Le droit à l’autodétermination informationnelle en droit européen

par
RDLF 2023 thèse n°02

Thèse soutenue publiquement le 29 novembre 2022 à l’Université Grenoble-Alpes devant un jury composé de : Brunessen BERTRAND (professeure à l’université Rennes 1 – Rapporteure), Grégoire LOISEAU (professeur à l’université Paris 1 Panthéon-Sorbonne – rapporteur), Yves POULLET (professeur émérite des universités catholique de Louvain et de Namur), Laetitia GUILLOUD-COLLIAT (Professeure à l’université Grenoble-Alpes), Célia ZOLYNSKI (professeure à l’université Paris 1 – Panthéon-Sorbonne) et Romain TINIÈRE (professeur à l’université Grenoble-Alpes – directeur de thèse).

La quête d’une « voie du milieu » 1 entre le système des crédits sociaux, décernés par le gouvernement chinois en fonction de la conduite vertueuse de ses citoyens 2, et le libéralisme économique américain, encourageant un développement sauvage des géants du numérique, interroge le modèle européen de protection des données personnelles. Ce dernier se propose de concilier le développement économique avec le respect des droits fondamentaux. Depuis l’adoption du Règlement général sur la protection des données personnelles 3, la libre circulation des données ne peut pas être freinée pour des raisons tenant au respect des droits fondamentaux 4. Pourtant, depuis les premières discussions sur le texte du règlement, la Commission avait fait de l’attribution du contrôle aux utilisateurs sur leurs données personnelles une devise de sa proposition 5. Ce contrôle sur les données personnelles, n’est-il pas susceptible de brider la libre circulation ? Non seulement, il peut faire obstacle à leur circulation, mais il est aussi un droit fondamental.

Depuis une décision de la Cour constitutionnelle allemande du 15 décembre 1983, le contrôle sur ses données personnelles est un droit constitutionnel découlant des deux premiers articles de la Loi fondamentale allemande, consacrés à la dignité et au libre épanouissement de la personnalité 6. Le charme de la décision de la Cour de Karlsruhe réside plus dans les motifs qu’elle donne pour argumenter la reconnaissance de ce droit que dans la manière avec laquelle elle s’attelle à le rendre concret. Certes, le contrôle sur ses données personnelles ne présentait pas des difficultés particulières pendant les années 80, lorsque la seule menace de la collecte des données émanait de l’État, dépourvu par ailleurs des formes de traitement sophistiquées d’aujourd’hui. L’émergence des plateformes en ligne et des acteurs privés du numérique, appelés GAFAM (Google, Facebook, Amazon, Microsoft), fait désormais concurrence aux États, qui voient leur souveraineté numérique érodée par l’absence de frontières dans l’espace informationnel et décuple les enjeux liés à la perte de contrôle sur ses données personnelles. Toujours est-il que le raisonnement de la Cour constitutionnelle allemande demeure très actuel. Elle explique, en effet, que si l’individu ne contrôle pas ses données personnelles, il sera tenté de s’auto-censurer, d’autant plus que de potentiels comportements déviants lui porteraient préjudice dans le cercle social où sa vie se déroule. Par conséquent, ajoute la juridiction de Karlsruhe, la démocratie en serait aussi affectée, car si chaque personne ne se développe pas de manière autonome, il n’y aura plus de pluralisme possible 7. Quand c’est Google qui détient ces informations, les conséquences d’une perte de contrôle deviennent imprévisibles, au regard de la visibilité que ces données peuvent acquérir. Le géant du numérique, poursuivant des finalités éminemment économiques, a collecté, entre 2014 et 2019, les données de géolocalisation de deux milliards d’utilisateurs sans leur consentement, même lorsque la géolocalisation avait été désactivée. Une enquête journalistique dévoilée par Associated Press a suscité la réaction des procureurs d’une quarantaine d’États américains qui ont assigné en justice Google pour détention et collecte illégales de données personnelles. Ces données étaient utilisées pour des finalités de ciblage publicitaire : en fonction de leur localisation, les utilisateurs étaient ciblés par des publicités affichant des prix indirectement proportionnels à l’étendue de la zone concernée 8. Ce « capitalisme de surveillance » 9 fait craindre aussi pour les données personnelles des citoyens européens dans le domaine sécuritaire, d’autant plus que le Cloud Act permet désormais aux autorités américaines de réclamer des données personnelles stockées ailleurs et appartenant à des personnes de nationalité étrangère 10.

