Avant-Propos Du caractère abstrait à l approche dynamique Quelques propos tirés de l histoire du «principe de finalité» Isabelle de Lamberterie Directrice de recherche émérite La protection de la vie privée au regard du traitement de l information repose sur un certain nombre de grands principes. Parmi ceux-ci, il en est un qui est considéré depuis 1978 comme un principe «clef» des législations «informatique et liberté» à savoir le principe de finalité du traitement. Dans le cadre de la réflexion collective initiée par Céline Castets-Renard sur la protection de la vie privée en Europe, nous ouvrirons quelques pistes pour cerner ce que la CNIL appelle une «idée directrice» qu elle qualifie de féconde 1. Le sujet est vaste et peut apparaître à certain, un peu abstrait 2. Pourtant son histoire et son actualité ne semblent pas confirmer cette opinion et nous suivrons Pierre Leclercq qui affirme que ce principe «constitue la garantie cardinale» de la protection de la vie privée au regard des NTIC 3. Avant de voir quelles sont les fonctions accordées à ce principe, nous essayerons de cerner la notion à travers les différentes utilisations qui sont faites de ce terme. Pour illustrer ces différentes approches, nous partirons de quelques exemples concrets. 1 «L adéquation des données enregistrées à la finalité du traitement est une idée directrice plus féconde que les interdictions à priori», Rapport de la Commission Nationale de l Informatique et des Libertés, Bilan et perspectives, 1978-1980, Paris, La Documentation Française, 1980, p. 27. 2 Voy. R. Duaso Cales, Principe de finalité, protection des renseignements personnels et secteur public : étude sur la gouvernance des structures en réseau, Thèse Paris II et Université de Montréal, septembre 2011. 3 P. Leclercq, «La CNIL, garante de la finalité, de la loyauté et de la sécurité des données personnelles», in M.-Ch. Piatti (dir.), Les libertés individuelles à l épreuve des NTIC, Lyon, PUL, 2001, 111, p. 113.
18 Quelle protection des données personnelles en Europe? Essai de définition Faute de définition légale propre, il est possible de tenter une approche sémantique de la notion. Le vocabulaire Cornu nous donne le sens juridique: Finalité signifie «Ce à quoi est ordonnée, une action et l action d y tendre ; ce qu il s agit d obtenir» 4. La finalité constitue la raison d être d un traitement particulier. Quand il s agit de protection des données personnelles, l objectif visé est le traitement de ces données. On rappellera que dans les définitions légales du terme «traitement de données à caractère personnel», l action concerne «toute opération ou tout ensemble d opérations portant sur de telles données, quel que soit le procédé utilisé» 5. Ainsi la finalité d un traitement est sa raison d être, l objectif désigné lors de sa constitution. De cette finalité dépendra un certain nombre des caractéristiques et paramètres du traitement qu aura à préciser la personne responsable. La détermination des finalités On peut dire que cette notion «hante» les textes 6. En France, en filigrane dans la première loi informatique, fichiers, liberté, elle est érigée en principe par la CNIL à travers la doctrine relative à la procédure de déclaration ou d autorisation : la finalité doit être clairement établie et délimitée dès la constitution du traitement. Ainsi, en principe tout modification ou adjonction de finalité doit faire, l objet d une nouvelle demande 7. La Convention du Conseil de l Europe de 1981 8 introduit la notion de personne compétente pour décider de la finalité du fichier automatisée. Il s agit du «maître du fichier», ce dernier devant déterminer les finalités légitimes pour lesquelles les données sont enregistrées. La directive de 1995 9 accorde, aussi, une place importante tant dans les «considérants» que dans les articles du texte à la notion de finalité. 4 G. Cornu, Vocabulaire Juridique, Paris, PUF, 2011. 5 Dès 1978, la loi précise le sens qu elle donne au terme «traitement» (art. 5 de la Loi n 78-17 du 6 janvier 1978). 6 On notera le nombre d occurrences de plus en plus nombreuses du terme «finalité» dans les textes législatif. 7 On renverra aux nombreux exemples de détournements de finalité cités dans les premiers rapports de la CNIL et plus particulièrement dans l ouvrage :.A Vitalis, F. Paoletti et H.Delahaie, CNIL, Dix ans d informatique et libertés, Economica, 1988. 8 Convention pour la protection des personnes à l égard du traitement automatisé des données à caractère personnel, Strasbourg 28 janvier 1981 dite convention 108. 9 Considérants 28, 29, 44, 48 et 53 de la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l égard du traitement des données à caractère personnel et à la libre circulation de ces données, J.O.C.E., L 281/31, 23 novembre 1995.
