractère personnel L ancien texte de la loi de 1978 (article 4) définissait les données nominatives comme «[ ] les informations qui permettent, sous quelque forme que ce soit, directement ou non, l identification des personnes physiques auxquelles elles s appliquent, que le traitement soit effectué par une personne physique ou par une personne morale». De cette définition assez large sont nées toute une jurisprudence et une doctrine de la CNIL permettant d illustrer largement cette notion et d en affiner les contours, notamment s agissant de la notion de données indirectement nominatives (voir ci-dessous). Ainsi, sont considérées comme des données à caractère personnel, le nom et les prénoms, l adresse postale, l adresse e-mail, l adresse IP, les cookies ou autres programmes informatiques permettant d identifier un individu ou son ordinateur, le numéro de compte bancaire, les numéros de cartes de crédit, le numéro de Sécurité sociale, le numéro du permis de conduire, le numéro de téléphone, le segment comportemental rattaché à un individu, la photographie, le dessin d une personne, les données anthropomorphiques d un individu, la voix, l image, etc. L article 2 de la loi du 6 janvier 1978 dispose : «Constitue une donnée à caractère personnel toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, par référence à un numéro d identification ou à un ou plusieurs éléments qui lui sont propres. Pour déterminer si une personne est identifiable, il convient de considérer l ensemble des moyens en vue de permettre son identification dont dispose ou auxquels peut avoir accès le responsable du traitement ou toute autre personne.» La nouvelle définition reprend celle plus large inscrite dans la directive européenne de 1995. Le nouveau texte ajoute un bémol qui a son importance s agissant de l identification de la personne. En effet, le texte précise que pour déterminer si une personne est identifiable, il convient de considérer l ensemble des moyens en vue de permettre son identification dont 42 Éditions d Organisation
Champ d application dispose ou auxquels peut avoir accès le responsable du traitement ou toute autre personne. Cette précision découle d un considérant de la directive européenne de 1995 1 aux termes duquel «pour déterminer si une personne est identifiable, il convient de considérer l ensemble des moyens susceptibles d être raisonnablement mis en œuvre, soit par le responsable du traitement, soit par une autre personne, pour identifier ladite personne.» Toutefois, au cours des travaux parlementaires précédents l adoption de la loi, la référence au caractère raisonnable ou non des moyens mis en œuvre a été à dessein supprimée dans un souci de sécurité juridique : «Tout en partageant cette volonté d encourager le développement des traitements d anonymisation en clarifiant la frontière entre données à caractère personnel et données anonymes, l Assemblée nationale a, en deuxième lecture, à l initiative de son rapporteur M. Francis Delattre, et avec l avis favorable du gouvernement, adopté un amendement tendant à prévoir que, pour déterminer si une personne est identifiable, l ensemble des moyens destinés à permettre son identification doit être pris en considération, nonobstant le caractère raisonnable ou non des procédés mis en œuvre. La suppression de l adverbe raisonnablement doit permettre de prévenir des difficultés d interprétation. Votre commission souscrit à cette volonté de sécurité juridique 2.» Ainsi, la réglementation n est pas applicable aux données rendues anonymes d une manière telle que la personne concernée n est plus identifiable. 1. Considérant n 26 de la directive européenne du 24 octobre 1995. 2. Rapport du sénateur Alex Türk, 23 juin 2004, p. 20. Éditions d Organisation 43
PROTECTION DES DONNÉES À CARACTÈRE PERSONNEL Cette notion d anonymat est à manier avec précaution, notamment au regard des enjeux que représente le respect de cette réglementation. En effet, il arrive assez fréquemment qu une donnée soit considérée par un responsable de traitement de données comme étant «anonymisée» dès lors que les liens directs d identification (nom, prénoms, adresses, numéros d identification, etc.) sont supprimés ou caviardés. Or, cette approche n est pas conforme à la loi. Pour comparaison, un certain nombre d États de l Union européenne ont une approche pragmatique de cette notion d anonymat. Ainsi, en Allemagne, la loi fédérale sur la protection des données à caractère personnel du 23 mai 2001 précise, dans le 6 de l article 3, que «la dépersonnalisation signifie la modification des données à caractère personnel effectuée de telle sorte que l information relative à des caractéristiques personnelles ou matérielles ne peut plus, ou seulement au prix de délais et de moyens financiers et humains disproportionnés, être rattachée à un individu identifié ou identifiable». Cette