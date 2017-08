Certaines de nos données personnelles peuvent figurer un peu partout : dans des documents administratifs, dans des fichiers, sur Internet... Deux lois de 1978 régissent les cas de communication et de traitements automatisés. Des directives européennes sont venues réglementer l'open data mais les demandes de suppression de données privées sur les moteurs de recherche ne sont pas encore suivies d'effet. La jurisprudence est en cours de réflexion sur ce point.

La loi 78-17 du 6 janvier 1978 dite Informatique et libertés (ici en version actualisée) protège les droits des personnes dans le cadre des traitements automatisés et des fichiers. Elle fut suivie de la loi 78-753 du 17 juillet 1978 qui concerne la liberté d'accès aux documents administratifs. Il est très important de ne pas confondre les deux lois qui n'ont pas les mêmes objets. Le respect de l'application de la première de ces deux lois relève de la CNIL (commission nationale informatique et libertés) alors que le respect de la seconde loi de 1978 relève de la Cada (commission d'accès aux documents administratifs). De plus, un code spécial a été créé pour regrouper toutes les dispositions relatives à la seconde loi et à la Cada : le CRPA (code des relations entre le public et l'administration) créé par une ordonnance du 17 mars 2016.

Enfin, il existe dans toutes les collectivités un référent CNIL dont la fonction, actuellement facultative, deviendra obligatoire dès mai 2018 pour l’ensemble des organismes du secteur public. Et, depuis 2005, un référent Cada (désigné sous l'appellation de "Prada" : personne responsable de l'accès aux documents administratifs et des questions relatives à la réutilisation des informations publiques).

I - Définition des données personnelles par la CNIL

(Source : CNIL)

L'article 2 de la loi "Informatique et libertés" de 1978 dit :

1°) « Constitue une donnée à caractère personnel toute information… :

… Relative à une personne physique

Identifiée ou qui peut être identifiée , directement ou indirectement,

Par référence à un numéro d’identification ou à un ou plusieurs éléments qui lui sont propres… »

2°) « …Pour déterminer si une personne est identifiable,

… Il convient de considérer l’ensemble des moyens en vue de permettre son identification dont dispose ou auxquels peut avoir accès le responsable du traitement ou toute autre personne ».

« La personne concernée par un traitement de données à caractère personnel est celle à laquelle se rapportent les données qui font l’objet du traitement ».

Explicitation par la CNIL

Fichiers : une personne est identifiée lorsque par exemple son nom apparaît dans un fichier.

Une personne est identifiable lorsqu’un fichier comporte des informations permettant indirectement son identification :

photographie, éléments biométriques tels que l’empreinte digitale, ADN,

Par localisation : adresse IP, n° de téléphone, localisation discriminante : ensemble d’informations permettant de discriminer une personne au sein d’une population (certains fichiers statistiques) tels que, par exemple, le lieu de résidence et profession et sexe et âge,....),

Par référence à un numéro d’identification : immatriculation, numéro d’Identification Nationale Étudiant (INE).

Par un élément d’identité : nom.

Recoupements : Constituent également des données à caractère personnel toutes les informations dont le recoupement permet d’identifier une personne précise. (ex. : une empreinte digitale, l’ADN, une date de naissance associée à une commune de résidence …), les traces technologiques (cookies, etc.).

Le cas particulier des données personnelles sensibles

Les données sensibles sont celles qui font apparaître, directement ou indirectement, les origines raciales ou ethniques, les opinions politiques, philosophiques ou religieuses ou l’appartenance syndicale des personnes, ou sont relatives à la santé ou à la vie sexuelle de celles-ci. Par principe, la collecte et le traitement de ces données sont interdits. Cependant, dans la mesure où la finalité du traitement l’exige, certains traitements échappent à cette interdiction (CNIL).