Dans un tel contexte, la question de savoir si un droit européen à l’autodétermination informationnelle existe n’est pas dépourvue d’intérêt. Par ailleurs, l’Europe affiche un retard technologique préoccupant dans le domaine de l’IA, que les données personnelles permettraient de rattraper. Qu’en est-il, alors, de cette recherche d’équilibre entre la libre circulation des données personnelles, source de croissance économique du marché intérieur numérique et ce droit (fondamental ?) au contrôle sur les données personnelles ?

Ces questions ont motivé le début du travail de recherche de cette thèse, qui a pris en compte autant le droit de l’Union européenne que celui du Conseil de l’Europe. Bien que pour ce dernier la conciliation entre les intérêts économiques et la protection des droits fondamentaux ne soit pas un véritable enjeu, la protection des droits fondamentaux étant prioritaire, l’absence d’une consécration de ce droit dans la Convention 108+ 11 montre la difficulté à mettre en œuvre ce droit. La première partie de la thèse constate que le droit européen à l’autodétermination informationnelle a une portée limitée. La seconde se propose alors de corriger cette lacune juridique par un droit européen à l’autodétermination informationnelle réaménagé.

Partie 1 : Un droit européen à l’autodétermination informationnelle à la portée limitée

 

Titre I : La nécessaire intégration de l’aspect technologique : deux conditions incontournables

La sous-estimation du facteur technologique par la législation européenne dénote de l’impréparation du juriste vis-à-vis des enjeux techniques relevant du traitement des données personnelles. Ces aspects sont centraux pour que l’utilisateur exerce un contrôle effectif sur ses données personnelles. Toutefois, la thèse défend que, pour intégrer de manière adéquate le facteur technologique, un réaménagement de la définition de la donnée personnelle numérique est tout aussi urgent que la maîtrise des nouvelles formes de traitement. La première suggestion d’amélioration du régime européen de protection des données personnelles se rapporte alors à la revalorisation de la notion de profil. Le profil se réfère à l’ensemble des données relatant les goûts, habitudes, déplacements et d’autres informations susceptibles de faire intrusion dans la sphère privée, car elles permettent d’obtenir un « portrait » psychologique parfois très fidèle de la personne 12. Néanmoins, cette donnée n’est pas une donnée personnelle, car le profil renvoie à une catégorie de personnes partageant ces caractéristiques et qui deviennent la cible de publicités s’adressant à ces traits de leur personnalité. Il s’ensuit que la protection de la donnée collective qu’est le profil fait partie du réaménagement de la définition de la donnée personnelle numérique, nécessaire à la garantie d’un contrôle de l’individu sur ses données. En effet, le profil n’est pour l’instant appréhendé que sous forme de traitement des données personnelles 13. Les personnes concernées ne peuvent dès lors pas se prévaloir de droits de contrôle sur cette donnée collective. La raison de cet état des choses réside dans la sous-estimation du facteur numérique. La réglementation européenne relative à la protection des données personnelles n’est pas au diapason du développement technologique. En dépit de la mise à jour des principaux instruments de protection des données personnelles à l’échelle européenne, force est de constater que la législation tente de transposer la réglementation de la donnée personnelle classique à la donnée personnelle numérique. Nous en avons pour preuve l’absence de l’adjectif « numérique » dans la législation sur la protection des données personnelles. Cet ajout n’est cependant pas neutre, car cette donnée présente de nouvelles caractéristiques, inconnues par la donnée personnelle classique, telles qu’une visibilité, des possibilités de partage, de modification et un potentiel d’enrichissement de sa valeur informationnelle sans précédents.