notion d anonymat doit être analysée au regard des paramètres légaux que constituent les moyens susceptibles d être mis en œuvre pour permettre une identification, mais surtout au regard de la finalité du traitement et des enjeux futurs que peut représenter un détournement de cette finalité ou encore de futures techniques de recherche ou de recoupement d informations. Il est d ailleurs intéressant de noter que la CNIL s est déjà prononcée pour imposer des seuils permettant de garantir l anonymat (par exemple, en matière de recensement général de la population) ou encore pour préconiser des modalités d anonymisation, par exemple en matière de traitements de données de santé. En tout état de cause, cette notion d anonymat va devenir une notion pivot. La nouvelle loi prévoit d ailleurs la prise en compte de ce critère dans certains cas. C est le cas par exemple de l article 8 traitant des données dites «sensibles» qui prévoit une exception au principe de base d interdiction de collecte lorsque les données font l objet à bref délai d un procédé d anonymisation reconnu conforme à la loi. De même, en matière de santé, la notion d anonymisation est conservée (par exemple, au chapitre X de la 44 Éditions d Organisation
Champ d application loi, ancien chapitre Vter). La CNIL peut également donner un avis sur la conformité aux dispositions de la loi du 6 janvier 1978 modifiée des produits et procédures tendant à l anonymisation de données, ou même délivrer un label (article 11, 3 de la loi). Nous ajouterons que la nouvelle loi emploie désormais les termes de «donnée à caractère personnel» et non plus de «donnée nominative», reprenant ainsi les termes exacts issus de la directive européenne de 1995. Rappel La loi de 1978 s applique exclusivement aux données à caractère personnel concernant des personnes physiques et non des personnes morales. Cependant, lorsque des données concernent des personnes morales, la loi du 6 janvier 1978 modifiée s appliquera si les nom et prénoms ou toute autre information à caractère personnel sur les dirigeants, les actionnaires, les partenaires, le personnel, etc. sont collectés. Article 2 TEXTES Loi du 6 janvier 1978 Directive européenne du 24 octobre 1995 Constitue une donnée à caractère personnel toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, par référence à un numéro d identification ou à un ou plusieurs éléments qui lui sont propres. Pour déterminer si une personne est identifiable, il convient de considérer l ensemble des moyens en vue de permettre son identification dont dispose ou auxquels peut avoir accès le responsable du traitement ou toute autre personne. Article 2 a) - Toute information concernant une personne physique identifiée ou identifiable (personne concernée). Est réputée identifiable une personne qui peut être identifiée, directement ou indirectement, notamment par référence à un numéro d identification ou à un ou plusieurs éléments spécifiques, propres à son identité physique, physiologique, psychique, économique, culturelle ou sociale. Éditions d Organisation 45
PROTECTION DES DONNÉES À CARACTÈRE PERSONNEL Illustration Pour illustration, la CNIL a eu à se prononcer sur l utilisation de puces électroniques miniatures dénommées RFid, Smart Tag, Transponder ou encore radio-tags (puces plus particulièrement appliquées à un objet sous forme d une diffusion radio à distance variable, étant précisé que certains d entre elles peuvent également recevoir de l information et l enregistrer), que l on retrouve un peu partout dans notre carte de transport sans contact, dans nos clés de voiture ou sous forme de code-barres radio dans le secteur de la grande distribution. La CNIL souligne que si ces technologies peuvent être utiles pour des finalités légitimes bien définies, «le maillage dense de milliers d objets qui entoureront une personne, pouvant être analysé de façon permanente (le potentiel de rayonnement d un RFId est illimité dans le temps car aucune batterie n est nécessaire), ces technologies permettent potentiellement le profilage des individus et font peser sur ceux-ci un risque particulier comprenant notamment la traçabilité de leurs déplacements». La CNIL en conclut donc que les RFId sont des données personnelles au sens de la loi. Peu importe la forme de ces informations personnelles, qu elles soient sensibles ou non, confidentielles ou publiques. La CNIL a ainsi rappelé dans son 24 e rapport annuel que «les données à caractère personnel contenues dans un document officiel, ou détenues par une administration ou un organisme public et qui auraient été rendues publiques conservent ce caractère personnel». Toute communication de ces données par les organes du secteur public à des tiers doit donc être considérée comme un traitement de données à caractère personnel impliquant le respect des règles protectrices applicables en la matière. (CNIL 24 e rapport d activité 2003, p. 107) 46 Éditions d Organisation
