L’effectivité de la protection des personnes par le droit des données à caractère personnel
Thèse dirigée par le Professeur Jérôme Passa et soutenue le 7 décembre 2020 à l’Université Paris II Panthéon-Assas devant un jury composé des Professeurs Valérie-Laure Benabou, Thibault Douville (rapporteur), Nathalie Martial-Braz (rapporteur) et Judith Rochfeld (présidente).
Par Suzanne Vergnolle
À la croisée des sciences informatiques et juridiques, le droit des données à caractère personnel est souvent perçu comme une matière dense et difficile d’accès. Son intérêt est pourtant de premier ordre puisqu’il constitue l’une des clés essentielles de la protection des personnes à l’ère numérique. Nos vies sont en effet rythmées par des usages numériques et l’utilisation d’appareils connectés. La plupart de ces activités génèrent des traces numériques, des données à caractère personnel, contribuant à l’élaboration de portraits de plus en plus précis et détaillés de nos personnes. Dès lors, il est permis de se demander si le droit des données à caractère personnel, censé nous protéger contre ces traitements de données, atteint pleinement cet objectif.
En s’intéressant à la protection des personnes telle qu’elle résulte du droit des données à caractère personnel, la présente thèse propose une relecture d’ensemble de la matière, éclairée par les autres branches du droit. L’expression « protection des personnes » encourage une telle approche et rappelle que le droit des données à caractère personnel ne se limite pas à la protection de l’intérêt de la personne concernée par les traitements de ses données. La matière s’étend aussi, certes dans une moindre mesure, aux intérêts des personnes au pluriel, de la société dans son ensemble. Ainsi, les libertés des autres individus sont également étudiées, particulièrement celles qui sont en tension avec la protection des données personnelles, telles que les libertés d’information ou d’expression. Dans cette perspective, le présent travail ne se limite pas à l’évaluation de la protection des personnes telle qu’elle est annoncée, recherchée ou ressentie, mais s’étend également à celle qui existe en réalité.
Dès lors, une double approche apparaît opportune. Tout d’abord, il convient de s’assurer que la notion couvre l’ensemble des données méritant une protection, sans pour autant s’appliquer au-delà de ce qui est nécessaire. Un excès d’application pourrait effectivement banaliser les traitements de données les plus intrusifs et ainsi être contreproductif. Ensuite, il s’agit de sonder l’effectivité du régime associé pour vérifier l’adéquation de ces principes aux impératifs de protection, et de proposer, en conséquence, les évolutions pertinentes.
Au sein de la première partie, il est démontré, à rebours de l’opinion majoritaire, que la notion de donnée à caractère personnel ne doit pas être entendue trop largement. Le premier titre explique que la notion est actuellement en plein expansion. Elle a en effet été élaborée pour couvrir toutes les situations dans lesquelles une donnée peut se rapporter, même très indirectement, à une personne physique. C’est ainsi que la CNIL a pu considérer que les données relatives à un arbre remarquable peuvent se rapporter à une personne physique lorsqu’elles sont croisées avec celles du cadastre et qu’elles doivent donc être qualifiées de données à caractère personnel. L’interprétation retenue par les autorités de protection et les juges engendre donc une application plutôt diluée de la notion. Par conséquent, au sein du second titre, il est montré que ce mouvement a tendance à diminuer la protection générale des personnes. L’expansion de la notion engendre des effets négatifs sur les autres libertés, particulièrement celles d’information et d’expression. En s’appuyant sur le lien entre le droit au respect de la vie privée et le droit des données à caractère personnel, la présente thèse propose de cantonner la donnée à caractère personnel en suivant une approche téléologique. Selon cette approche, la donnée a un caractère personnel dans deux situations : lorsqu’elle a un lien direct avec la personne, ou lorsque son traitement permet d’effectuer un tel lien. Cette approche commande un renforcement du régime juridique associé.
