• 63 Cours Balguerie Stuttenberg, Bordeaux
  • (+33) 5 56 69 73 24

La protection des données personnelles : quel bilan pour l’année 2018 ?

La donnée personnelle est définie comme « toute information se rapportant à une personne physique identifiée ou identifiable »[1]. L’identification de la personne s’opère avec son nom, prénom, date et lieu de naissance, lieu de résidence, …et elle est identifiable, directement ou indirectement, par le biais d’un identifiant, données de localisation, un identifiant en ligne, …

Ainsi, la donnée personnelle constitue-t-elle un bien, une chose, un res ? Fait-elle partie du patrimoine de chaque personne physique ? La personne physique dispose-t-elle d’un droit de propriété sur ses données personnelles ? Ce droit est-il absolu, la personne est-elle titulaire de l’usus, l’abususet le fructussur ces mêmes données ? La doctrine n’est pas unanime et n’apporte pas une réponse claire à toutes ces questions.

En prenant appui sur les textes en vigueur, nous pouvons légitimement affirmer que la donnée personnelle est un bien au sens juridique du terme. Certains auteurs parlent même de « res numericus »[2].

Les « empreintes numériques » que nous laissons, volontairement ou non, peuvent être soumises à un traitement, autrement dit à « toute opération ou ensemble d’opérations effectuées ou non à l’aide de procédés automatisés et appliquées à des données ou des ensembles de données personnelles »[3].

Ainsi, un agent économique traite des données personnelles quand il collecte ces données, les enregistre, les organise, les structure, les conserve, les adapte ou procède à leurs modification, extraction, consultation, transmission, diffusion… Nombreux sont les agents économiques qui procèdent à un traitement de données personnelles. Leur protection était donc nécessaire.

Incontestablement, l’ère qui a vu naître cette nécessité est l’ère numérique. Le monde d’Internet et le monde numérique en général font partie de notre quotidien. En notre qualité de consommateurs, voyageurs, personnes curieuses et désireuses d’accéder à d’autres sources d’informations …, nous laissons nos traces, certaines de nos données personnelles, sur Internet sans même en avoir conscience.

La question était donc évidente : comment l’homo numericus[4]pouvait-il s’assurer de la protection de son res numericus ?

L’année 2018, ayant été riche en événements législatifs, jurisprudentiels, médiatiques, liés à la protection des données personnelles, un bref rappel des dispositifs existants s’impose.

Point sur les principaux textes en vigueur :

Le règlement européen sur la protection des données à caractère personnel (appelé plus couramment, le RGPD) est celui qui a bouleversé les habitudes et a permis d’annoncer la fin de certaines pratiques largement critiquées. Il est entré en vigueur le 24 mai 2016 et est devenu obligatoirement applicable dans les Etats membres de l’Union européenne, donc en France également, depuis le 25 mai 2018.

La loi française relative à la protection des données personnelles n’a pas pu être adoptée avant l’entrée en vigueur dudit règlement, le projet de loi ayant été déféré par certains sénateurs devant le Conseil constitutionnel. Après la décision du Conseil constitutionnel du 12 juin 2018 déclarant une partie de l’article 13 du projet de loi contraire à la Constitution, cette loi a pu finalement être adoptée le 20 juin 2018. Son objectif principal était de modifier la loi « informatique et liberté » pour la mettre en conformité avec le RGPD.

L’ordonnance du 12 décembre 2018 achève la mise en conformité du droit français au règlement européen. Cette ordonnance a pour objectif d’unifier le régime de la protection des données personnelles dans le droit national. Elle entrera en vigueur au plus tard le 1erjuin 2019.

Malgré cet arsenal juridique, nombreux sont ceux qui ignorent leurs droits et autorisent, sans difficultés, divers agents économiques, visibles ou invisibles, à utiliser leurs données personnelles.

Point sur les droits protégés :

Tout d’abord,les données d’une personne physique ne peuvent être soumis à un traitement que si la personne y a préalablement consenti. Le consentement est « toute manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou par un acte positif clair, que des données à caractère personnel fassent l’objet d’un traitement »[5].