II - Définition des données personnelles par la Cada

Nous sommes ici dans le cadre de communication de données et non de traitement automatisé ou de publication. Le CRPA (code des relations entre le public et l'administration) prévoit dans quelles conditions un citoyen peut demander communication de documents administratifs. La définition même de "documents administratifs" exclut du domaine de la communication aux personnes, par l'administration, des documents judiciaires qu'elle détiendrait (par exemple, les rapports du service de la protection de l'enfance qui sont transmis par elle au juge des enfants ou au procureur).

Les données personnelles - au sens de la Cada - ne sont communicables qu'à l'intéressé lui-même. Elles ne sont pas publiées.

Une liste nominative n’est pas en soi couverte par le secret de la vie privée. En effet, le nom et le prénom ne sont pas par eux-mêmes protégés au titre de la vie privée. En principe, doivent être occultées, avant communication des listes, les mentions suivantes : la date de naissance et l’âge, le lieu de naissance, la situation familiale ; les coordonnées personnelles, la situation patrimoniale et financière, la formation initiale, les diplômes, la formation professionnelle ; les horaires de travail, les opinions et croyances. À quoi s’ajoutent toutes les informations sur l’état de santé couvertes par le secret médical.

Sont des « données personnelles » les données qui « ne sont communicables qu'à l'intéressé », à savoir les données concernées par la protection de la vie privée, le secret médical, le secret en matière commerciale et industrielle, etc.

La protection de la vie privée et des données nominatives est opposable à l’intérieur même d’une famille. Mais, selon les cas, ces données peuvent être communiquées aux ayants-droit.

Qu’est-ce qu’une personne intéressée ? (référence légale : article L311-6 du CRPA)

Voir la fiche Cada sur la notion de personne intéressée. La Cada cite de nombreux exemples et énumère quatre cas généraux. Une personne est considérée comme intéressée :

- Lorsque la loi ou le règlement le prévoit : ainsi, le secret médical n’est pas opposable aux personnes énumérées à l’article R. 1111-1 du code de la santé publique.

- Lorsque le document est intervenu en considération de la personne elle-même,

- Lorsque la personne est l’auteur du document ou si elle est la personne dont le comportement est décrit par ce document : ainsi, une plainte adressée à l’administration n’est communicable qu’à son auteur. De même, une demande d’admission en établissement psychiatrique n’est communicable qu’au tiers qui en est l’auteur (sauf exceptions prévues par la loi),

- Lorsque l’objet du document, son contenu, sa fonction la touche personnellement et directement (voir aussi rubrique suivante : ayants-droits et proches)

Les documents transmissibles aux ayants-droit

Le Conseil d’Etat a reconnu la qualité de personnes concernées aux ayants-droit en particulier pour qu’ils obtiennent la liste des comptes bancaires de la personne décédée : CE n°39147 29 juin 2011 (« qualité d'ayants droit héritant des soldes des comptes bancaires de leur tante »). Mais la qualité de personnes intéressées n’est pas reconnue aux ayants-droit pour toutes les démarches : CE n°386525 8 juin 2016 : dans le cas d’une demande de communication du relevé des appels téléphoniques faite auprès de l’employeur du défunt, les ayants-droit ne peuvent être regardés comme des personnes intéressées : les demandeurs « (…) ne pouvaient, en leur seule qualité d'ayants droit, être regardés comme des personnes concernées ».

Condition de publication des données personnelles

S’agissant des publications, elles sont régies par les notions de publication nécessaire et de publication suffisante développées par la Cada.

- La mesure doit être nécessaire pour : soit l’entrée en vigueur des délibérations, soit le déclenchement des délais de recours contre les mesures individuelles que comportent les délibérations.

- La notion de « publication suffisante » interdit de publier des données personnelles qui seraient non nécessaires à la publication que la loi rend obligatoire. Par exemple, le nom et l'adresse du bénéficiaire d'une subvention publique doivent être mentionnés dans la décision publiée mais pas des données qui seraient sans rapport nécessaire avec l'octroi de la subvention.

III - Les données personnelles publiées sur l'Open data et l'Internet

La loi pour une république numérique ouvre l'accès aux données publiques (articles 1 à 16). C'est le principe dit de l'open data par défaut qui est ainsi instauré pour les collectivités par l'article 6 de la loi (article L312-1-1 du CRPA).