Au sein de la seconde partie de la thèse est analysé le régime du droit des données à caractère personnel et sont proposées différentes perspectives d’évolution. Après avoir montré que le droit positif n’offre qu’une protection relative des personnes dont les données sont traitées, le premier titre de cette partie met en avant les autres intérêts pris en compte par le législateur, particulièrement ceux des responsables du traitement. Dans cette perspective, et pour éviter des stratégies de contournement qui auraient pour effet d’amoindrir la protection des personnes, le présent travail soutient la reconnaissance d’un contrat spécial de traitement des données personnelles. D’autres évolutions du droit positif sont proposées, telles qu’un encadrement du droit à l’oubli, un encadrement des accès aux données personnelles par les tiers, ou encore la consolidation du principe de minimisation. C’est chaque fois la perspective d’une protection effective des personnes qui guide les évolutions proposées. Au sein du second titre est analysée la mise en œuvre du droit des données à caractère personnel. Une amélioration de celle-ci apparaît nécessaire et passe par un contrôle renforcé des acteurs de son application, notamment les autorités de protection. Enfin, c’est au stade de la réalisation juridictionnelle qu’il est possible d’effectuer de nouveaux rapprochements entre le droit au respect de la vie privée et le droit des données à caractère personnel. Il en résulte deux propositions. La première, d’ordre processuel, suppose un renforcement des actions de groupe en matière de données à caractère personnel. La seconde, d’ordre substantiel, consiste à proposer une nomenclature des préjudices extrapatrimoniaux résultant des manquements au droit des données à caractère personnel. Cette nomenclature répond aux difficultés d’identification des préjudices en matière de droits de la personnalité et à un besoin pressant des juridictions et des associations de mieux cerner les préjudices pouvant résulter des atteintes aux données personnelles.
Pour conclure, le droit des données à caractère personnel contribue indéniablement à l’effectivité de la protection des personnes. Cette contribution se caractérise par un encadrement des traitements et par une reconnaissance d’un droit de contrôle sur les données à caractère personnel. Dans le même temps, et comme le soulignait le doyen Carbonnier, « le droit n’est pas cet absolu dont souvent nous rêvons ». Le droit ne peut pas garantir, à lui seul, l’effectivité de la protection des personnes. À cet égard, il faut espérer que les sciences informatiques accompagneront davantage, à l’avenir, la réalisation des principes juridiques afin que le droit et la technique contribuent ensemble à l’effectivité de la protection des personnes.
Sommaire :
Première partie – Encadrer le domaine des données à caractère personnel
Titre I – Une notion en expansion
Chapitre I – Les composantes de la notion de donnée à caractère personnel
Section I – La donnée
Section II – Le caractère personnel : le rapport avec une personne physique
Chapitre II – L’essor de la notion de donnée à caractère personnel
Section I – Les manifestations de l’essor de la notion
Section II – Les causes de l’essor de la notion
Titre II – Une notion à cantonner
Chapitre I – Les effets de l’expansion de la notion de donnée à caractère personnel sur les libertés
Section I – Les effets marginaux de l’expansion sur la protection de la vie privée
Section II – Les effets négatifs de l’expansion sur les libertés liées à l’information
Chapitre II – Les propositions d’encadrement de la notion de donnée à caractère personnel
Section I – Le caractère insatisfaisant des propositions doctrinales existantes
Section II – Le caractère opportun de l’approche téléologique
Deuxième partie – Renforcer le régime des données à caractère personnel
Titre I – Consolider les règles de protection des personnes
Chapitre I – Droit positif : une protection relative des personnes par le droit des données à caractère personnel
Section I – Des règles permettant les traitements
Section II – Des traitements pouvant porter atteinte aux personnes
Chapitre II – Droit prospectif : une protection renforcée des personnes par le droit des données à caractère personnel
Section I – Encadrer des pouvoirs
Section II – Raffermir des principes
Titre II – Améliorer la mise en œuvre du droit des données à caractère personnel
Chapitre I – Les contrôles des acteurs spécialisés
Section I – Les contrôles sur la CNIL
Section II – Les autres contrôles
Chapitre II – La réalisation juridictionnelle
Section I – Atténuer la pluralité de procédures
Section II – Faciliter les actions en responsabilité
Ressource :