La protection des données à caractère personnel à l’épreuve de l’automesure connectée
Thèse soutenue publiquement à l’Université Paris-II Panthéon-Assas le 4 décembre 2019. (Prix de thèse 2020 de l’Université Paris-II Panthéon-Assas) devant un jury composé de Camille BROYELLE, Professeure à l’Université Panthéon-Assas (Paris II), directrice de la recherche, Lucie CLUZEL-METAYER, Professeure à l’Université Paris Nanterre, directrice de la recherche, Nathalie MARTIAL-BRAZ, Professeure à l’Université Paris Descartes, rapporteur, M. Antony TAILLEFAIT, Professeur à l’Université d’Angers, rapporteur, M. Gilles DUMONT, Professeur à l’Université de Nantes, suffragant, M. François PELLEGRINI, Professeur à l’Université de Bordeaux, suffragant et M. Timothée PARIS, Maître des requêtes au Conseil d’Etat, suffragant.
Par Maximilien Lanna, Docteur en droit public de l’Université Paris-II Panthéon-Assas. Chercheur post doctoral au Centre Innovation & Droit (CID) de l’Université Bourgogne Franche-Comté
Le droit des données à caractère personnel est aujourd’hui un droit en pleine mutation. La protection qu’il est censé conférer aux individus est confrontée à l’apparition de nouvelles pratiques reposant sur l’utilisation de dispositifs permettant une collecte à grande échelle de données à caractère personnel. S’inscrivant dans ce cadre, l’automesure connectée ou quantified-self permet de mesurer et de quantifier des éléments relatifs au bien-être et à la santé. Les nouveaux traceurs employés – regroupés sous l’appellation d’objets connectés (smartphones ou montres connectées) – connaissent depuis quelques années un essor considérable et permettent ainsi une multiplication des techniques de collecte d’informations sur les individus. Ces objets ont pour particularité de rendre possible l’échange automatique d’informations entre un ou plusieurs systèmes informatiques. Ils donnent également aux individus la possibilité de divulguer une quantité de données toujours plus grande afin d’obtenir en échange des services et contenus. La pratique de l’automesure contribue dès lors, par ses modalités de fonctionnement, à une remise en cause des principes protecteurs instaurés depuis la fin des années 1970 par la loi Informatique et Libertés.
Le cadre juridique relatif à la protection des données à caractère personnel, malgré son renouvellement par suite de l’adoption du Règlement général européen pour la protection des données (RGPD) en avril 2016, repose à nouveau sur le principe de neutralité technologique. Selon ce dernier, la formulation des prescriptions ne doit pas dépendre des technologies employées et les règles protectrices doivent pouvoir s’appliquer, quels que soient les dispositifs utilisés pour collecter des données. Ce principe, qui a permis aux règles protectrices de s’adapter à l’apparition de nouveaux outils technologiques, semble aujourd’hui remis en cause par l’apparition des objets et solutions utilisés pour la pratique de l’automesure connectée. La question à laquelle notre étude se propose de répondre est de savoir si les évolutions récentes du cadre juridique permettent une prise en compte efficace des traitements d’automesure et si cette prise en compte instaure un niveau de protection satisfaisant des données à caractère personnel des individus. Répondre à cette question implique également de savoir s’il ne faudrait pas dépasser le principe de neutralité technologique pour procéder à l’adoption d’un droit ad hoc, en fonction des techniques de collecte de données utilisées.
La thèse, pour répondre à ces problématiques, poursuit un double objectif. D’abord, faciliter l’identification des situations dans lesquelles la pratique de l’automesure connectée met à mal certains principes fondamentaux de protection des données, afin de mettre en lumière les risques auxquels les individus sont soumis (Partie I). Ensuite, l’étude entend identifier les mutations du cadre juridique lorsque celui-ci est confronté au développement des technologies employées pour la pratique de l’automesure : celles-ci conduisent à une technicité croissante du droit et favorisent, conformément aux mécanismes instaurés par le RGPD, le développement d’une régulation co-construite par les différents acteurs du secteur (Partie II).
