Actualité > À la une
À la une
Droit des personnes
Point sur les droits des personnes à la protection de leurs données personnelles
Général, le droit à la protection des données à caractère personnel se traduit, en particulier, par la multiplicité des droits reconnus à la personne face au traitement de ses données. L’entreprise consiste, dans une économie mondialisée de la donnée, à concilier la liberté de circulation des données personnelles avec le droit de les protéger, qui suppose de reconnaître à toute personne le droit de décider et de contrôler les usages qui en sont faits.
La France est souvent présentée comme ayant été pionnière en matière d’encadrement juridique du traitement de données et de protection de celles revêtant un caractère personnel. La Loi « Informatique et libertés » du 6 janvier 1978 avait en effet été présentée comme un texte d’Habeas Data, consacrant la nécessité de concilier le progrès numérique avec le droit de toute personne au respect de ses droits fondamentaux, dont le droit à la protection de ses données personnelles. Depuis son édiction, ce texte fondateur a été largement revisité, notamment par la loi n° 2004-575 du 21 juin 2004 pour la confiance dans l’économie numérique puis par la loi n° 2016-1321 du 7 octobre 2016 pour une République numérique. Il a enfin été profondément renouvelé par la loi de transposition du Règlement Général européen relatif à la Protection des Données (RGPD ; Règl. n° 2016/679 – L. n° 2018-493 relative à la protection des données personnelles, complétée par l’ordonnance n° 2018-1125 du 13 déc. 2018). Ce règlement européen relatif à la protection des données a marqué un tournant, consacrant le droit de toute personne à l’autodétermination dans le traitement de ses données personnelles. Exponentiel, le marché de la donnée personnelle suppose une protection particulière. Dans cette perspective, l’approche européenne de la protection des données consiste à voir dans celles-ci un prolongement de la personnalité, non pas des éléments du patrimoine. Il convient donc de présenter les grandes lignes de ce dispositif global ayant pour but de concilier le principe de licéité du traitement des données personnelles avec la nécessité de reconnaître des droits nouveaux aux personnes susceptibles d’être menacées, par ces traitements, dans leur sécurité, dans leur vie privée voire dans leur dignité. Ainsi, après avoir défini la notion de donnée personnelle (toute information permettant d’identifier une personne physique, directement ou indirectement, notamment par un identifiant tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale ; RGPD, art. 4) et interdit le traitement, automatisé ou non (RGPD, art. 4.2), des données discriminantes (art. 9, proscrivant les données personnelles révélant l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses, philosophiques ou l’appartenance syndicale, ainsi que les données génétiques, biométriques ainsi que celles concernant la santé, la vie ou l’orientation sexuelle), le RGPD reconnaît aux individus personnes physiques différents droits face au traitement de leurs données personnelles : transparence, information, rectification et opposition, portabilité et droit au recours.
Transparence – Enoncée en premier, l’obligation de transparence couvre en réalité les conditions d’exercice de l’ensemble des droits, figurant ci-après, au respect de ses données : toute personne doit pouvoir être informée sans coût ni complexité excessive des moyens mis à sa disposition pour accéder à l’information concernant à la fois la collecte, la conservation, la consultation et l’utilisation de ses données, sous peine de lourdes sanctions financières infligées à l’opérateur (v. CNIL, délib. SAN-2019-001, 21 janv 2019, prononcé d’une amende record de 50 millions d’euros contre Google au motif du manque de transparence de sa politique de recueil des données).
