Ce post de blog est la version longue dont une version résumée doit intégrer un article collectif à paraître, dont la référence sera communiquée ici après mise en ligne
Le RGPD est censé consacrer une « approche par le risque » dans la protection des données.
L’approche par le risque consiste à moduler les efforts de protection en fonction du modèle de menace auxquelles les données font face. Qui cherche à utiliser les données personnes, à quelles fins ? De quels moyens disposent ces personnes pour retrouver les individus derrière les données ?
Traditionnellement, l’approche dite « fondée sur les droits » considérait que les données étaient soit personnelles, soit anonymes. Il aurait alors été possible d’échapper au poids bureaucratique de la Directive de 1995 et de la loi Informatique et Libertés
Mais même des données ne contenant pas le nom de la personne peuvent être croisées avec d’autres et permettre de retrouver la personne concernée. En 2006, lorsque la compagnie AOL publia les requêtes de 650 000 utilisateurs de son moteur de recherche en remplaçant les noms d’utilisateur par des séries de chiffres, des journalistes du New York Times ont montré qu’il était malgré tout possible d’identifier les auteurs de ces requêtes à partir de leur historique. En 2015, des chercheurs ont démontré qu’il était possible d’identifier des individus à partir de leur historique de paiement, même « anonymisé » [1]Montjoye Y.-A. de, Radaelli L., Singh V.K., Pentland A.S., 2015, « Unique in the shopping mall: On the reidentifiability of credit card metadata », Science, 347, 6221, p. 536‑539 .
L’anonymisation robuste, irréversible, est très difficile à atteindre. Bien souvent, il faut faire un choix entre des données utiles et des données anonymes. Ceci est particulièrement vrai dans le domaine d’études statistiques sur des données de santé à large échelle [2]Ohm P., 2010, « Broken Promises of Privacy: Responding to the Surprising Failure of Anonymization », UCLA Law Review, 57, p. 1701‑1777 .
L’extension du champ de la donnée identifiable indirectement, engendrée notamment par les évolutions d’un ensemble de techniques regroupées sous le terme de « Big Data » a entraîné de façon mécanique celle de la notion de « donnée à caractère personnel », telle que définie par la Directive 1995. Différents groupes d’intérêts se sont donc positionnés dès en amont du processus de négociation sur le RGPD pour réclamer une approche fondée sur le risque (« risk-based approach ») pour déterminer les obligations de protection pesant sur les données traitées par des entreprises :
« Nous pensons que les procédures de conformité ex ante devraient être remplacées en faveur de procédures fondées sur le risque plus flexibles […]. Nous croyons que cette approche flexible, fondée sur le risque, serait plus efficace pour atteindre les objectifs du droit des données à caractère personnel » [3]Digital Europe, 2009
Le groupe des autorités européennes de protection des données personnelles (G29) s’est lui aussi exprimé en faveur d’une approche par le risque [4]Article 29 Data Protection Working Party, Opinion 3/2010 on the principle of accountability WP 173, et la suppression des formalités préalables de déclaration des traitements. Ces formalités occupaient en effet, chez certaines des plus petites autorités de supervision, l’essentiel de la main d’œuvre, qui a pu être réaffectée à d’autres tâches, comme les contrôles et les sanctions.
