TRAITEMENTS DES DONNÉES À CARACTÈRE PERSONNEL

Les données personnelles et informations nominatives et publiques 

Force est de constater que les données considérées comme des données personnelles sous l’empire de l’ancienne législation sont les données nominatives et les données personnelles figurant dans des documents publics.

Donnée à caractère personnel et informations nominatives

. L’ancienne rédaction de la loi du 6 janvier 197865 considérait, pour sa part, comme nominatives « les informations qui permettent, sous quelque forme que ce soit, directement ou non, l’identification des personnes physiques auxquelles elles s’appliquent, que le traitement soit effectué par une personne physique ou par une personne morale ». Sous l’empire de l’ancienne réglementation, ont ainsi été considérées comme entrant dans le champ de cette notion des informations aussi courantes que le nom ou le numéro de téléphone. Ainsi, les tribunaux ont pu qualifier d’informations nominatives les renseignements enregistrés par une société de recouvrement, relatifs à la solvabilité de débiteurs présumés. De même, est considéré comme une donnée nominative le numéro de téléphone66 d’une personne. La CNIL a estimé qu’entrait également dans cette définition l’identité des parties à une instance mentionnée dans les banques de données de jurisprudence.Les données nominatives avaient donc vocation à porter essentiellement sur les éléments d’identification, qu’ils soient physiques, physiologiques, économiques ou culturels, de la personne dont les informations étaient traitées. En cela, la notion d’« informations nominatives » recouvre celle de « données à caractère personnel ». 136. Toutefois, depuis l’adoption de la rédaction initiale de la loi du 6 janvier 1978, la notion d’informations nominatives s’est avérée peu adaptée face aux évolutions technologiques, notamment celles issues du secteur des communications électroniques. Ce faisant, la CNIL68 a été contrainte d’adopter une conception sans cesse plus large des informations nominatives, y incluant aussi bien les appels enregistrés par les autocommutateurs téléphoniques sur les lieux de travail que le fichier central des dernières volontés, tenu par les notaires69 , ou les cartes mémoire dans les transports en commun. Au regard notamment des développements techniques en matière d’identification par le biais de moteurs de recherche, de logiciels de reconnaissance vocale ou morphologique, le législateur français71 a décidé de transposer en droit interne la notion plus neutre et plus large de « données à caractère personnel ». Contrairement à l’ancienne notion d’informations nominatives, cette dernière a en effet vocation à étendre également la protection de la loi informatique et libertés au domaine de la voix et de l’image.La CJCE73 a eu à préciser que l’image est bien une donnée personnelle, et la vidéosurveillance tombe alors sous le coup de l’application de la directive européenne de 1995.  En l’espèce, M. Ryneš, un citoyen tchèque, et sa famille avaient fait l’objet de plusieurs attaques par un inconnu et, en outre, les fenêtres de leur maison avaient été brisées à différentes reprises. En réponse à ces agressions, M. Ryneš a installé, sur la maison de sa famille, une caméra de surveillance qui filmait l’entrée de celle-ci, la voie publique ainsi que l’entrée de la maison d’en face. Au cours de la nuit du 6 au 7 octobre 2007, une fenêtre de cette maison a été brisée par un tir de projectile au moyen d’une fronde. Les enregistrements de la caméra de surveillance remis à la police ont permis d’identifier deux suspects contre lesquels des procédures pénales ont été engagées. L’un des suspects a toutefois contesté, auprès de l’Office tchèque pour la protection des données à caractère personnel, la légalité du traitement des données enregistrées par la caméra de surveillance de M. Ryneš. L’Office a constaté que M. Ryneš avait effectivement violé les règles en matière de protection des données à caractère personnel et lui a infligé une amende. À cet égard, l’Office a relevé, entre autres, que les données du suspect avaient été enregistrées sans son consentement alors qu’il était sur la voie publique, c’est-à-dire dans la portion de la rue située devant la maison de M. Ryneš. Saisi en pourvoi du litige opposant M. Ryneš à l’Office, le Nejvyšší správní soud (Cour suprême administrative, République tchèque) demande à la Cour de justice si l’enregistrement réalisé par M. Ryneš en vue de protéger sa vie, sa santé et ses biens (c’est-à-dire l’enregistrement de données à caractère personnel d’individus attaquant sa maison depuis la voie publique) constitue un traitement de données non couvert par la directive, au motif que cet enregistrement est effectué par une personne physique pour l’exercice d’activités exclusivement personnelles ou domestiques. 