Information – Étendue, cette obligation portant tout à la fois sur le responsable du fichier, sa finalité, ses destinataires, la durée de conservation et les voies de recours et de réclamation. Consacré par le RGPD (art. 42), le principe du recueil du consentement pose toutefois des difficultés d’application, concernant notamment la politique des « cookies ». Liée à la qualité et à l’exhaustivité de l'information reçue par l’utilisateur, la validité du consentement émis à propos des cookies requiert de l’opérateur la délivrance d’une information précise s’agissant de leurs finalités, ainsi que de l’identité des responsables. C’est pourquoi la seule acceptation des conditions générales d'utilisation ne peut être une modalité valable de recueil du consentement, lequel doit être exprès et renouvelé. Le consentement doit se manifester par une action positive de l’internaute préalablement informé, notamment, des conséquences de ses choix. Dans cette perspective, il doit disposer à tout moment des moyens d’accepter, de refuser et de retirer son consentement (v. les décisions de sanction de Google et Facebook par la CNIL : CNIL, délib. n° SAN-2021-023, Google ; Facebook, délib. n° SAN-2021-024, 31 déc. 2021)
Rectification - Visant à l’origine la correction de données inexactes, le droit de rectification s’est progressivement accompagné d’un droit au déréférencement, ce que l’on appelle le droit à l’oubli (RGPD, art. 17). Il permet d’obtenir de l’exploitant d’un moteur de recherche la suppression d’un résultat de recherche affiché à partir de l’entrée du nom de la personne concernée, indépendamment du maintien de la page référencée parmi les résultats obtenus par l’entrée d’autres mots-clés (CJUE, gr.ch., 13 mai 2014, Google Spain, aff.C-131/12). De droit concernant les données sensibles (v. not. Civ. 1re, 27 nov. 2019, n° 18-14.675 ; adde, CE, 6 déc. 2019, n° 39100), le déréférencement se fonde sur le droit au respect de ses données personnelles autant que sur le droit plus large au respect de sa vie privée (v. à propos du référencement d’une ancienne condamnation pénale du requérant, CJUE, Google Spain, préc.). Ce droit doit cependant être concilié avec la liberté de la presse et le droit des internautes à l’information (CJUE, 24 sept. 2019, CG e.a.c./CNIL, aff. C-136/17; adde, sur l’importance des archives numériques, v. CEDH, 28 juin 2018, ML et WW c. Allemagne, n° 60798/10 et 65599/10). Enfin, le RGPD consacre un droit d’opposition (art. 21.1 : « la personne concernée a le droit de s’opposer à tout moment, pour des raisons tenant à sa situation particulière, à un traitement des données à caractère personnel la concernant »), couplé au droit de ne pas faire l’objet de décisions fondées exclusivement sur un traitement automatisé (algorithmique). Ce droit d’opposition ne peut être limité que par des considérations d’intérêt public (ex : fichiers de police ou intéressant la sécurité publique). Sa mise en œuvre oblige le responsable du traitement à ne plus traiter les données personnelles concernées, sauf motif légitime et impérieux prévalant sur les intérêts et les droits et libertés de la personne concernée. La formulation de l’article 21.1 du RGPD requiert encore que les données qui forment l’objet du droit d’opposition soient effacées lorsqu’aucune autre finalité ou justification juridique ne peut justifier leur conservation ou archivage.
Portabilité - Le droit à la portabilité des données personnelles offre aux personnes la possibilité de récupérer une partie de leurs données dans un format ouvert, afin de pouvoir les réutiliser. Ce droit est cantonné aux données fournies avec le consentement de l’utilisateur, à l’exclusion des données dérivées, ou inférées (ex : un profil d’utilisateur) ou des données recueillies en vertu d’obligations légales (ex : données bancaires, fiscales).
Recours - Contraignant la France à substituer son régime d’autorisation préalable par un principe de responsabilité des opérateurs (art. 5.2), le RGPD consacre le droit de toute personne à porter des réclamations auprès de l’autorité nationale de contrôle et le droit de recourir en justice, notamment dans le cadre d’une action individuelle ou collective en réparation du préjudice subi (v. déjà, loi n° 2016-1547 du 18 nov. 2016 de modernisation de la justice), fondée sur la méconnaissance du droit au respect des données à caractère personnel. L’effectivité de ce droit de recours et de réclamation est garantie par le rôle croissant de la CNIL, dont le pouvoir de sanction a été notablement renforcé par le nouveau régime RGPD, et le concours de tous les juges appelés, dans l’ordre interne comme européen, à la protection des données personnelles. En ce sens, si traditionnellement, le juge administratif joue un rôle d’importance en matière de conciliation entre fichiers et droit à la protection des données, il devrait en être de même pour la jurisprudence judiciaire, dotée d’un rôle concurrent (RGPD, art. 79) promis à se développer à la faveur du contentieux indemnitaire.