Champ d application Réflexe pratique Il s agit d une notion large. À partir du moment où l information peut être rattachée à la personne concernée, la condition d identification est remplie 1. Ce rapport peut être direct ou indirect (les données nominatives sont soit directement nominatives, soit indirectement nominatives). Peu importe que la donnée ne soit pas rapportée à un individu à l origine, dès lors qu un recoupement potentiel existe, la loi du 6 janvier 1978 a vocation à s appliquer. Ce n est plus le cas lorsque la donnée est rendue anonyme, c està-dire lorsqu elle ne peut plus être reliée à un individu déterminé ou déterminable. Les principes de protection ne s appliquent pas aux données rendues anonymes d une manière telle que la personne concernée n est plus identifiable. La CNIL dispose d un pouvoir d appréciation dans la détermination de ce qui peut être qualifié de données à caractère personnel 2. Ce risque de recoupement peut être interprété de façon large puisque la CNIL a considéré que des éléments extérieurs (à l exclusion bien entendu de l identité de la personne), ne permettant pas a priori l identification de cette dernière, pouvaient permettre de la rendre identifiable. Par exemple, la CNIL a rendu une délibération dans le cas de statistiques établies sur les interruptions volontaires de grossesse. (CNIL, 10 e rapport 1989, p. 182 et suiv.) Dans ce dossier, la déclaration établie par les personnes concernées, à l exclusion de l identité de la patiente, comportait des renseignements sociodémographiques et des données médicales relatives aux antécédents de grossesse, à la date de l intervention, à la durée d hospitalisation, aux complications postopératoires, à l année et 1. La chambre criminelle de la Cour de cassation avait jugé le 3 novembre 1987 qu étaient réputées nominatives, au sens de la loi du 6 janvier 1978, les informations qui permettent, sous quelque forme que ce soit, directement ou non, l identification des personnes physiques auxquelles elles s appliquent. 2. Cons. d État, 7 décembre 1990, Conseil national de l ordre des médecins et autres. Éditions d Organisation 47
PROTECTION DES DONNÉES À CARACTÈRE PERSONNEL au lieu de naissance, à la nationalité, à la profession, au département de résidence et la commune de résidence, etc. La CNIL a considéré que ces données étaient indirectement nominatives et qu elles devaient en conséquence bénéficier de mesures de protection adéquates afin d en garantir la confidentialité et d éviter tout détournement de finalité et toute divulgation d informations. Dans une autre affaire, la CNIL a estimé que «si en tant que telle, une photo d immeuble ne constitue pas une donnée nominative, en revanche, cette même photo, associée à l adresse correspondante, est susceptible de constituer une donnée indirectement nominative. En effet, avec l utilisation des pages blanches sur Internet comme annuaire inversé, il est possible à partir de la seule adresse de rattacher un nom de particulier à une photo d immeuble. Que la photographie de la propriété corresponde à un immeuble comportant plusieurs logements ou à une maison individuelle, elle constitue une donnée indirectement nominative. À ce titre, une déclaration de traitement automatisé d informations nominatives a été déposée auprès de la CNIL par la filiale de France Télécom éditrice du service Pages Jaunes.» (CNIL 23 e rapport d activité 2002, p. 143) En outre, la nature des données est également un critère important à prendre en compte au regard des principes qui sous-tendent la réglementation sur la protection des données à caractère personnel. La CNIL estime notamment que la nature des données recueillies ainsi que la population visée justifient l adoption de mesures particulièrement protectrices des droits et libertés. (7 e rapport d activité de la CNIL, 1986, p. 225) Notion de traitement de données L article 2 de la loi du 6 janvier 1978 modifiée définit la notion de traitement de données à caractère personnel et de fichier de données à caractère personnel. Cette première définition reprend celle posée dans la directive européenne de 1995 et complète la version antérieure, notamment par 48 Éditions d Organisation