139. Dans son arrêt , la Cour rappelle, en premier lieu, que la notion de données à caractère personnel au sens de la directive englobe toute information concernant une personne physique identifiée ou identifiable. Est réputée identifiable toute personne qui peut être identifiée, directement ou indirectement, par référence à un ou plusieurs éléments spécifiques, propres à son identité physique. Par conséquent, l’image d’une personne enregistrée par une caméra constitue une donnée à caractère personnel, car elle permet d’identifier la personne concernée. 37 De même, la vidéosurveillance comprenant l’enregistrement et le stockage de données à caractère personnel relève du champ d’application de la directive, puisqu’elle constitue un traitement automatisé de ces données. 140. En second lieu, la Cour constate que l’exemption prévue par la directive au sujet du traitement de données effectué par une personne physique pour l’exercice d’activités exclusivement personnelles ou domestiques doit être interprétée de manière stricte. Ainsi, une vidéosurveillance qui s’étend à l’espace public et qui, de ce fait, est dirigée en dehors de la sphère privée de la personne traitant les données ne peut pas être considérée comme « une activité exclusivement personnelle ou domestique ». En appliquant la directive, la juridiction nationale doit, dans le même temps, prendre en compte que ses dispositions permettent d’apprécier l’intérêt légitime du responsable du traitement à protéger ses biens, sa santé et sa vie ainsi que ceux de sa famille. En particulier, premièrement, le traitement de données à caractère personnel peut être effectué sans le consentement de la personne concernée, notamment lorsqu’il est nécessaire à la réalisation de l’intérêt légitime du responsable du traitement. Deuxièmement, une personne ne doit pas être informée du traitement de ses données, si l’information de celle-ci se révèle impossible ou implique des efforts disproportionnés. Troisièmement, les États membres peuvent limiter la portée des obligations et des droits prévus par la directive, lorsqu’une telle limitation est nécessaire pour sauvegarder la prévention, la recherche, la détection et la poursuite d’infractions pénales ou la protection des droits et libertés d’autrui. Cette jurisprudence européenne affirme sans ambiguïté et selon nous à juste titre que l’image est une donnée personnelle et l’enregistrement par vidéosurveillance un traitement, et non plus seulement les données nominatives.. Se pose également la question de savoir si les données personnelles se trouvant dans les documents publics font l’objet d’une protection spécifique. 2. Données à caractère personnel et informations publiques 141. Il n’existe pas, à proprement parler, de définition des « informations publiques ». L’ordonnance n° 2005-650 du 6 juin 200574 n’a sur ce point pas apporté de précisions à la loi 74 L’ordonnance n° 2005-650 du 6 juin 2005 publiée au Journal officiel du 7 juin 2005. 38 du 17 juillet 197875 portant diverses mesures d’amélioration des relations entre l’administration et le public et diverses dispositions d’ordre administratif, social et fiscal. Ces dispositions se bornent à prévoir que les informations publiques sont contenues dans des « documents administratifs » produits ou reçus par l’État, les collectivités locales ainsi que par les autres personnes de droit public ou les personnes de droit privé chargées de la gestion d’un service public76 . Or, ces documents administratifs peuvent être indifféremment des dossiers, rapports, études, comptes rendus, procès-verbaux, statistiques, instructions, circulaires, notes et réponses ministérielles, correspondances, avis, prévisions et décisions. Certains d’entre eux peuvent comporter des informations publiques contenant elles-mêmes des données à caractère personnel. Il s’agit par exemple des listes électorales, des fichiers de gestion des bénéficiaires de prestations, du cadastre ou des fichiers fiscaux. 142. La communication et la réutilisation des informations publiques comportant des données personnelles sont, quant à elles, soumises à des règles spécifiques anciennement fixées par la loi du 17 juillet 197877 , et désormais reprises par le Code des relations entre le public et l’administration et non directement par la loi de janvier 1978 relative aux données personnelles. Le Conseil d’État s’est déjà prononcé à ce sujet78 . Il s’agissait d’un particulier souhaitant obtenir copie des fiches de renseignement établies à son sujet par les brigades de gendarmerie. Le Conseil d’État a confirmé les juges du fond en indiquant : « Il ressort d’une part des dispositions combinées des articles 3 et 6 bis de la loi du 17 juillet 1978 modifiée par la loi du 11 juillet 1979 que le droit à