L’information, nécessairement préalable à la relation contractuelle, doit également porter sur la finalité du traitement envisagé[6]. Si, en revanche, au cours de la relation commerciale, l’agent économique envisage l’utilisation de ces données pour une finalité différente que celle initialement portée à la connaissance de la personne physique, il doit l’en informer et obtenir son consentement pour cette nouvelle finalité.

Puis,les personnes que le règlement vise à protéger doivent être informées des droits dont elles disposent, à savoir : droit d’accès, de rectification, d’effacement, d’opposition, de limitation, de traçabilité et de portabilité de leurs données[7].

Ainsi, la personne physique, seule propriétaire de ses données personnelles, peut solliciter du responsable du traitement la communication des données dont il dispose, leur rectification en cas d’inexactitude, leur effacement pur et simple et ainsi de suite.

En cas d’exercice d’un ou plusieurs de ces droits, la personne doit adresser une demande au responsable du traitement qui doit y répondre dans un délai d’un mois. Le délai peut être, exceptionnellement, prorogé de deux mois, « compte tenu de la complexité et du nombre des demandes »[8].

Le propriétaire des données personnelles est libre d’exercer ces droits et les informations sollicitées doivent lui être communiquées gratuitement. Toutefois, en cas d’abus (i.e. demande manifestement infondée ou excessive), le responsable du traitement peut :

  • exiger le paiement de frais « raisonnables »(sic) tenant compte des coûts administratifs supportés pour fournir les informations, procéder aux communications ou prendre les mesures demandées ;
  • refuser de donner suite à la demande émise.

L’un des principaux objectifs des textes est d’imposer aux agents économiques la sécurisation des données qu’ils traitent en évitant « la violation de la sécurité entrainant, de manière accidentelle ou illicite, la destruction, la perte, l’altération, la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d’une autre manière, ou l’accès non autorisé à de telles données »[9].Autrement dit, l’agent économique doit mettre en œuvre « les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque »[10]et doit s’assurer que son système informatique, ses moyens de communication mais son personnel également ne permettent aucune « faille » dans la sécurité.

Enfin, les textes soumettent la violation des données personnelles traitées à une procédure stricte. En effet, l’agent économique constatant le vol de données ou le piratage de son système informatique doit en informer l’autorité de contrôle dans les meilleurs délais et au plus tard 72 heures après la constatation[11]. De surcroît, si la violation est susceptible d’engendrer un risque élevé pour les droits et libertés d’une personne physique, le responsable du traitement communique l’information à la personne concernée « dans les meilleurs délais »(sic)[12].

En cas de non respect de la réglementation en matière de données personnelles, des sanctions d’ordre administratif, pénal et civil peuvent être prononcées.

Depuis le début de l’année 2018, la Commission Nationale de l’Informatique et des Libertés (ci-dessous, la CNIL) a exercé son pouvoir de contrôle et de sanction à plusieurs reprises déjà.

Point sur les travaux de la CNIL pendant l’année 2018 :

Très récemment, la CNIL a publié sur son site internet deux décisions concernant des faits antérieurs à l’application obligatoire du RGPD[13].

La première concerne la société UBER. En novembre 2017, celle-ci avait annoncé dans la presse qu’un an auparavant des données personnelles de 57 millions d’utilisateurs de ce service étaient dérobées. 1, 4 millions de ces personnes étaient domiciliés en France.

La formation restreinte de la CNIL a estimé que « la société a fait preuve de négligence en ne mettant pas en place certaines mesures élémentaires de sécurité. Ce manque de précaution généralisé est manifeste dans la mesure où le succès de l’attaque menée par les pirates a résulté d’un enchainement de négligences, … la société n’a pas pris toutes les précautions utiles afin d’empêcher que des tiers non autorisés aient accès aux données traitées … »[14].