Avant-Propos 19 Le responsable du traitement est la personne qui détermine les finalités 10. Celles-ci doivent être, lors de la collecte, non seulement légitimes et déterminées mais aussi explicites 11. Quant aux données collectées, elles ne doivent pas être traitées ultérieurement de manière incompatible avec ces finalités. La loi de 2004 reprend, dans les mêmes termes ces obligations qu elle met à la charge du responsable du traitement. Quant au projet de règlement, il introduit un nouvel adjectif pour caractériser les finalités : elles doivent être précises, explicites, légitimes et déterminées 12. La double fonction du principe de finalité En premier lieu la finalité du traitement va permettre de justifier celui-ci et le rendre licite. On en trouve une illustration dans l article 8 II de la loi de 2004 qui institutionnalise des exceptions à l interdiction de traitement des données sensibles «dans la mesure où la finalité l exige pour certaines catégories de données 13». On notera l évolution par rapport au texte de 1978 qui, dans l article 31, ne faisait pas référence à la finalité du traitement 14. La deuxième fonction, quel que soit l objet du traitement, est de fonder une sélection des données collectées nécessaires pour remplir la finalité déterminée. Dans le projet de règlement 15, ces données doivent être «adéquates pertinentes et limitées au minimum nécessaire 16 au regard des finalités pour lesquelles elles sont traitées». Ce besoin de précision dans la détermination des finalités induit la quantité d informations nécessaire pour la finalité déterminée. C est ce que rappelait une ancienne vice-présidente de la CNIL, Madame Cadoux à propos de l application du principe de proportionnalité dans la vidéo surveillance 10 Art. 2 Définitions d) «responsable du traitement». On notera l évolution du vocabulaire depuis la Convention 108 : le maître du fichier est devenu le responsable du traitement. 11 Considérant 28 de la directive de 1995, op. cit. 12 Considérant 30 du projet de règlement. Ce considérant n a pas fait l objet de modification dans la résolution législative du Parlement européen du 12 mars 2014. 13 Parmi les catégories de données sensibles, les données de santé occupent une place privilégiée. On renverra à la contribution d I. Vacarie, «Finalité des traitements de données de santé», numéro spécial Revue générale de droit médical (sur le «Droit des données de santé»), 2004, ainsi qu à l ouvrage I. de Lamberterie et H.-J. Lucas (dir.), Informatique, libertés et recherche médicale, CNRS Droit, 2001. 14 Dans l article 31, les exceptions au principe d interdiction ne vise que les cas où l accord exprès de la personne est donné ou encore les motifs d intérêt public. 15 Art. 5 c). 16 On notera que dans le texte de la directive de 95 (art. 5) et dans la loi de 2004 (art. 6-3) on utilisait le terme «non excessives».
20 Quelle protection des données personnelles en Europe? des lieux publics : «le principe de proportionnalité ne peut évidemment se satisfaire que d une finalité précise sans quoi il serait ruiné ; mais, en même temps, on sait que l on recueille bien plus d informations que celles utiles pour cette finalité ; et que là est la tentation, celle qui conduit à la dérive des finalités» 17. Des données indispensables à la finalité du traitement Dans la loi de 1978 18, l utilisation du répertoire national d identification (NIR) ne pouvait être autorisée que par un décret en Conseil d État pris après avis de la CNIL. Dès 1983, la CNIL fait référence à la nécessité de limiter l utilisation du NIR comme identifiant «dès lors qu il n apparaît pas indispensable à la finalité du traitement». Aussi, comme le souligne le 20 e rapport de la CNIL de 1999, les décrets pris sur le fondement de l article 18 ne se bornaient-ils plus, uniquement, à autoriser l utilisation du NIR dans certains fichiers, mais précisaient les finalités, c est-à-dire l utilisation précise qui serait faite du NIR. Dans un souci de meilleure garantie et de précaution, la CNIL prolonge, ainsi, le principe de finalité d un traitement pris dans son ensemble par la prise en compte de l usage spécifique qui pouvait être fait d une information particulière. Toujours à propos du NIR, le Conseil Constitutionnel dans sa décision du 29 décembre 1998 19, se prononce pour une restriction de l utilisation du NIR en l absence de finalités précisément assignées et strictement cantonnées : «l utilisation du NIR a pour finalité d éviter les erreurs d identité et ne conduit pas à la constitution de fichiers nominatifs sans rapport direct avec les opérations incombant aux administrations fiscales et sociales» 20. Les années ont passé et la CNIL, dans son dernier rapport 21, se prononce de nouveau à propos de l utilisation du NIR : elle a considéré que celui-ci pouvait être utilisé comme identifiant du dossier médical à la condition que des garanties très strictes soient mises en place sous son contrôle à la seule nouvelle finalité ainsi définie 22. 