Open data et protection des données personnelles ne font pas toujours bon ménage. C’est pourquoi la loi du 7 octobre 2016 pour une république numérique, et la loi Cada du 17 juillet 1978, prévoient des exceptions. On ne diffuse pas de manière ouverte des données personnelles ; elles doivent être rendues anonymes (sauf décret prévoyant une dérogation : article L312-1-2 CRPA).

Les mentions à expurger dans le cadre de l’open data sont précisées par l'article L. 312-1-2 du CRPA.

- Il s'agit des réserves notamment d’anonymisation et de protection de la propriété intellectuelle et du secret industriel et commercial. L’article L. 312-1-2 du CRPA est ainsi rédigé : « Sauf dispositions législatives ou réglementaires contraires, lorsque les documents et données mentionnés aux articles L. 312-1 (1) ou L. 312-1-1 (2) comportent des mentions entrant dans le champ d'application des articles L. 311-5 (3) ou L. 311-6 (4), ils ne peuvent être rendus publics qu'après avoir fait l'objet d'un traitement permettant d'occulter ces mentions » (article 6 de la loi).

(1) (documents administratifs), (2) (données et bases de données représentant « un intérêt économique, social, sanitaire ou environnemental »), (3) (secrets protégés par la loi), (4) (données qui ne sont communicables qu'à l'intéressé).

- Le cas des données personnelles (point 4 ci-dessus) : "si les personnes intéressées ont donné leur accord, ils ne peuvent être rendus publics qu'après avoir fait l'objet d'un traitement permettant de rendre impossible l'identification de ces personnes."

Le nouvel article 43 bis de la loi Informatique et Libertés , impose, « lorsque cela est possible », de permettre à toute personne l’exercice des droits d'accès, de rectification ou d'opposition par voie électronique, si le responsable du traitement des données les a collectées par ce vecteur.

Protection des données à caractère personnel (articles 54 à 67 de la loi 2016 "pour une République numérique")

Le principe de « mort numérique » : (article 63) a pour but de permettre de décider par avance du sort de ses données en cas de décès et de faire valoir ce droit auprès des fournisseurs de service en ligne ou d’un tiers de confiance.

L’article 58 de la loi Informatique et libertés (modifié par l’article 63 de la loi) prévoit désormais un « droit à l’oubli » spécifique aux mineurs et une procédure accélérée pour l’exercice de ce droit. Lorsque la personne concernée était mineure au moment de la collecte des données, elle peut obtenir auprès des plateformes l’effacement des données problématiques « dans les meilleurs délais ». En l’absence de réponse ou de réponse négative de la plateforme dans un délai d’un mois, la personne peut saisir la CNIL qui dispose alors d’un délai de 3 semaines pour y répondre.

Le déréférencement sur les moteurs de recherche : affaire en cours

Quatre personnes ont, par requêtes devant le Conseil d’État, demandé à la société Google le déréférencement de liens vers des contenus les concernant. A la suite du refus opposé par cette société à leurs demandes, ils avaient tous quatre saisi la CNIL de plaintes tendant à ce qu’il soit enjoint à la société Google de procéder aux déréférencements demandés. La CNIL n’ayant pas donné suite à leurs plaintes, ils avaient saisi le Conseil d’État de recours tendant à l’annulation de ces différentes décisions de clôture. Le Conseil d’État, dans ses arrêt du 24 février 2017 (1), sursoit à statuer le temps que la Cour de justice de l’Union européenne (CJUE) se prononce sur plusieurs questions préjudicielles concernant la mise en œuvre du droit au déréférencement. (Source)

- Le droit au déréférencement a été reconnu de manière jurisprudentielle par la Cour de justice de l’Union européenne, qui l’a consacré dans un arrêt Google Spain du 13 mai 2014. Il oblige sous certaines conditions l’exploitant d’un moteur de recherche, sur demande de l’intéressé, à supprimer de la liste des résultats obtenus à la suite d’une recherche effectuée par le nom d’une personne les liens vers des pages web publiées par des tiers et contenant des informations relatives à cette personne. Le législateur a partiellement suivi cette jurisprudence en créant un droit à l'effacement ou "droit à l'oubli" (article 17 du nouveau règlement 2016/679 du Parlement européen et du Conseil du 27 avril 2017). Ce droit à l'oubli n'est pas limité aux moteurs de recherche.