Désormais, les responsables du traitement n’ont plus besoin de déclarer leurs traitements à une autorité comme la CNIL, mais ils doivent tenir eux-mêmes un registre des traitements, et être capables de démontrer à tout moment leur conformité au RGPD. Surtout, l’approche par le risque se traduit par l’obligation, dans certains cas, d’évaluer l’impact de leurs traitements de données personnelles sur les personnes concernées :
« Lorsqu’un type de traitement, en particulier par le recours à de nouvelles technologies, et compte tenu de la nature, de la portée, du contexte et des finalités du traitement, est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes physiques, le responsable du traitement effectue, avant le traitement, une analyse de l’impact des opérations de traitement envisagées sur la protection des données à caractère personnel. » (Art. 35 RGPD)
En outre :
« […] Pour décider s’il y a lieu d’imposer une amende administrative et pour décider du montant de l’amende administrative, il est dûment tenu compte, dans chaque cas d’espèce, des éléments suivants : a) la nature, la gravité et la durée de la violation, compte tenu de la nature, de la portée ou de la finalité du traitement concerné, ainsi que du nombre de personnes concernées affectées et le niveau de dommage qu’elles ont subi […] » (Art. 84 RGPD)
L’approche dite par les droits n’a pas pour autant disparue du RGPD, puisque des obligations, notamment en matière de loyauté et de transparence des traitements, s’appliquent quoi qu’il arrive à toutes les données directement ou indirectement identifiantes (Quelle, 2017). Mais certaines obligations supplémentaires, ainsi que le niveau des sanctions, dépend des risques de préjudice, par exemple en matière d’atteinte à sa réputation ou de discrimination, que le traitement fait courir aux personnes concernées. Ceci n’est en réalité pas une vraie nouveauté, puisque, comme le rappelle Raphaël Gellert, le droit à la protection des données se traduit en pratique depuis toujours par de la gestion de risques [5]Gellert R., 2016, « We Have Always Managed Risks in Data Protection Law: Understanding the Similarities and Differences between the Rights-Based and the Risk-Based Approaches to Data … Continue reading . Mais la place explicite accordée à la notion de préjudice dont une opération de traitement de données peut faire courir est, elle, un nouveauté par rapport à la Directive de 1995.
Pour établir qu’il y a une infraction au droit à la protection des données à caractère personnel, il n’est pas nécessaire de démontrer l’existence d’un préjudice. Cela est une tradition juridique constante du droit en la matière en Europe, où tout enregistrement de données personnelles est une ingérence au droit à la vie privée, qu’il faut pouvoir justifier :
« Le simple fait de mémoriser des données relatives à la vie privée d’un individu constitue une ingérence au sens de l’article 8 » [6]CEDH 4 décembre 2008 « S. et Marper contre Royaume-Uni » Req. 30562/04 et 30566/04, pt. 67
La CJUE avait d’abord adopté une position moins tranchée sur la question, puisqu’elle affirmait que : « la simple mémorisation par l’employeur de données nominatives relatives aux rémunérations versées à son personnel ne saurait, comme telle, constituer une ingérence dans la vie privée » [7]CJCE 20 mai 2005 « Österreichischer Rundfunk » Aff. C-465/00, C-138/01 et C-139/01, pt. 74 . Il fallait pour cela qu’il y ait également communication de ces données. Elle semble cependant avoir évolué sur cette question, peut-être sous l’effet de la jurisprudence S. et Marper, puisqu’elle a affirmé dans un arrêt de 2013 que :
« Il découle de ces dispositions, lues conjointement, que, en principe, est susceptible de constituer une atteinte auxdits droits tout traitement de données à caractère personnel par un tiers » [8]CJUE 17 octobre 2013 « Michael Schwarz c. Stadt Bochum » Aff. C-291/12, pt. 25
« Il convient de constater que le prélèvement et la conversation d’empreintes digitales par les autorités nationales, régis par l’article 1, paragraphe 2 du règlement n° 2252/2004, constituent une atteinte aux droits au respect de la vie privée et à la protection des données à caractère personnel » [9]CJCE 17 octobre 2013 « Michael Schwarz c. Stadt Bochum » Aff. C-291/12, pt. 27
Ceci dit étant dit, entre le fait que le traitement de données personnelles « est susceptible » (seulement) de porter atteinte aux droits à la protection des données et à la vie privée, et que c’est de conservation d’empreintes digitales et pas de n’importe quelle donnée personnelle (ni sensible, ni biométrique, ni relevant de la vie privée … ) qu’il s’agit, qu’il s’agisse bien d’un revirement de jurisprudence n’est pas d’une limpidité éclatante.