Champ d application référence à l apparition de procédés techniques nouveaux comme ceux de «communication par transmission», de «consultation» ou de «diffusion». La nouvelle définition a donc un champ d application plus vaste que celle de «traitement automatisé d informations nominatives». Il convient également de noter que la loi s applique désormais sans distinction de régime, peu importe que le traitement de données soit automatisé ou non. Rappelons que la loi du 6 janvier 1978 (ancienne) prévoyait l application de certains articles de loi lorsqu il s agissait de fichiers non automatisés ou mécanographiques (tels le principe de loyauté de la collecte, de sécurité des données ou encore du droit d accès 1 ). La loi du 6 janvier 1978 modifiée suit en ce sens la directive européenne de 1995 qui n opère aucune distinction : «Tout d abord, la directive vise aussi bien les traitements automatisés que les traitements de fichiers manuels, alors que la loi du 6 janvier 1978 ne soumet ces derniers qu à des obligations restreintes.» (Rapport du sénateur Alex Türk, 13 mars 2003) En ce sens et d une manière plus générale, le considérant 27 de la directive européenne de 1995 met en avant l importance que revêt l application de la réglementation aux deux types de traitement (automatisé ou non) en soulignant que «le champ de la protection ne doit pas en effet dépendre des techniques utilisées, sauf à créer de graves risques de détournement». Ce même considérant 27 opère toutefois une distinction entre les fichiers et les dossiers en précisant que la directive «ne couvre que les fichiers et ne s applique pas aux dossiers non structurés ; [ ] en particulier, le contenu du fichier doit être structuré selon des critères déterminés relatifs aux personnes permettant un accès facile aux données à caractère personnel [ ]». 1. Ancien article 45 de la loi du 6 janvier 1978. Éditions d Organisation 49
PROTECTION DES DONNÉES À CARACTÈRE PERSONNEL Ces définitions (notamment la notion de «fichier» et la suppression de la référence aux «moyens automatiques» dans la définition même de traitement 1 ) viennent clore un débat sur la distinction entre un fichier et un dossier né à la suite à une jurisprudence qui a estimé qu un ensemble de dossiers papier ne constituait pas un fichier 2. Cette position invitait le «ficheur» à ouvrir des dossiers personnels pour contourner la loi du 6 janvier 1978. La CNIL avait exprimé avec force à l époque son avis contraire (CNIL 8 e rapport d activité, p. 30). Cette décision de la Cour suprême avait d ailleurs été très critiquée par la doctrine. Notons que la Convention du Conseil de l Europe de 1981, en son article 2, prévoyait déjà que le traitement automatisé s entend «d opérations effectuées en totalité ou en partie à l aide de procédés automatisés». Ainsi, selon le rapport du sénateur Alex Türk, du 19 mars 2003 : «La seule référence à la notion de traitement doit permettre d appliquer les règles de la protection à toute technologie et à toute organisation particulière de données. Les opérations de collecte constituent en elles-mêmes un traitement, et la mise en œuvre d une seule des opérations énoncées par l article 2 b) de la directive suffit à caractériser le traitement de données.» Constitue un traitement de données à caractère personnel, la simple collecte de telles données, ou encore l une des opérations visées à l article 2 de la loi du 6 janvier 1978 modifiée : consultation, utilisation, conservation, verrouillage, effacement 1. Selon la CNIL, «un fichier est une collection d entités homogènes décrite par des éléments d information. On a pu également le définir comme une collection de données pouvant indifféremment porter sur des listes, des fichiers ou des dossiers». (CNIL «Dix ans d informatique et libertés», Economica, 1988) 2. Jugement du tribunal de grande instance de Nantes en date du 16 décembre 1985, arrêt de la cour d appel de Rennes en date du 24 juin 1986 et décision de la Cour de cassation en date du 3 novembre 1987. 50 Éditions d Organisation
Champ d application Article 2 TEXTES Loi du 6 janvier 1978 Directive européenne du 24 octobre 1995 Constitue un traitement de données à caractère personnel toute opération ou tout ensemble d opérations portant sur de telles données, quel que soit le procédé utilisé, et notamment la collecte, l enregistrement, l organisation, la conservation, l adaptation ou la modification, l extraction, la consultation, l utilisation, la communication par transmission, diffusion ou toute autre forme de mise à disposition, le rapprochement ou l interconnexion, ainsi que le verrouillage, l effacement ou la destruction. Constitue un fichier de données à caractère personnel tout ensemble structuré et stable de données à caractère personnel accessibles selon des critères déterminés. Article 2 b) Traitement de données à caractère personnel : «Toute opération ou ensemble d opérations effectuées ou non à l aide de procédés automatisés et appliquées à des données à caractère personnel, telles que la collecte, l enregistrement, l organisation, la conservation, l adaptation ou la modification, l extraction, la consultation, l utilisation, la communication par transmission, diffusion ou toute autre forme de mise à disposition, le rapprochement ou l interconnexion, ainsi que le verrouillage, l effacement ou la destruction.» Article 2 c) Fichier de données à caractère personnel : tout ensemble structuré de données à caractère personnel accessible selon des critères déterminés, que cet ensemble soit centralisé, décentralisé ou réparti de manière fonctionnelle ou géographique. Illustration Constituent des traitements automatisés de données à caractère personnel, l utilisation d un autocommutateur téléphonique, la gestion des badges électroniques, la messagerie électronique, ou encore l usage d un traitement de texte pour faire un mailing. Pour illustration, la Cour de justice des Communautés européennes, dans un arrêt du 6 novembre 2003 B. Lindqvist, a jugé que l opération suivante constitue un traitement automatisé de données à caractère personnel : Éditions d Organisation 51
