LA PROTECTION DE LA VIE PRIVEE

AU REGARD DES DONNEES INFORMATIQUES *

Emmanuel DECAUX

Professeur à l'Université Panthéon-Assas Paris II

La notion de vie privée - de « privacy » que le mot « intimité » rend mal, à défaut du vieux « priveté » mentionné par Littré - est au cœur de la philosophie libérale, avec la distinction de la sphère publique et de la sphère intime. Cette notion n'apparaît pourtant pas en tant que telle dans la Déclaration des droits de l'homme et du citoyen de 1789, reflétant ainsi l'opposition établie par Benjamin Constant entre la « liberté des anciens » et la « liberté des modernes » qui préfigure le distinguo classique d'Isaiah Berlin[1]. Il y aurait sans doute un parallèle à prolonger entre les libertés anglaises et la Liberté française...

« Notre liberté, à nous, doit se composer de la jouissance paisible de l'indépendance privée » réclamait Benjamin Constant dans son fameux discours prononcé à l'Athénée de Paris en 1819, à défaut d'une souveraineté trop souvent illusoire[2]. Après lui, les doctrinaires - le plus souvent anglophiles - comme Royer-Collard, invoqueront « le mur de la vie privée », selon une formule dont la paternité sera disputée[3]. Il est significatif que comme l'article 76 de la Constitution de Frimaire an VIII (1799), la Constitution de 1848 précise que « la demeure de toute personne habitant le territoire français est inviolable ; il n'est permis d'y pénétrer que selon les formes et dans les cas prévus par la loi » (art. 3). Des dispositions ponctuelles viseront à protéger le « secret » de la vie privée, en matière de presse avec une loi de 1868. Mais c'est bien plus tard que l'article 9 du Code civil - introduit par la loi du 17 juillet 1970 - viendra consacrer formellement le principe en vertu duquel « [c]hacun a droit au respect de sa vie privée »[4].

Le Conseil constitutionnel considèrera pour sa part, de manière très allusive, que « la liberté individuelle constitue l'un des principes fondamentaux garantis par les lois de la République » pour limiter la fouille des véhicules[5] En 1995, s'agissant de vidéosurveillance, il estimera expressément cette fois que « la méconnaissance du droit au respect de la vie privée peut être de nature à porter atteinte à la liberté individuelle »[6].

Dans le même temps, la protection de la vie privée est pleinement consacrée par tous les grands textes internationaux, à l'instar de l'article 12 de la Déclaration universelle de 1948 : « Nul ne sera l'objet d'immixtions arbitraires dans sa vie privée, sa famille, son domicile ou sa correspondance, ni d'atteintes à son honneur et à sa réputation. Toute personne a droit à la protection de la loi contre de telles immixtions ou de telles atteintes ». C'est le cas également de l'article 8 de la Convention européenne des droits de l'homme - qui sera la matrice d'une jurisprudence abondante et riche - comme de l‘article 17 du Pacte international relatif aux droits civils et politiques - qui a fait l'objet de l'Observation générale n° 16 (1988).

Toutefois ces principes classiques qui supposent une non-ingérence, une « abstention » de l'Etat, ne sont pas suffisants pour protéger l'individu face au développement de l'informatique. C'est le sens de la loi du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés qui a institué en France un régime particulièrement protecteur, en instituant la Commission nationale de l'informatique et des libertés (CNIL). Cette grande loi reste la base du système français, même si elle a été révisée à plusieurs reprises, notamment avec la loi du 7 août 2004 « relative à la protection des personnes physiques à l'égard des traitements de données à caractère personnel et modifiant la loi n° 78‑17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés »[7].

Une des principales caractéristiques du système français est l'interdiction « de collecter et de traiter des données à caractère personnel qui font apparaître, directement ou indirectement, les origines raciales ou ethniques, les opinions politiques, philosophiques ou religieuse ou l'appartenance syndicale des personnes ou qui sont relatives à la santé ou à la vie sexuelle de celles-ci » (art. 8-1). Cette interdiction de principe comporte quelques exceptions, au bénéfice des églises, des partis ou des associations qui peuvent constituer un fichier de leurs membres, avec l'accord de ces derniers, ainsi que dans un but d'intérêt général, s'agissant notamment de la gestion des services de santé. Mais un organisme officiel comme l'Institut national de la statistique et des études économiques (INSEE) ne peut établir de statistiques ethniques, ainsi que la CNIL vient de le confirmer. Des dérives restent toujours possibles, dans certaines municipalités, notamment à des fins électorales.