Quoi qu’il en soit, l’existence ou non d’un préjudice n’est pas un critère pour savoir si le RGPD ou, à son époque, la directive 95/46/CE, était de nature à conférer des droits aux personnes concernées :
« Pour établir l’existence d’une […] ingérence [à l’art. 8 CEDH], il importe peu que les informations communiquées présentent ou non un caractère sensible ou que les intéressés aient ou non subi d’éventuels inconvénients en raison de cette ingérence » [10]CJCE 20 mai 2005 « Österreichischer Rundfunk » Aff. C-465/00, C-138/01 et C-139/01, pt. 75
« Au vu de ce qui précède, dans le cadre de l’appréciation de telles demandes introduites à l’encontre d’un traitement tel que celui en cause au principal, il convient notamment d’examiner si la personne concernée a un droit à ce que l’information relative à sa personne ne soit plus, au stade actuel, liée à son nom par une liste de résultats, affichée à la suite d’une recherche effectuée à partir de son nom. À cet égard, il convient de souligner que la constatation d’un tel droit ne présuppose pas que l’inclusion de l’information en question dans la liste de résultats cause un préjudice à la personne concernée. » [11]CJUE 8 avril 2014 « Google contre Espagne », Aff. C-131/12, pt. 96
Le RGPD ne remet rien de cela en cause, mais il apporte des précisions. En particulier, s’il était déjà possible de demander la réparation d’un préjudice (en général), devant un tribunal civil, en vertu de l’art. 23 § 1 de la Directive de 1995, l’article 82 du RGPD précise bien que cela vaut autant pour les dommages matériels que les dommages moraux.
Comme cette réparation du préjudice moral subi suite à une infraction au droit des données personnelles était déjà possible dans certaines juridictions européennes, la jurisprudence nous donne déjà quelques exemples de ce que cela peut recouvrir. Un atelier européen avait été organisé sous l’égide du chapitre français de l’Internet Society pour étudier le sujet.
Dans l’affaire « Romet contre Pays-Bas », la Cour européenne des droits de l’Homme (CEDH) avait condamné les Pays-Bas pour violation de l’article 8, protégeant le droit à la vie privée, de la Covention européenne des droits de l’Homme. Le droit à la vie privée du sieur Romet avait été violé par l’administration de son pays, qui avait refusé de supprimer du registre des véhicules enregistrés à son nom par quelqu’un ayant usurpé son identité. Il n’a donc pas pu faire valoir son droit à la rectification de ses données à caractère personnel. Suite à cela, l’administration fiscale lui réclama l’intégralité du montant des taxes à percevoir sur les 1737 véhicules qui avaient en réalité achetés par quelqu’un d’autre. Suite à son incapacité à s’acquitter de la somme demandée, elle fit suspendre les versements d’aides sociales pour un montant cumulé au fil des ans de plus de 80 000 euros. La CEDH lui octroya 9000 euros au titre du préjudice immatériel qu’il avait subi.
Dans une autre affaire, au Royaume-Uni [12]CR19 v. Chief Constable of the Police Service of Northern Ireland [2014], la police de l’Irlande du Nord avait mal protégé des données personnelles, qui étaient tombées entre les mains de terroristes. Elle fut condamnée à verser 1£ pour la violation du principe de sécurité des données personnelles, et 20 000£ pour la conséquence de cette négligence.
Ces deux affaires montrent qu’il est possible d’avoir deux visions distinctes du préjudice moral en matière de protection des données personnelles. Soit ce préjudice est directement causé par le non-respect du droit fondamental à la protection des données, soit il y a une distinction à faire entre l’infraction au droit des données personnelles et un préjudice matériel ou immatériel qui en est la conséquence.
Elles réactivent des questions fondamentales sur la nature du droit à la vie privée, et sur son rapport avec ce droit nouveau, qui a fait son apparition dans la Charte des droits fondamentaux de l’Union européenne, qu’est le droit à la protection des données à caractère personnel.
La première question relève du débat entre théories cohérentistes et réductionnistes de la vie privée.
Si nous adoptons une vision cohérentiste du droit à la vie privée [13]DeCew J., 2018, « Privacy », dans Zalta E.N. (dir.), The Stanford Encyclopedia of Philosophy, Spring 2018, Metaphysics Research Lab, Stanford University., dans ce cas le droit à la vie privée est un droit en soi, un bien en soi. Si on adopte cette approche, il est alors logique qu’une infraction à ce droit en tant que droit fondamental entraîne un préjudice moral, sans qu’il soit nécessaire de démontrer des conséquences par exemple matérielles. Cela ressemble fort à la position adoptée par la CEDH, qui octroie 9000 € au requérant dans l’affaire Romet contre Pays-Bas alors même que, pour des raisons procédurales, elle rejette sa demande de dédommagement des dommages matériels subis en conséquence de l’infraction son droit à la vie privée. Mais il est également possible d’adopter une vision dite réductionniste de la vie privée [14]DeCew J., 2018, « Privacy », dans Zalta E.N. (dir.), The Stanford Encyclopedia of Philosophy, Spring 2018, Metaphysics Research Lab, Stanford University.. Selon elle, le droit à la vie privée n’est en réalité qu’une façon de désigner un ensemble d’autres domaines du droit, comme la protection contre l’usurpation d’identité, le droit à l’image, ou le droit à ne pas subir certaines formes de discrimination. Un juge qui aurait une vision réductioniste du droit à la vie privée n’accorderait probablement pas de dédommagement pour la simple violation d’une disposition du RGPD.