Mais, la maîtrise des caractéristiques de cette donnée personnelle se propose d’endiguer aussi un autre phénomène, celui d’une donnée personnelle numérique qui finit par transformer la personne dans l’espace informationnel dès lors qu’elle échappe au contrôle de son titulaire.

Titre II : Une « personne » transformée par la donnée personnelle numérique

Les aspects problématiques d’une personne transformée par la donnée personnelle numérique tiennent tout d’abord à la conception que l’Europe retient de la donnée personnelle. Elle est un prolongement de la personne, relayant le corps et ses traits de la personnalité dans l’environnement numérique. Par conséquent, elle devrait être le vecteur de la volonté de son titulaire, plutôt que l’instrument d’une subtile manipulation qui oriente ses choix. C’est toutefois ce qui se vérifie lorsque le profilage est à l’œuvre. Grâce aux traitements des données personnelles réalisés par de puissants algorithmes, des données à faible valeur informationnelle permettent d’obtenir des informations complexes, susceptibles de proposer des options d’achat attirantes, voire le choix des candidats aux prochaines élections pour lesquels la personne devrait voter. Il s’ensuit que la donnée personnelle numérique n’est plus un relai de la volonté de la personne dans le cyberespace, mais plutôt un instrument transformant la personne en un simple objet d’information, dont il est possible de se servir pour en orienter le comportement. Les GAFAM ont pendant longtemps exploité impunément ce potentiel de la donnée personnelle numérique. Leur position de monopole ne semble pas être affectée par le droit de la concurrence, sans que celui-ci intègre des solutions techniques de l’ordre de l’interopérabilité des plateformes ou la prise en compte du cumul des données personnelles résultant d’opérations de fusion ou de rachats entre les différents réseaux sociaux.

La transformation de la personne par la donnée personnelle numérique semble alors acter une forme de réification de la personne. La protection des données personnelles numériques, priorisant la protection de la donnée par rapport à celle de l’individu, parachève cette réduction de la personne à ses données personnelles numériques. Cela porte atteinte aux fondements mêmes de l’autodétermination informationnelle, car la personne ne voit plus sa dignité et le libre épanouissement de sa personnalités respectés. L’absence d’une reconnaissance officielle de l’autodétermination informationnelle dans la législation européenne, de même que sa consécration en demi-teinte dans la jurisprudence de Strasbourg, l’assimilant intégralement au droit à la vie privée 14, nous conduisent à considérer l’autodétermination informationnelle en droit européen comme un droit à la portée de principe. Pour cette raison, un réaménagement de ce droit est proposé dans la seconde partie de la thèse.

Partie 2 : Un droit européen à l’autodétermination informationnelle à réaménager

 

Titre I: Les fondements renouvelés du droit européen à l’autodétermination informationnelle

 

Le réaménagement du droit européen à l’autodétermination informationnelle nécessite d’interroger les fondements de ce droit. La protection de la dignité de la personne et du droit au libre épanouissement de la personnalité, reconnus comme fondements de ce droit en droit constitutionnel allemand, est assurée de manière tout aussi satisfaisante dans le droit européen que dans la jurisprudence de la Cour de Karlsruhe. Toutefois, pour renouer avec la protection de la dignité et du droit au libre épanouissement de la personnalité, il est nécessaire que le droit de l’Union européenne réintègre le droit à la vie privée dans la réglementation relative à la protection des données personnelles. Le droit à la vie privée a en effet plus vocation à prendre en compte la protection de la dignité et du développement de la personnalité que le droit à la protection des données personnelles. Dans ce sens, le renouvellement des fondements du droit à l’autodétermination informationnelle en droit européen a pour objectif de favoriser une complémentarité entre ces deux droits, qui sont par ailleurs déjà utilisés ensemble dans la jurisprudence de la Cour de Luxembourg. Dans le droit du Conseil de l’Europe et, notamment, dans la Convention 108+, le droit à la vie privée continue d’avoir une place privilégiée. Toutefois, l’absence de protection juridictionnelle de cette Convention risque de s’avérer préjudiciable pour la protection du droit à l’autodétermination informationnelle. Dès lors, une extension de la compétence de la Cour de Strasbourg à la Convention 108+ est préconisée en tant que solution permettant de compenser cette lacune. De plus, pour que le droit à l’autodétermination informationnelle vienne renforcer l’application du critère de proportionnalité lors de la mise en balance d’intérêts contradictoires, tels que la protection des droits de la personne concernée et l’intérêt légitime du responsable de traitement ou la protection de l’ordre public, un droit à l’autodétermination informationnelle au contenu précis doit être consacré dans la Convention 108+ et dans le droit primaire de l’UE. Cette perspective n’est cependant viable que sur le long terme. Des ajustements sur le court et le moyen terme sont donc nécessaires pour que le droit européen à l’autodétermination informationnelle protège la démocratie et la société face aux menaces de l’évolution technologique.