La société UBER France SAS a été condamnée à une sanction pécuniaire de 400.000 €, la décision de la CNIL ayant été rendue publique, son anonymisation interviendra 2 ans à compter de sa publication.

Puis, par délibération en date du 26 décembre 2018, la formation restreinte de la CNIL a prononcé à l’encontre de la société BOUYGUES TELECOM une sanction pécuniaire de 250.000€, cette décision ayant également été rendue publique, son anonymisation intervenant aussi après une période de 2 ans[15]. La sanction sensiblement inférieure à celle prononcée à l’encontre de la société UBER s’explique par la moindre gravité de la violation.

La CNIL a tenu compte du fait que la violation de données a concerné plus de 2 millions d’utilisateurs, les données concernées étant le nom, le prénom, la date de naissance, le courrier électronique, l’adresse et le numéro de téléphone mobile, étant précisé que ces données avaient été accessibles pendant une période de plus de 2 ans et 3 mois.

Il est inutile de préciser que la sécurité des données personnelles est une préoccupation importante aujourd’hui non seulement pour les agents économiques de droit privé, mais également pour les personnes publiques et l’État en général.

À titre d’exemple, il sera simplement rappelé que, par communiqué du 13 décembre 2018, le Ministère de l’Europe et des Affaires Étrangères a annoncé qu’ont été dérobées des données personnelles enregistrées lors de l’inscription sur la plateforme Ariane permettant aux personnes prévoyant une mission ou un voyage à l’étranger de s’inscrire en ligne afin notamment de recevoir les informations relatives à la sécurité de leur déplacement[16]. La CNIL a été saisie, c’est donc nécessairement une question à suivre.

Plus généralement, il résulte des derniers sondages et analyses effectués par la CNIL que de plus en plus de personnes physiques en France sont conscientes de leurs droits en matière de protection des données personnelles. En effet, selon les informations publiées sur le site web de la CNIL, 6 mois après l’entrée en application du RGPD, 66% des français se disent plus sensibles, alors que 54% estiment à ce stade comprendre ce que le RGPD a changé[17]. Au 23 novembre dernier, la CNIL annonçait avoir reçu 9.700 plaintes depuis le début de l’année 2018, dont 6.000 – depuis le 25 mai 2018.

Malgré ce succès, certes tout relatif, de cette législation, sommes-nous conscients chaque fois que nos données personnelles sont collectées ? À l’occasion des fêtes de fin d’années, combien de personnes ont acheté des objets connectés : enceintes intelligentes ou jouets connectés ? Combien de personnes ont cherché à savoir quelles sont les informations communiquées par le biais de ces objets et à quels endroits sont stockées ces informations ?

Nos droits sont-ils respectés ?

Voilà quelques questions qui méritent de leur consacrer une nouvelle tribune…

[1]Article 4 du RGPD.

[2]« L’économie de la donnée personnelle sera une économie de la confidentialité »Maître Isabelle ANDREAU, Site Internet www.actualitésdudroit.fr.

[3]Article 4 du RGPD.

[4]C.f. « De l’homo Sapiens à l’homo Numericus »Eve Suzanne publié le 31 mai 2011, Site Internet www.implications-philosophiques.org.

[5]Article 4 du RGPD.

[6]Article 6 du RGPD.

[7]Article 15 à 22 du RGPD.

[8]Article 12 du RGPD.

[9]Article 4 du RGPD.

[10]Article 32 du RGPD.

[11]Article 33 du RGPD.

[12]Article 34 du RGPD.

[13]www.cnil.fr

[14]Délibération de la formation restreinte n° SAN-2018-011 du 19 décembre 2018 prononçant une sanction pécuniaire à l’encontre de la société UBER France SAS.

[15]Délibération de la formation restreinte n° SAN-2018-012 du 26 décembre 2018 prononçant une sanction pécuniaire à l’encontre de la société BOUYGUES TELECOM.

[16]C.f. communiqué du 13 décembre 2018 « Ariane – piratage de données » www.diplomatie.gouv.fr.

[17]www.cnil.fr