La question du préjudice réactive également la question du rapport entre les articles 7 et 8 de la Charte des droits fondamentaux de l’UE, qui protègent respectivement la vie privée et la protection des données à caractère personnel. Quelle est la relation entre les deux droits [15]González Fuster G., 2014, « Fighting For Your Right to What Exactly? The Convoluted Case Law of the EU Court of Justice on Privacy and/or Personal Data Protection », Birkbeck Law Review, 2, 2, … Continue reading ? Et, même en adoptant une vision cohérentiste du droit à la vie privée, est-ce qu’un traitement déloyal de données personnelles qui ne relèvent pas de la vie privée ou de l’intimité de la personne concernée crée, voire devrait créer, un préjudice moral dont il est possible de demander la réparation ?
Si on pourrait conclure du considérant 96 de l’arrêt Google Spain de la CJUE, précédemment cité, que l’inclusion de données personnelles dans un traitement de données ne créer pas en soit de préjudice (matériel ou moral) réparable, cela n’est pas étonnant. L’inclusion de l’information peut tout à fait être licite, loyale, proportionnée, et ne pas créer de dommage. Donc en réalité, la CJUE ne s’est pas encore prononcée sur le point de savoir si un traitement illicite de données à caractère personnelle crée ou non automatiquement un préjudice moral réparable (par exemple aux termes de l’art. 82 du RGPD).
Pièces jointes :
European Civil Society Workshop on the Compensation of Data Protection Harms – Summary
European Workshop on the Compensation of Data Protection Harms – Policy Brief
↑1 | Montjoye Y.-A. de, Radaelli L., Singh V.K., Pentland A.S., 2015, « Unique in the shopping mall: On the reidentifiability of credit card metadata », Science, 347, 6221, p. 536‑539 |
↑2 | Ohm P., 2010, « Broken Promises of Privacy: Responding to the Surprising Failure of Anonymization », UCLA Law Review, 57, p. 1701‑1777 |
↑3 | Digital Europe, 2009 |
↑4 | Article 29 Data Protection Working Party, Opinion 3/2010 on the principle of accountability WP 173 |
↑5 | Gellert R., 2016, « We Have Always Managed Risks in Data Protection Law: Understanding the Similarities and Differences between the Rights-Based and the Risk-Based Approaches to Data Protection », European Data Protection Law Review (EDPL), 2, p. 481 |
↑6 | CEDH 4 décembre 2008 « S. et Marper contre Royaume-Uni » Req. 30562/04 et 30566/04, pt. 67 |
↑7 | CJCE 20 mai 2005 « Österreichischer Rundfunk » Aff. C-465/00, C-138/01 et C-139/01, pt. 74 |
↑8 | CJUE 17 octobre 2013 « Michael Schwarz c. Stadt Bochum » Aff. C-291/12, pt. 25 |
↑9 | CJCE 17 octobre 2013 « Michael Schwarz c. Stadt Bochum » Aff. C-291/12, pt. 27 |
↑10 | CJCE 20 mai 2005 « Österreichischer Rundfunk » Aff. C-465/00, C-138/01 et C-139/01, pt. 75 |
↑11 | CJUE 8 avril 2014 « Google contre Espagne », Aff. C-131/12, pt. 96 |
↑12 | CR19 v. Chief Constable of the Police Service of Northern Ireland [2014] |
↑13, ↑14 | DeCew J., 2018, « Privacy », dans Zalta E.N. (dir.), The Stanford Encyclopedia of Philosophy, Spring 2018, Metaphysics Research Lab, Stanford University. |
↑15 | González Fuster G., 2014, « Fighting For Your Right to What Exactly? The Convoluted Case Law of the EU Court of Justice on Privacy and/or Personal Data Protection », Birkbeck Law Review, 2, 2, p. 263‑278 |