Partie 1 : La fragilisation du cadre juridique
L’accroissement du nombre de traitements de données à caractère personnel, exacerbé par le recours aux objets connectés utilisés pour la pratique de l’automesure, fait peser un risque informationnel sur les individus. Entendu comme la perte de maîtrise, par les individus, des informations les concernant, ce risque se trouve renforcé par les caractéristiques des objets connectés, entre automatisation des traitements de données et permanence de la collecte d’informations. Surtout, la complexification de ces modes de traitement d’informations nominatives, encouragée par le développement de procédés de plus en plus techniques, a progressivement entraîné un changement des modalités de la réglementation propre aux données personnelles.
Définies comme « toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, par référence à un numéro d’identification ou à un ou plusieurs éléments qui lui sont propre »[1], les données personnelles sont au cœur des interrogations juridiques soulevées par le sujet. La question se pose ainsi de savoir comment concilier la protection de la vie privée avec la collecte massive de données fondées l’activité des individus. Ces derniers sont en effet encouragés à dévoiler des éléments relatifs à leur vie privée en raison des avantages qui leur sont conférés et « c’est en ce sens que le traitement de données à caractère personnel est inéluctable, car celui qui prétendrait s’y soustraire se placerait en dehors de la vie sociale telle qu’elle est aujourd’hui organisée »[2].
La nature ambivalente des données collectées dans le cadre du quantified-self (données personnelles, données de bien-être ou données de santé) nous permet d’abord de voir en quoi les dispositifs d’automesure, bien que pris en compte par la nouvelle réglementation, viennent modifier les contours traditionnels du cadre juridique de la protection des données personnelles (Titre I). L’automesure connectée a en effet pour particularité de brouiller les frontières entre le domaine du bien-être et celui de la santé. Cette confusion est renforcée par la définition de la santé adoptée dès 1946 par l’Organisation mondiale de la Santé (OMS). Pour celle-ci, la santé est « un état de complet bien-être physique, mental et social, et ne consiste pas seulement en une absence de maladie ou d’infirmité ». Le quantified-self entend justement procéder à une mesure d’éléments relatifs au bien-être, qu’il s’agisse d’indicateurs propres à l’activité sportive ou à des éléments connexes tels que le sommeil ou la nutrition. Mais l’automesure connectée a également pour objectif de mesurer des éléments directement relatifs à la santé, tels que le taux de glycémie ou le rythme cardiaque.
Cette ambiguïté, confortée par l’utilisation d’objets connectés et outils permettant de mesurer des éléments relatifs à l’activité physique et au corps humain, nécessite dès lors de procéder à l’identification précise des données qui sont collectées (Chapitre 1). Il devient en effet difficile, voire aléatoire, de faire une distinction absolue entre les dispositifs, applications et objets connectés utilisés dans le domaine du bien-être, dans celui de la santé et dans celui de l’exercice de la médecine. Les difficultés relatives à la qualification sont exacerbées par la quantité de données collectées grâce aux dispositifs connectés. Ces données, si elles peuvent à l’origine être de natures différentes, peuvent également changer de nature lorsqu’elles sont agrégées. Par exemple, la collecte d’informations relatives au nombre de pas parcourus en une journée ou à l’évolution du poids peut générer des informations qui, lorsqu’elles sont interconnectées, permettent de tirer des conclusions relatives à l’état de santé d’une personne.
La pratique de l’automesure, par les rapports qu’elle entretient avec d’autres dispositifs de santé connecté et les difficultés de qualification qui en résultent, fragilise ainsi le cadre juridique applicable aux traitements de données (Chapitre 2). Comme il est relevé dans notre étude, la confusion des domaines du bien-être et de la santé, en raison des incidences sur la qualification juridique qui est apportée aux données traitées, affecte également le régime juridique qui leur est applicable. En l’absence d’éléments clairs permettant de trancher d’éventuels conflits de qualification, certaines données pourraient ainsi être exclues du spectre des données sensibles et être insuffisamment protégées, contribuant au risque informationnel pesant sur les individus. A l’inverse, des données non-sensibles relevant du régime général de protection pourraient faire l’objet de mesures protectrices injustifiées. Or cette protection a maxima d’informations courantes pourrait potentiellement freiner les capacités d’innovation de certains services par la mise en œuvre d’un régime juridique trop contraignant. Cette confusion entre le domaine du bien-être et le domaine de la santé, qui rend difficile la qualification juridique des opérations réalisées et données traitées, entraîne dans certains cas une protection limitée des données collectées (Titre II).