PROTECTION DES DONNÉES À CARACTÈRE PERSONNEL le nom d une personne joint à ses coordonnées téléphoniques ou à des informations relatives à ses conditions de travail ou à ses passe-temps constitue une donnée personnelle ; l opération consistant à faire figurer, sur une page Internet, des données à caractère personnel est à considérer comme un traitement ; faire apparaître des informations sur une page Internet implique, selon les procédures techniques et informatiques appliquées actuellement, de réaliser une opération de chargement de cette page sur un serveur ainsi que les opérations nécessaires pour rendre cette page accessible aux personnes qui se sont connectées à Internet. Ces opérations sont effectuées, au moins en partie, de manière automatisée. Réflexe pratique Ainsi, la loi du 6 janvier 1978 s applique aux traitements automatisés ou non. La nouvelle loi définit la notion de fichier. La notion de traitement automatisé doit être entendue largement. Par exemple, elle englobe la simple collecte de données à caractère personnel, ce qui recouvre presque toutes les situations. Le simple enregistrement d un fichier pour archivage sur un support informatique constitue également un traitement automatisé. Il est donc nécessaire en pratique d identifier les opérations qui sont envisagées sur les données (celles-ci peuvent être différentes selon les données concernées et selon les personnes en charge desdites opérations). Pour illustration, la CNIL s attache tout particulièrement aux types d actions effectuées sur les données : accès en simple consultation par des personnes définies, modification possible des données, transmission sur un réseau, neutralisation ou destruction physique des données, etc. La CNIL se réfère au critère de finalité du traitement notamment pour apprécier la justification et vérifier la proportionnalité des opérations effectuées. 52 Éditions d Organisation
Champ d application Champ d application territorial La loi du 6 janvier 1978 ne comportait aucune disposition spécifique délimitant son champ d application territorial pour les opérations de traitement de données à caractère personnel. Les règles de droit international privé de droit commun étaient donc applicables. Le nouvel article 5 édicte des règles définissant le champ d application territorial de la loi afin de clarifier le régime applicable aux traitements et à leurs responsables. Deux critères alternatifs d applicabilité de la loi française sont ainsi prévus : un critère lié à l établissement de la personne sur le territoire français : la loi est applicable si le responsable est établi sur le territoire français, c est-à-dire s il y exerce une activité dans le cadre d une installation quelle que soit sa forme juridique, simple succursale ou filiale. Le considérant 19 de la directive européenne précise que «l établissement sur le territoire d un État membre suppose l exercice effectif et réel d une activité au moyen d une installation stable». Cette notion d «installation stable» prévue par le considérant 19 n a pas été précisée par la loi et n existe pas en droit français, même si certaines dispositions fiscales s en rapprochent 1. Dans un souci de clarification, il a donc été supprimé, pour faire référence à la seule notion d installation, notion beaucoup plus souple que l établissement qui suppose, lui, une certaine stabilité territoriale. un critère de territorialité des moyens utilisés : est soumis au droit français le responsable qui recourt à des moyens de traitement situés sur le territoire français (moyens matériels, humains ). Une exception est prévue pour les traitements utilisés aux seules fins de transit, comme 1. L article 182 B du Code général des impôts parle ainsi de «l installation permanente» de l entreprise, l article 1470 du même code parlant de «l installation fixe» d un contribuable. Éditions d Organisation 53