Titre II : Un droit européen à l’autodétermination informationnelle dédié à la protection de la société face aux évolutions technologiques

 

La recherche d’instruments garantissant le droit européen à l’autodétermination informationnelle dans d’autres branches du droit résulte d’une nouvelle manière de concevoir ce droit. Généralement interprété comme une prérogative de contrôle assimilable à une forme de propriété sur ses informations personnelles, le droit européen à l’autodétermination informationnelle exige aujourd’hui une responsabilisation de tous les acteurs impliqués dans le traitement des données personnelles, précisément à cause des risques engendrés par le facteur technologique. Il en ressort que ce droit n’est plus le pouvoir exclusif de l’utilisateur de décider de la communication et de la divulgation de ses données personnelles. Dans ce sens, les droits de la consommation et de l’environnement offrent des pistes de réflexion pertinentes sur la façon d’améliorer la garantie du droit à l’autodétermination informationnelle sur le court terme. C’est le cas de l’intégration du critère de l’acceptabilité des CGU (conditions générales d’utilisation), donnant la faculté à l’utilisateur de les négocier, quand les finalités du traitement poursuivent l’intérêt légitime du responsable de traitement et, notamment, une finalité commerciale 15. Un autre exemple est l’intégration du principe de précaution tiré du droit de l’environnement 16, qui se traduit par un renforcement des exigences applicables au responsable de traitement.

Le régime des communs 17 et la blockchain 18 ont le mérite d’ébaucher la co-régulation sociale de la donnée avec l’éducation numérique de l’utilisateur dans une perspective de court et de moyen terme. En effet, les communs proposent une conception non exclusive de la propriété qui peut être transposée aux données personnelles numériques sur le court terme. La blockchain, en revanche, est surtout une référence pour la conception d’un droit à l’autodétermination informationnelle entendu comme système décentralisé des données garantissant la confiance par la technique. L’intégration de la technique permettrait de préserver sur le moyen terme l’autonomie individuelle, en la mettant à l’abri des ingérences extérieures, car la personne serait assurée qu’elle ne laisse pas de traces sur son identité. De plus, la co-régulation, limitant le rôle de chaque acteur, dont l’État, cautionne la protection du volet collectif de l’autodétermination informationnelle. La démocratie est assurée par le partage des responsabilités entre les différents acteurs, y compris l’utilisateur. La technique ne serait donc pas la seule et unique garante de ce système, car la co-régulation met en place une sorte de système de poids et de contre-freins donnant à chaque acteur un droit de regard sur l’autre et limitant ses potentiels abus.