- Le droit au déréférencement, s'il est massif par son ampleur, est limité dans sa portée. Les données personnelles prévalent, par principe, sur les droits économiques du moteur de recherche et sur les intérêts des internautes dans leurs attentes d'information. Mais il faut que l'atteinte aux droits présente un caractère excessif et c'est seulement l'accès par mot-clé qui est effacé (pas l'accès par adresse url) et même seulement le mot-clé qui établit la corrélation entre l'identité et les informations personnelles. Dans l'affaire Google Spain, la CJUE a fait découler le droit de déférencement du droit opposable prévu à l'article 14 de la directive de 2016 (la personne concernée peut "s'opposer à tout moment, pour des raisons prépondérantes et légitimes tenant à sa situation particulière" à la poursuite du traitement des données personnelles utilisées sans son consentement préalable). La cour a aussi interprété l'article 12 relatif au droit de rectification. Mais elle ne tranche pas sur la question des rectifications des données incomplètes ou inexactes, seulement sur celle des données devenues adéquates parce qu'obsolètes.

- La mise en œuvre du droit au déréférencement dans les affaires qui étaient soumises au Conseil d’État soulevait plusieurs difficultés sérieuses relatives à la portée de la directive européenne du 24 octobre 1995 sur la protection des personnes physiques à l’égard des traitements de données à caractère personnel, après la première interprétation donnée par la Cour de justice de l’Union européenne dans son arrêt Google Spain. Avant de statuer sur ces affaires, le Conseil d’État a donc décidé de saisir cette cour de plusieurs questions préjudicielles.

- Ces recours concernaient le déréférencement de liens vers des informations très diverses : un montage vidéo évoquant de manière explicite la relation qu’aurait entretenue une requérante avec un personnage public (or, la requérante fait valoir qu'elle n'exerce plus de responsabilité publique), un article de presse relatif au suicide d’une adepte de l’Eglise Scientologie mentionnant (or, le requérant a rompu tout lien avec cette organisation), divers articles faisant état de la mise en cause d’un autre requérant dans le cadre d’une information judiciaire sur le financement d’un parti politique (affaire Gérard Longuet qui fait observer qu'un non-lieu est intervenu mais que Google pointe encore en premier lieu vers l'article de Libération de 2008 qui le met en cause), et enfin des articles rendant compte de la condamnation d’un autre requérant pour des faits d’agressions sexuelles sur mineurs (le requérant conteste ici la publication de détails intimes le concernant). Dans ces quatre cas, la CNIL avait refusé d'exercer son droit de mise en demeure de retirer les informations).

(1) Références des affaires citées : Conseil d'État, assemblée, 24 février 2017, Mme Chupin et autres, n° 391000, 393769, 399999 et 401258, Lebon ; AJDA 2017. 436 ; ibid. 740 , chron. G. Odinet et S. Roussel ; D. 2017. 500, obs. M.-C. de Montecler.

Conclusion

Par un communiqué du 18 juillet 2017, la CNIL vient d'adresser aux collectivités territoriales des conseils pour se préparer à l'entrée en vigueur, le 25 mai 2018, du règlement européen sur la protection des données. Ainsi, les collectivités devront adopter et actualiser des mesures techniques et organisationnelles leur permettant de s'assurer et de démontrer à tout instant qu'elles offrent un niveau optimal de protection aux données traitées. Par ailleurs, elles devront intégrer un nouveau principe de protection des données dès la conception du traitement et par défaut. Désignation obligatoire d'un délégué à la protection des données, à compter du 25 mai 2018.