PROTECTION DES DONNÉES À CARACTÈRE PERSONNEL ceux des réseaux numériques. Les travaux parlementaires précisent que ce critère subsidiaire tend à éviter une délocalisation des établissements responsables dans des «paradis informatiques». Si ce responsable exerce son activité depuis l étranger et n a pas d établissement en France, il devra désigner à la CNIL un représentant établi sur le territoire français, chargé d accomplir les obligations prévues par la présente loi. Ce principe était déjà prévu sous l empire de l ancienne loi. Il convient de préciser que cette désignation ne relève pas le responsable du traitement de l accomplissement de ses obligations et ne l exonère pas de ses responsabilités au titre de la loi. Il pourra d ailleurs encourir les sanctions prévues à l article 226-16 du Code pénal en l absence de désignation. Cette nouvelle disposition modifie certes les règles antérieures mais reste substantiellement dans le même esprit. Deux cas de figure sont susceptibles de se présenter selon que la responsabilité du responsable du traitement est engagée sur le plan pénal ou civil. Sur le plan pénal L application dans l espace des lois pénales françaises est basée sur le principe de la territorialité des lois pénales. La directive européenne, dans son considérant 21, précise que «la directive ne préjuge pas des règles de territorialité applicables en matière pénale». L article 5 de la loi vient préciser le champ d application territorial. Infractions commises sur le territoire français Rappelons qu aux termes de l article 113-2 du Code pénal, «la loi pénale française est applicable aux infractions commises sur le territoire de la République. L infraction est réputée commise sur le territoire de la République dès lors qu un de ses faits constitutifs a eu lieu sur ce territoire». Aux termes de cet article, la loi est applicable territorialement donc dès lors qu un ou plusieurs faits qui composent l infraction sont commis sur le territoire français, peu importe la nationalité de la victime ou de l auteur des faits. 54 Éditions d Organisation
Champ d application Le nouvel article 5 recoupe en pratique cette situation puisqu il prévoit désormais explicitement cette hypothèse de territorialité des moyens utilisés ainsi que celle de l établissement du responsable du traitement de données sur le territoire français. Il convient de noter que la nouvelle loi prévoit un cas d exclusion lorsque les traitements ne sont utilisés qu à des fins de transit (voir ci-dessus). Ainsi, dès lors qu une personne italienne aura procédé à une collecte d informations sur le territoire français auprès des expatriés de nationalité allemande par un moyen déloyal ou illicite, la loi française s appliquera. Infractions commises hors du territoire alors que l auteur ou la victime est de nationalité française La loi française s applique également dans certains cas aux infractions commises hors du territoire de la République, mais de manière plus restrictive et uniquement aux crimes et délits. C est le cas lorsque l auteur du délit est français. L article 113-16 alinéa 2 du Code pénal énonce que «la loi pénale française est applicable aux délits commis par des Français hors du territoire de la République si les faits sont punis par la législation du pays où ils ont été commis». C est le cas également lorsque la victime est de nationalité française. Aux termes de l article 113-7, «la loi pénale française est applicable à tout crime, ainsi qu à tout délit puni d emprisonnement, commis par un Français ou par un étranger hors du territoire français lorsque la victime est de nationalité française au moment de l infraction». Il existe des restrictions au niveau des conditions de fond (lorsque l auteur de l infraction est français, les faits incriminés doivent également être punis dans le pays où ils ont été commis, lorsque la victime est française la loi pénale française ne s applique que dans la mesure où l infraction est punie d une peine d emprisonnement), mais également au niveau de Éditions d Organisation 55
PROTECTION DES DONNÉES À CARACTÈRE PERSONNEL l ouverture de la procédure en France 1. Il faut préciser qu aucune poursuite ne peut être exercée contre une personne justifiant qu elle a été jugée définitivement à l étranger pour les mêmes faits et, en cas de condamnation, que la peine a été subie ou prescrite (article 113-9 du Code pénal). Sur le plan civil En matière de responsabilité civile délictuelle, le principe est que la règle de conflit française désigne la loi du lieu où le délit a été commis (la lex loci delicti). La loi du 6 janvier 1978 modifiée aura donc vocation à s appliquer au délit commis en France selon les règles précisées à l article 5 nouveau, soit selon les deux critères alternatifs d applicabilité de la loi française : un critère de territorialité de la personne responsable du traitement ; un critère de territorialité des moyens utilisés. Aux termes de l article 5, il faut envisager plusieurs hypothèses. Présence d un établissement sur le territoire français La loi applicable est la loi française. Ainsi, lorsqu un même responsable est établi dans plusieurs États membres, par le biais de filiales par exemple, il doit s assurer, en vue d éviter tout contournement, que chacun des établissements remplit les obligations prévues par le droit national applicable aux activités de chacun d eux. Chaque établissement sera donc soumis à la seule loi de l État sur le territoire duquel il est implanté. 