Les principes de protection des données (principe de finalité du traitement, de proportionnalité des données collectées ou de durée limitée de conservation) sont remis en question par le déploiement d’objets connectés et par le nombre d’informations qu’ils permettent de collecter (Chapitre 1). Le fait que ces dernières puissent également être croisées, analysées ou réutilisées vient en effet précariser le cadre juridique applicable, tout en contribuant au développement d’un risque de perte de maîtrise informationnelle pour les individus.
Cette perte de maîtrise est favorisée par le fonctionnement même de l’automesure : cette dernière encourage l’exposition constante de soi ainsi que la révélation d’éléments relatifs à l’intimité corporelle de la personne. Surtout, le soi-quantifié repose sur l’idée de répétition et de routinisation du processus. Ainsi, pour être pertinente, la mesure doit s’insérer dans un ensemble plus vaste permettant de définir des évolutions et éventuelles améliorations. La divulgation de données personnelles devient dès lors une condition nécessaire à l’existence du service lui-même. Les individus se retrouvent de ce fait confrontés à un paradoxe quant à la protection de leur vie privée : alors qu’ils souhaitent pouvoir avoir la maîtrise des informations qu’ils divulguent, l’efficacité des services proposés va directement dépendre de la quantité de données transmise.
L’étude du consentement, élément central du dispositif protecteur, permet de préciser cette remise en cause du droit des données personnelles par les dispositifs d’automesure (Chapitre 2). Actuellement éclipsé par des conditions générales d’utilisation souvent peu claires et dotées d’une valeur contractuelle, le consentement doit nécessairement faire l’objet d’une revalorisation afin d’accorder aux individus une information accessible et claire. Participant à cette capacité d’empowerment des individus, l’information permet de les protéger du modèle économique du quantified-self (économie dont la valeur d’usage d’un service repose sur la création de données par l’individu lui-même), tout en prenant en compte le caractère ambivalent des données, entre données personnelles et données de santé. Les limites du cadre juridique sont également révélées par l’exploitation insuffisante qui est faite des données de santé collectées : celles-ci sont exclues des dispositifs permettant la prévention en matière de santé publique (bases de données de l’Assurance Maladie notamment ou mécanises d’ouverture des données publiques) et leur apport au domaine de la prévention sanitaire par la mise en œuvre de mesures de police administrative reste, malgré des perspectives d’évolution, limité.
Partie 2 : La reconstruction du cadre juridique
Dans une seconde partie, la thèse entend identifier les mutations du cadre juridique lorsque celui-ci est confronté au développement des technologies employées pour la pratique de l’automesure (Titre I). La réforme d’ampleur proposée par le Règlement général européen, reprise par la dernière itération de la loi Informatique et Libertés de 2019, a permis de procéder à un changement de paradigme quant à la mise en œuvre du droit à la protection des données à caractère personnel. Le RGPD opère ainsi une véritable révolution avec l’abandon quasi-systématique des formalités préalables à la mise en œuvre d’un traitement de données. Il faut reconnaître que la multiplication des traitements, leur automatisation ainsi que leur permanence avaient rendu inefficace le système de déclaration préalable des traitements auprès d’autorités administratives indépendantes.
Le RGPD confère également un rôle nouveau aux responsables de traitements, qui deviennent des acteurs à part entière de la protection des données à caractère personnel. Le rôle actif qui est donné aux différents opérateurs du numérique s’insère ainsi dans un mouvement plus général de contractualisation du droit à la protection des données. Il permet, à travers un certain nombre de mécanismes de conformité, la prise en compte des différentes externalisations des données, que celles-ci soient structurelles (Chapitre 1) ou géographiques (chapitre 2).