Parallèlement la loi française fixe un régime souple, prévoyant que « les données sont collectées et traités de manière loyale et licite » et ce « pour des finalités déterminées, explicites et légitimes », qu'elles « sont adéquates, pertinentes et non excessives » au regard de ces finalités. Il importe également qu'elles soient « exactes, complètes et, si nécessaire, mises à jour », des mesures devant être prises « pour que les données inexactes ou incomplètes [...] soient effacées ou rectifiées » (art. 6). La règle du consentement de la personne concernée prime, ou à défaut « le respect d'une obligation légale incombant au responsable du traitement », « l'exécution d'une mission de service public » ou encore « la réalisation de l'intérêt légitime poursuivi par le responsable du traitement ou par le destinataire, sous réserve de ne pas méconnaître l'intérêt ou les droits et libertés fondamentales de la personne concernée » (art. 7). Les mots parlent d'eux-mêmes : « loyauté », « licéité », « légitimité », « adéquation », « pertinence », « proportionnalité », tout est matière d'interprétation. En dehors de quelques interdictions absolues, la loi s'en tient à la recherche permanente de l'équilibre, du raisonnable et du relatif, sous le contrôle de la CNIL.

Une dynamique a également été créée depuis les années soixante-dix, d'abord sur le terrain du droit comparé, avec de nombreuses législations protectrices, la loi adoptée par le Land de Hesse en 1974 jouant le rôle de pionnier. Parfois le principe est même consacré dans les nouvelles constitutions démocratiques, comme en Espagne, avec l'article 18 § 4 de la Constitution de 1978 qui précise que « la loi limitera l'usage de l'informatique pour garantir l'honneur et l'intimité personnelle et familiale des citoyens et le plein exercice de leurs droits », ou au Portugal avec la Constitution de 1976 dont l'article 35 sur « l'utilisation de l'informatique » a été complété lors des révisions constitutionnelles de 1982 et 1989. On retrouve la même dynamique sur le plan international et notamment européen, avec des conventions et des directives visant à établir un système protecteur transfrontière, comme on le verra.

C'est dire l'importance de la Charte des droits fondamentaux de l'Union européenne, proclamée à Nice en 2000, qui vient compléter un article 7, tout à fait classique, consacré au « respect de la vie privée et familiale », par un article 8 inédit sur la « protection des données à caractère personnel » qui se fonde sur l'article 286 du Traité instituant la Communauté européenne. En vertu de l'article 8 de la Charte :

« 1. Toute personne a droit à la protection des données à caractère personnel le concernant.

2. Ces données doivent être traitées loyalement, à des fins déterminées et sur la base du consentement de la personne concernée ou en vertu d'un autre fondement légitime prévu par la loi. Toute personne a le droit d'accéder aux données collectées la concernant et d'en obtenir la rectification.

3. Le respect de ces règles est soumis au contrôle d'une autorité indépendante »[8].

Ces dispositions générales traduisent une véritable révolution juridique dans la conception même des droits de l'homme. Il s'agit d'abord de protéger la vie privée et pas seulement de la « respecter » à travers une simple non-ingérence. On retrouve le triptyque mis en avant par A. Eide : respecter, protéger et mettre en œuvre (respect, protect and fulfill). Cela implique des obligations positives de l'Etat, notamment en déterminant un cadre juridique protecteur qui vise tous les acteurs potentiels, acteurs publics mais aussi acteurs privés. Enfin l'idée de confier un rôle de protection à une autorité administrative indépendante est également très novatrice, par rapport à la conception traditionnelle qui fait de « l'autorité judiciaire [la] gardienne de la liberté individuelle », comme le rappelle l'article 66 de la Constitution française.

Sans entrer dans des détails techniques - ce dont nous serions d'ailleurs bien incapable - nous voudrions tenter de voir comment, depuis une trentaine d'années, un cadre européen protecteur a été mis en place sur la base de ces grands principes (I) avant de nous interroger sur la solidité de ce dispositif face aux nouveaux défis aussi bien techniques que politiques apparus dans les dernières années (II).

[...]

[...]