la communication des documents administratifs institués par cette loi ne peut s’exercer que dans la mesure où les dispositions de la loi du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés ne sont pas, elles-mêmes, applicables et d’autre part, des termes mêmes des articles 34 et 45 de la loi du 6 janvier 1978 que cette dernière loi régit le droit d’accès des individus aux fichiers de l’administration comportant des mentions nominatives, qu’ils soient automatisés, mécanographiques ou manuels. En particulier, l’accès aux fichiers administratifs intéressant la sûreté de l’État, la défense et la sécurité publique ne peut être exercé que par la voie d’une demande faite à la 75 Loi n° 78-753, 17 juillet 1978, portant diverses mesures d’amélioration des relations entre l’administration et le public et diverses dispositions d’ordre administratif, social et fiscal. 76 Code des relations entre le public et l’administration, art. L. 300-2 ; L. n° 78-753, art. 1er ancien. 77 Loi du 17 juillet 1978, op. cit., page 35. À ce titre, voir CNIL, 26e rapp. d’activité 2005 : Doc. fr., 2006, p. 78. 78 CE, 19 mai 1983, n° 40680. 39 Commission nationale de l’informatique et des libertés, laquelle met en œuvre la procédure prévue à l’article 39 de la loi, applicable, en vertu de l’article 45, aux fichiers mécanographiques et manuels. » 143. Malgré ces précisions, et même si le Conseil d’État s’était déjà prononcé en la matière et qu’un protocole était intervenu entre la CNIL et la CADA (la Commission d’accès aux documents administratifs), la combinaison des dispositions de la loi du 17 juillet 1978, en conséquence également du Code des relations entre le public et l’administration, avec celles du 6 janvier 1978, n’était pas des plus aisées. C’est en tous les cas ce qu’a pu constater la société Notrefamille.com qui s’est vu refuser la possibilité de réutiliser les fichiers d’archives départementales. Même si le tribunal administratif de Clermont-Ferrand79 lui avait donné raison en première instance, il n’en est pas de même en appel. La cour administrative d’appel de Lyon80 a en effet considéré, pour sa part, que le conseil général du Cantal était tout au contraire pleinement fondé, et même tenu, de rejeter la demande de réutilisation que lui avait adressée Notrefamille.com, dès lors qu’elle « ne répondait pas aux exigences résultant des dispositions des articles 34, 68 et 69 de la loi du 6 janvier 1978 ». 144. Cette protection des données personnelles ne concerne que les personnes physiques. Cela étant rappelé, il importe surtout de relever que, comme dans sa rédaction initiale, la loi modifiée du 6 janvier 197881 prévoit que seules les données qui se rattachent à une « personne physique identifiée » sont considérées comme personnelles. La protection accordée par la loi informatique et libertés ne s’applique donc qu’aux personnes physiques. Comme le confirme également la directive du 24 octobre 199582, elle ne s’étend pas aux données relatives à des personnes morales. Tout comme le règlement européen RGPD ne s’applique qu’aux données personnelles des personnes physiques. Le texte adopté a expressément prévu83 que ses dispositions ne couvrent pas « le traitement des données à caractère personnel qui concerne les personnes morales, et en particulier des entreprises dotées de la personnalité juridique, y compris le nom, la forme juridique et les coordonnées de la personne morale »Ces dernières sont, en conséquence, totalement exclues du bénéfice de la protection des actuelles dispositions issues du règlement. De sorte que la jurisprudence du Conseil d’État84 , qui refusait en 1991 de faire bénéficier l’église de scientologie de la protection issue de la législation du 6 janvier 1978, reste d’actualité. 145. La CNIL, en accord sur ce point avec les positions tant de la Cour de justice des Communautés européennes85 que du Groupe de l’article 2986 , ne fait cependant pas application de ce principe de manière absolue, mais s’attache à vérifier avec vigilance si les conditions de la loi peuvent, dans certains cas, être remplies. Il peut notamment en aller ainsi lorsque – et la situation est relativement courante – un traitement de données relatives à des personnes morales inclut également celui de données relatives à des personnes physiques, à l’instar du nom, du prénom et des coordonnées de dirigeants d’une société87 . Dans ce cas, les personnes physiques en question bénéficient, elles, de la protection issue de la loi informatique et libertés et peuvent, en conséquence, exercer les droits qui leur sont accordés à ce titre, au premier chef duquel le droit d’accès aux données qui les concernent. 