1. La mise en œuvre de la procédure est soumise à des conditions restrictives aux termes de l article 113-8 du Code pénal : «Dans les cas prévus aux articles 113-6 et 113-7, la poursuite des délits ne peut être exercée qu à la requête du ministère public. Elle doit être précédée d une plainte de la victime ou de ses ayants droit ou d une dénonciation officielle par l autorité du pays où les faits ont été commis.» 56 Éditions d Organisation
Champ d application Absence d établissement sur le territoire de l Union européenne : En l absence d établissement sur le territoire d un État membre, la loi française est applicable, si le responsable du traitement recourt à des moyens de traitement situés sur le territoire français, à l exclusion des traitements qui ne sont utilisés qu à des fins de transit sur ce territoire ou sur celui d un autre État membre de la Communauté européenne. Enfin on peut signaler le cas subsidiaire de victimes d un délit civil établies sur le territoire, lorsque ni l un ou l autre des critères susvisés n est applicable. À ce titre, le rapport du sénateur Alex Türk du 13 mars 2003 souligne que : «Enfin, certains États, comme la Grèce, incluent dans le champ d application de leur loi nationale l ensemble des traitements concernant des personnes établies sur leur territoire. Une telle clause de sauvegarde permettrait de soumettre à la loi française tout traitement mis en œuvre à partir d une enquête sur la population française, quel que soit le lieu d établissement de son responsable ou les moyens mis en œuvre. Ces dispositions aboutiraient cependant à des conflits de lois, alors même que les États membres doivent, en vertu de la directive, assurer un niveau de protection équivalent, et que les dispositions relatives aux transferts de données vers des pays tiers, prises en application des articles 25 et 26 de la directive, les subordonneront à la garantie d un niveau de protection adéquat. Une telle extension ne paraît donc ni utile ni conforme aux dispositions de la directive.» Cependant, nous pensons que bien que l article 5 n envisage pas une telle hypothèse, la loi française pourrait s appliquer si une victime subit un préjudice en France. La jurisprudence applique en effet en général la loi française à une telle hypothèse, en tant que lex loci delicti. Éditions d Organisation 57
PROTECTION DES DONNÉES À CARACTÈRE PERSONNEL Ainsi, cette question de la loi territorialement applicable est à rapprocher d une décision de la cour d appel d Orléans en date du 6 mai 2003 1. Cette affaire concernait deux sociétés françaises qui avaient assigné une société indienne et une société anglaise pour, respectivement, des actes de concurrence déloyale et d imitation de pratiques commerciales en demandant la cessation sous astreinte de ces pratiques et le versement de dommages et intérêts. Les premiers juges se sont déclarés incompétents, sur quoi les sociétés françaises ont formé contredit. L arrêt prend ici partie sur la question de la localisation du préjudice subi s agissant de délits mettant en cause l utilisation d Internet. En substance, il est précisé que : «Dès lors que la défenderesse diffuse en France à partir de son site Internet hébergé en Inde, mais accessible en tous points du territoire français, le catalogue de ses produits, que l accès à ce site depuis la France est particulièrement aisé, que sa consultation donne toutes indications utiles pour des achats à partir de la France et permet une commande directe, l utilisation en France des résultats de la violation du savoir-faire, de secrets de fabrication et de procédés commerciaux est ainsi établie et justifie la compétence internationale des juridictions françaises selon l article 46, alinéa 3 du nouveau Code de procédure civile, au regard des seuls dommages causés en France, qu il s agisse de les réparer ou d adopter des mesures pour y mettre fin.» Un autre cas peut également se poser s agissant de la possibilité d appliquer la loi française à des responsables de traitements extérieurs à l Union européenne, qui procéderaient à des traitements sur des personnes ne présentant aucun rattachement avec la France ou l Union européenne, du seul fait qu ils auraient recours à des moyens de traitement situés en France pour effectuer des prestations de services. D un point de vue pratique, «il serait extrêmement difficile de garantir aux personnes concernées l exercice de 1. Rev. Crit. Dr. Int. Priv. 1993 (1), janvier-mars 2004, p. 138 et suiv. 58 Éditions d Organisation