Notes:

  1. TINIERE R., « L’Union européenne et la régulation des plateformes en ligne. À la recherche de la voie du milieu », in BERTRAND B., La politique européenne du numérique, Éd. Bruylant, Bruxelles, 2022, pp. 703 s.
  2. BOTSMAN R. « Big data meets Big Brother as China moves to rate its citizens », WIRED, article en ligne, publié le 21.10.2017, disponible à l’adresse suivante : http://www.wired.co.uk.
  3. Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données), JOUE n° L 119, du 4.5.2016, p. 1-88.
  4. Ibid., art 1 « Objet et objectifs », § 3 : « 3. La libre circulation des données à caractère personnel au sein de l’Union n’est ni limitée ni interdite pour des motifs liés à la protection des personnes physiques à l’égard du traitement des données à caractère personnel. (…) ».
  5. Communication de la Commission au Parlement européen, au Conseil, au Comité économique et social européen et au Comité des régions, Protection de la vie privée dans un monde en réseau, Un cadre européen relatif à la protection des données, adapté aux défis du 21ème siècle, COM (2012) 9 final, Bruxelles, le 25.01.2012, p 2.
  6. BVerfG, Census Acte case,15 décembre 1983.
  7. Ibid., (III.), pt 109.
  8. SAILLANT C., « Quarante procureurs généraux v. Google : aux États-Unis, l’accord à 391,5 millions de dollars pour la collecte illicite des données de localisation des utilisateurs », IP/IT et Communication, Dalloz actualité, du 6.12.2022, article en ligne, disponible à l’adresse suivante : https://www.dalloz.fr
  9. ZUBOFF S., L’âge du capitalisme de surveillance, Éd. Zulma, 2020, pp 856.
  10. Clarifying Lawful Overseas Use of Data Act or the CLOUD Act, H.R.4943 — 115th Congress (2017-2018), disponible à l’adresse suivante : https://www.congress.gov/bill/115th-congress/house-bill/4943.
  11. Conseil de l’Europe, Convention modernisée pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel, adoptée lors de la 128ème Session du Comité des ministres à Elseneur, Danemark, le 17-18 mai 2018, disponible à l’adresse suivante : https://search.coe.int.
  12. CJUE, 8 avril 2014, Digital Rights Ireland, aff. jtes C-293/12 et C-594/12, pt 27.
  13. Voir également, Règlement 2016/679, Op. cit., art 4 « Définitions », pt 4) « profilage » ; BENSOUSSAN A. (dir.), « Chapitre 1. Dispositions générales », Règlement européen sur la protection des données. Textes, commentaires et orientations pratiques, Éd. Bruylant, Bruxelles, 2017, p 78, qui définit le « profilage » comme : « Toute forme de traitement automatisé de données à caractère personnel, consistant à utiliser ces données à caractère personnel pour évaluer certains aspects personnels relatifs à une personne physique, notamment pour analyser ou prédire des éléments concernant le rendement au travail, la situation économique, la santé, les préférences personnelles, les intérêts, la fiabilité, le comportement, la localisation ou les déplacements de cette personne physique ».
  14. Cour EDH, 27 juin 2017, arrêt Satakunnan Markkinapörssi oy and Satamedia oy c. Finlande, req. n° 931/13, § 137.
  15. Ce critère est issu du droit de la consommation et notamment de la jurisprudence de la Cour de Luxembourg. Voir : CJUE, 14 mars 2013, Aziz, aff. C-415/11, pt 69.
  16. Déclaration de Rio sur l’environnement et le développement principes de gestion des forêts, Sommet planète terre, Conférence des Nations Unies sur l’environnement et le développement, Rio de Janeiro, Brésil, 3-14 juin 1992, 15ème principe, disponible à l’adresse suivante : https://www.un.org.
  17. BROCA S., « Les communs contre la propriété? Enjeux d’une opposition trompeuse », SociologieS, article en ligne, publié le 19.10.2016, consulté le 18.06.2021, disponible à l’adresse suivante : https://journals.openedition.org, au pt 12, les communs sont définis comme des : « arrangements institutionnels adoptés par des communautés gérant des ressources rivales et difficilement excluables (common-pool resources) »
  18. PE, Résolution du 26 mai 2016 sur les monnaies virtuelles, 2016/2007(INI), la blockchain y est défini comme : « un ensemble de blocs intégrés dans un système partageant une base de données communes ».