146. Certaines législations ont étendu la protection des données à caractère personnel aux personnes morales, comme le Mali88 ou la Tunisie89 . Ceci étant précisé, les données à caractère personnel des personnes physiques sont conçues largement car elles peuvent, selon les termes de la directive de 1995, permettre une identification directe et indirecte de la personne. Il sera ensuite envisagé ce que recouvrent ces données en les illustrant d’exemples issus de la jurisprudence. §2. Les données personnelles, une « identification directe » 147. Les données permettant l’identification directe d’un individu sont les plus simples à appréhender. A. Les données identifiantes classiques 148. À la simple lecture de la définition des données à caractère personnel telle qu’elle résulte de l’article 2, alinéa 2 de la loi informatique et libertés du 6 janvier 1978, il n’était pas évident de déterminer avec précision quels sont les types de données incluses dans cette notion. Tout au plus peut-on relever qu’en font partie celles qui font « référence à un numéro d’identification ou à un ou plusieurs éléments qui lui sont propres ». Comme indiqué, la directive 95/46/CE du 24 octobre 1995 a le mérite d’apporter sur ce point quelques précisions utiles. Figurent ainsi au nombre des données personnelles celles qui sont « propres à l’identité physique, physiologique, psychique, économique, culturelle ou sociale » d’un individu90 . 149. Ainsi, du point de vue pratique, on peut facilement en déduire que sont incluses dans cette catégorie des informations aussi usuelles que celles relatives au nom et au prénom91, aux coordonnées postales ou téléphoniques, y compris professionnelles92, à l’âge, au sexe, aux date et lieu de naissance ou, encore, à la nationalité. En ce sens, la CJCE a eu à juger que ces données recueillies et conservées dans le cadre d’un registre fédéral allemand des étrangers sont soumises à la réglementation relative à la protection des données personnelles telle qu’issue de la directive 95/46 CE93 . Encore faut-il que, même prises indépendamment les unes des autres, elles puissent tout de même permettre l’identification de la personne. 150. S’il en va ainsi des revenus des personnes physiques, ainsi que l’a affirmé la CJCE dans un arrêt du 20 mai 200394 , ou d’informations contenues dans un registre du temps de travail précisant, pour chaque travailleur, les périodes de travail journalières ainsi que les périodes de repos95, ce n’est pas systématiquement le cas. Tel a justement été l’objet d’une ordonnance rendue par le tribunal de grande instance de Paris96 qui a en effet écarté l’application de la loi informatique et libertés à la collecte du seul nom patronymique. 151. Cette solution doit cependant être lue uniquement à la lumière des faits de l’espèce. Car si elle a rejeté la qualité de données personnelles au nom de famille, c’est exclusivement  dans la mesure où « pour qu’il en soit ainsi, il aurait fallu que soit démontré le fait qu’une identification reste possible par le recoupement des fichiers noms et prénoms ». Ainsi, il n’est pas possible de déduire de cette décision que le seul patronyme n’est jamais une donnée à caractère personnel. L’analyse des circonstances est en cela déterminante, comme l’indique d’ailleurs le Groupe de l’article 29, pour qui « un nom de famille très courant sera insuffisant pour identifier quelqu’un, c’est-à-dire pour distinguer quelqu’un, dans l’ensemble de la population d’un pays, alors qu’il sera probablement suffisant pour identifier un élève dans une classe ». La jurisprudence avait d’ailleurs déjà fait application de ce critère. C’est en effet sur cette base qu’elle a considéré98, bien que reposant sur une méthode d’échantillonnage, que les résultats d’un sondage d’opinion ne constituaient pas des données à caractère personnel relatives à la personnalité qui en est l’objet, dès lors qu’un tel sondage a seulement pour objet de chercher à un moment donné l’opinion de la population au sens statistique du terme. 153. La jurisprudence est parvenue à la même conclusion en matière de résultats des examens du permis de conduire99 . 154. À l’inverse, la CNIL a, quant à elle, considéré à propos de l’ensemble des données traitées par les différents services de Google que, même prises isolément, certaines d’entre elles ne pouvaient pas « être automatiquement considérées comme « directement identifiantes » », car se rapportant à un terminal ou un navigateur non identifié : « l’accumulation de données que cette société détient sur une seule et même personne lui permet de la singulariser à partir d’un ou de plusieurs éléments qui lui sont propres », et est telle qu’il est « impossible de ne pas considérer que celles-ci ne sont pas identifiantes, à tout le moins indirectement » 100 . Au-delà du nom, du prénom ou de l’adresse postale, entrent également dans cette catégorie des données toujours relatives à l’identité, mais d’utilisation plus récente.