Les objets connectés utilisés pour la pratique de l’automesure connectée procèdent à l’automatisation de la mise en œuvre de traitements tout en augmentant considérablement leurs nombres. Plusieurs responsables de traitement sont amenés à collecter et à s’échanger les mêmes données (fabricant d’objets connectés, développeurs de logiciels, plateformes de cloud, logiciels d’analyse de données, réseaux sociaux) et celles-ci font dès lors l’objet d’une succession de transferts, en des points géographiques parfois différents. Ces externalisations, dans l’ensemble, ont nui à l’objectif de traçabilité associé aux formalités préalables. Surtout, elles ont compliqué la faculté pour les autorités administratives indépendantes de procéder à des contrôles a posteriori efficaces. Entendant résoudre ce problème et faire face à l’architecture décentralisée sur laquelle repose les objets connectés utilisés pour la pratique de l’automesure, le RGPD associe les responsables de traitements ainsi que les différents sous-traitants à la protection des données. Ceux-ci doivent en effet être en mesure de démontrer, à tout moment, qu’ils agissent en conformité à la réglementation.
Ce changement, qui s’accompagne d’une clarification des rôles et des responsabilités des différents acteurs, est complété par la mise en œuvre d’obligations nouvelles qui doivent permettre de mieux encadrer la réutilisation des données collectées. Surtout, le RGPD entend procéder à un décloisonnement des droits nationaux grâce à un champ d’application élargi : certains critères (relatifs à l’établissement du responsable de traitement ou aux moyens de traitement employés) permettent d’assurer une application étendue des règles protectrices.
Ces évolutions, censées permettre une meilleure traçabilité des opérations réalisées, ont également pour objectif de garantir aux individus que leurs droits soient mieux respectés : elles participent ainsi à la mise en œuvre d’une nouvelle forme de régulation appuyée par le recours à de nouveaux mécanismes de conformité (Titre II). Le déploiement de mesures protectrices en amont (études d’impact sur la vie privée, procédures internes démontrant le respect des règles protectrices, privacy-by-design, anonymisation et pseudonymisation) permet dès lors le développement d’une normativité fondée sur l’autorégulation (Chapitre I). Les entreprises chargées de traiter des données à caractère personnel contribuent directement au développement de ces mesures protectrices ex ante et doivent, dès la mise en œuvre de traitements, adopter des mesures visant à respecter les informations des individus. Elles sont encouragées, pour y parvenir, à développer des outils et solutions technologiques respectueuses de la vie privée des individus. Ces différentes initiatives, qui reposent sur la diffusion et l’intégration de standards de protection, ont notamment pour objectif de favoriser le développement de la transparence dans la mise en œuvre de traitements de données à caractère personnel.
Cette transparence est également encouragée par le renouvellement de la régulation publique, majoritairement fondée sur la soft-law (Chapitre II). Le recours au droit souple doit permettre, à terme, une meilleure protection de l’individu en lui conférant une capacité de maîtrise plus importante sur ses données. On constate ainsi le passage d’une réglementation purement étatique, fondée sur un régime de déclaration préalable à la CNIL, à une régulation par le marché visant à responsabiliser les différents acteurs économiques en charge de traiter les données. Si les autorités administratives ont largement contribué au développement de cette régulation par la mise en œuvre de « bonnes pratiques », un certain nombre d’agences autonomes contribuent également, aujourd’hui, à la protection des données personnelles. Elles permettent une approche par les risques des problématiques relatives à la privacy et favorisent la mise en place d’un dispositif concurrentiel fondé sur la confiance. Appuyée par le recours à la certification, cette régulation nouvelle s’accompagne d’un nouveau partage du contentieux. En effet, si le juge judiciaire semble en retrait en matière de protection des données, la CNIL, au niveau national, a vu ses pouvoirs de sanction renforcés. Le renforcement des prérogatives de cette autorité s’est accompagné, à travers la fonction protectrice des droits fondamentaux qui leur est dévolu, du renforcement du rôle des juridictions européennes. Certaines limites au renouvellement du cadre juridique protecteur des données, qui ont trait à la nature même du cyberespace, nécessitent néanmoins d’être soulevées : différents systèmes juridiques s’opposent et empêchent qu’une véritable protection puisse être établie au niveau mondial.
[1] Loi n°78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés.
[2] Guillaume Desgens-Pasanau, « Informatique et libertés, une équation à plusieurs inconnues », in Jean-Luc Girot (dir.), Le harcèlement numérique, Dalloz, 2005, p. 97.