17 L. Cadoux, «La vidéosurveillance des lieux publics», in N. Mallet-Poujol (dir.), Nouvelles technologies de l information et libertés individuelles, Paris, La Documentation française, 1998, p. 17. 18 Art. 18. Le même principe, d un contrôle a priori renforcé, se retrouve dans la loi de 2004 à l article 25 I - 6 qui organise la procédure d autorisation pour certains types de traitements sensibles (dont l utilisation du NIR). 19 Décision 98-405 DC (loi de finances 1999). 20 Commentaire de la décision 99-405 DC, Les Cahiers du Conseil Constitutionnel, cahier n 6, p. 9. 21 Rapport CNIL 2013, pp. 61 et s. 22 Séance plénière du 15 octobre 2013.
Avant-Propos 21 Évolution des finalités et droit à l oubli Comme nous l avons vu, le principe de finalité s inscrit dans le temps et les données traitées pour une finalité déterminée peuvent ne plus être adéquates ou pertinentes ou encore excessives compte tenu du nouveau contexte. Un traitement initialement licite peut ne plus l être. Sur ce fondement, la Cour de Justice de l Union européenne 23 reconnaît un droit à la désindexation et impose, aujourd hui, à Google la possibilité pour une personne de s adresser directement à la société pour obtenir la suppression des liens vers des pages web contenant des informations portant atteinte à sa vie privée sans avoir à s adresser préalablement à l éditeur du site Internet. Le rôle du responsable du traitement C est lui qui joue le rôle central dans la détermination des finalités. De plus, depuis la directive de 1995, ce dernier est non seulement celui qui détermine les finalités du traitement mais il est aussi celui qui en définit les moyens. Comme le remarque le Rapport du Groupe de travail «article 29», en associant les finalités à l activité de traitement, ces deux éléments indissociables, on passe d une conception statique à une conception dynamique 24. Elle «revient à établir respectivement le «pourquoi» et le «comment» du traitement». Ce pose alors la question du degré de précision auquel une personne doit déterminer les finalités et les moyens pour être considérée comme un responsable du traitement. Le groupe de travail «article 29» adopte sur ce point une approche pragmatique mettant l accent sur le pouvoir discrétionnaire de déterminer les finalités et sur la latitude laissée pour prendre des décisions. Le Conseil d État va dans le même sens, dans un arrêt de rejet 25 suite à une requête d annulation d une délibération de la CNIL, le requérant contestant sa qualité de responsable du traitement. Pour le Conseil d État, en décidant de la nature des données collectées et déterminant les droits d accès à celles-ci, en fixant la durée de conservation et apportant des correctifs à leur traitement, la Société concernée a déterminé les finalités et les moyens du traitement incriminé. 23 Décision du 13 mai 2014, C-131/12, Google Spain et Google, voy. le communiqué de presse http://curia. europa.eu/jcms/upload/docs/application/pdf/2014-05/cp140070fr.pdf. 24 Avis 1/2010 sur les notions de «responsable du traitement» et de «sous-traitant» du groupe de travail «article 29» sur la protection des données adopté le 16 février 2010 00264/10/FR WP 169. 25 C.E., 10 e et 9 e sous-sections réunies, 12 mars 2014, n 354629.
22 Quelle protection des données personnelles en Europe? Ce parcours historique à travers les différentes facettes de la notion de finalité n a pas eu pour but de faire le tour de la question de façon exhaustive. Il a laissé de côté bien des aspects et chaque point évoqué mérite d être creusé. Néanmoins, il espère avoir montré que le principe de finalité des traitements, à travers ces quelques exemples, est d une actualité brulante et mérite une attention particulière dans sa mise en œuvre.