Champ d application droits comme le droit d accès et de rectification, alors même qu elles se trouvent dans des pays tiers». (Rapport du sénateur Alex Türk, 19 mars 2003, p. 52). Malgré les difficultés d application, la loi française aurait vocation à s appliquer à un tel cas (article 5, I, 2 ). Article 5 TEXTES Loi du 6 janvier 1978 Directive européenne du 24 octobre 1995 I. - Sont soumis à la présente loi les traitements de données à caractère personnel : 1 Dont le responsable est établi sur le territoire français. Le responsable d un traitement qui exerce une activité sur le territoire français dans le cadre d une installation, quelle que soit sa forme juridique, y est considéré comme établi ; 2 Dont le responsable, sans être établi sur le territoire français ou sur celui d un autre État membre de la Communauté européenne, recourt à des moyens de traitement situés sur le territoire français, à l exclusion des traitements qui ne sont utilisés qu à des fins de transit sur ce territoire ou sur celui d un autre État membre de la Communauté européenne. II. - Pour les traitements mentionnés au 2 du I, le responsable désigne à la Commission nationale de l informatique et des libertés un représentant établi sur le territoire français, qui se substitue à lui dans l accomplissement des obligations prévues par la présente loi ; cette désignation ne fait pas obstacle aux actions qui pourraient être introduites contre lui. Article 4 Chaque État membre applique les dispositions nationales qu il arrête en vertu de la présente directive aux traitements de données à caractère personnel lorsque : a) Le traitement est effectué dans le cadre des activités d un établissement du responsable du traitement sur le territoire de l État membre ; si un même responsable du traitement est établi sur le territoire de plusieurs États membres, il doit prendre les mesures nécessaires pour assurer le respect, par chacun de ses établissements, des obligations prévues par le droit national applicable ; b) Le responsable du traitement n est pas établi sur le territoire de l État membre mais en un lieu où sa loi nationale s applique en vertu du droit international public ; c) Le responsable du traitement n est pas établi sur le territoire de la Communauté et recourt, à des fins de traitement de données à caractère personnel, à des moyens, automatisés ou non, situés sur le territoire dudit État membre, sauf si ces moyens ne sont utilisés qu à des fins de transit sur le territoire de la Communauté. Dans le cas visé au paragraphe 1 point c), le responsable du traitement doit désigner un représentant établi sur le territoire dudit État membre, sans préjudice d actions qui pourraient être introduites contre le responsable du traitement lui-même. Éditions d Organisation 59
PROTECTION DES DONNÉES À CARACTÈRE PERSONNEL Illustration Cas d une société établie en Espagne, responsable de traitement informatique exerçant son activité par le biais de plusieurs filiales et succursales, notamment en France et en Italie. La loi applicable sera la loi française pour les traitements effectués par la succursale française sur le territoire français (article 5, I). Cas d une société japonaise, responsable de traitement informatique, n ayant pas d établissement sur le territoire de l Union européenne mais exerçant néanmoins une partie de son activité dans l Union européenne, notamment en France. Si cette société dispose en France de moyens automatisés ou non servant au traitement de données à caractère personnel, la loi française a vocation à s appliquer (article 5, II). Cas d une société basée à l étranger, sans aucun établissement en France, responsable d un traitement informatique de données caractère personnel portant sur des personnes domiciliées en France et ne disposant pas en France de moyens automatisés, la loi française aurait vraisemblablement vocation à s appliquer. Réflexe pratique Le cas le plus courant sera celui où le responsable du traitement dispose de plusieurs établissements situés dans différents États membres. Ce dernier devra prendre les mesures nécessaires pour assurer le respect, par chacun de ses établissements, des obligations prévues par le droit national applicable aux activités qu il poursuit. Chaque établissement sera donc soumis à la seule loi de l État sur le territoire duquel il est implanté (voir le panorama européen de transposition au chapitre 14). Dans un tel contexte, la mise en place d une charte globale d entreprise en matière de politique de protection des données à caractère personnel, commune à tous les établissements d un 60 Éditions d Organisation
Champ d application même groupe ou rattachés à une même entité juridique peut s avérer une solution pragmatique intéressante. Conformément à cette approche, les spécificités locales sont généralement détaillées et insérées à la charte sous forme d annexes locales par pays. Éditions d Organisation 61