Références :
■ CNIL, délib. SAN-2019-001, 21 janv 2019 : D. 2019. 1673, obs. W. Maxwell et C. Zolynski ; Dalloz IP/IT 2019. 165, obs. E. Netter
■ CNIL, délib. n° SAN-2021-023, Google ; Facebook, délib. n° SAN-2021-024, 31 déc. 2021 : DAE, 21 janv. 2022, note Merryl Hervieu, D. 2022. 2002, obs. W. Maxwell et C. Zolynski ; Dalloz IP/IT 2022. 7, obs. C. Crichton ; ibid. 392, obs. E. Netter ; RTD com. 2022. 295, obs. E. Netter
■ CJUE, gr.ch., 13 mai 2014, Google Spain, aff. C-131/12 : AJDA 2014. 1147, chron. M. Aubert, E. Broussy et H. Cassagnabère ; D. 2014. 1476, note V.-L. Benabou et J. Rochfeld ; ibid. 1481, note N. Martial-Braz et J. Rochfeld ; ibid. 2317, obs. J. Larrieu, C. Le Stanc et P. Tréfigny ; AJCT 2014. 502, obs. O. Tambou ; Légipresse 2014. 330 et les obs. ; JAC 2014, n° 15, p. 6, obs. E. Scaramozzino ; Constitutions 2014. 218, chron. D. de Bellescize ; Rev. crit. DIP 2022. 287, étude U. Kohl ; RTD eur. 2014. 283, édito. J.-P. Jacqué ; ibid. 879, étude B. Hardy ; ibid. 2016. 249, étude O. Tambou ; Rev. UE 2016. 597, étude R. Perray
■ Civ. 1re, 27 nov. 2019, n° 18-14.675 : DAE, 7 janv. 2020, note Merryl Hervieu, D. 2019. 2298 ; ibid. 2020. 1058, chron. I. Kloda, C. Dazzan, V. Le Gall, S. Canas, J. Mouty-Tardieu et E. Buat-Ménard ; Légipresse 2019. 661 et les obs. ; ibid. 2020. 64, étude G. Loiseau
■ CJUE, 24 sept. 2019, CG e.a.c./CNIL, aff. C-136/17 : AJDA 2019. 1839 ; ibid. 2291, chron. P. Bonneville, C. Gänser et S. Markarian ; D. 2020. 515, note T. Douville ; ibid. 2019. 2022, note J.-L. Sauron ; ibid. 2020. 1262, obs. W. Maxwell et C. Zolynski ; Dalloz IP/IT 2019. 631, obs. N. Martial-Braz ; Légipresse 2019. 515 et les obs. ; ibid. 687, étude N. Mallet-Poujol ; RTD eur. 2020. 316, obs. F. Benoît-Rohmer
■ CEDH, 28 juin 2018, ML et WW c. Allemagne, n° 60798/10 et 65599/10 : D. 2019. 1673, obs. W. Maxwell et C. Zolynski ; AJ pénal 2018. 462, note L. François ; Dalloz IP/IT 2018. 704, obs. E. Derieux ; RSC 2018. 735, obs. J.-P. Marguénaud
Autres À la une
-
[ 20 décembre 2024 ]
À l’année prochaine !
-
Droit du travail - relations collectives
[ 20 décembre 2024 ]
Salariés des TPE : à vous de voter !
-
Droit du travail - relations individuelles
[ 19 décembre 2024 ]
Point sur la protection de la maternité
-
Libertés fondamentales - droits de l'homme
[ 18 décembre 2024 ]
PMA post-mortem : compatibilité de l’interdiction avec le droit européen
-
Droit de la famille
[ 17 décembre 2024 ]
GPA : l’absence de lien biologique entre l’enfant et son parent d’intention ne s’oppose pas à la reconnaissance en France du lien de filiation établi à l'étranger
- >> Toutes les actualités À la une