L’identité numérique de la personne humaine. Contribution à l’étude du droit fondamental à la protection des données à caractère personnel
Thèse soutenue publiquement le 27 septembre 2018 à l’Université Lumière-Lyon-2 devant un jury composé de :
– Monsieur Xavier Bioy, professeur à l’Université Toulouse-I-Capitole (rapporteur)
– Madame Édith Jaillardon, professeure émérite de droit public à l’Université Lumière-Lyon-2 (directrice de recherche)
– Madame Élisabeth Rolin, Présidente de chambre du corps des TA et CAA, experte à l’ANSSI
– Madame Hélène Surrel, professeure de droit public, Sciences Po Lyon
– Monsieur Romain Tinière, professeur de droit public, Université Grenoble-Alpes (rapporteur)
En réponse aux circonvolutions qui entourent la notion juridique de donnée à caractère personnel, de nombreux travaux ont émergé au cours des dernières années pour tenter de lui apporter une consistance. Cette recherche substantielle a pu engendrer des tentatives de redéfinition des données à caractère personnel. D’autres auteurs se sont essayés à une systématisation, en recherchant le contenu cohérent du droit attaché à cette notion, le qualifiant le plus souvent de « fondamental ». Il nous semble que ces approches sont intéressantes, mais font nécessairement face à une impasse. En effet, à la question « qu’est-ce qu’une donnée personnelle ? », l’ordre juridique répond expressément : « toute information se rapportant à une personne physique identifiée ou identifiable » (règlement UE 2016/679 du 27 avril 2016, art. 4). Toute tentative de définition se heurte donc assez rapidement à la généralité du texte, qui brouille définitivement les pistes tangibles par une énumération fleuve : « notamment par référence à un identifiant, tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale ». À la question « sur quoi porte une donnée ? », le droit délivre des indices qui nous semblent manifestement contradictoires. A la première lecture des textes, une réponse s’impose intuitivement : l’identité. En effet, en définition de la « personne physique » dont les données font l’objet d’un traitement, le droit de l’Union décline tous les aspects de l’identité de la personne. En droit interne, l’article 1er de la loi du 6 janvier 1978, dite « Informatique et libertés », rappelle que l’informatique « ne doit porter atteinte ni à l’identité humaine, ni aux droits de l’homme, ni à la vie privée, ni aux libertés individuelles ou publiques ». L’hypothèse intuitive est pourtant rapidement contrariée : la loi « Informatique et libertés » marque son autonomie par rapport au droit au respect de la vie privée (art. 9 du Code civil), matrice des droits de la personnalité. Le droit de l’Union européenne isole également, au sein de la Charte des droits fondamentaux, la protection des données à caractère personnel de la protection de la vie privée. Le droit des données personnelles semble donc rétif à toute tentative de systématisation.
La thèse présentée suggère qu’un autre élément est nécessaire à l’appréhension de la nature des données à caractère personnel, car c’est bien ce dont il est question. Nous suggérons que la variable absente de l’équation est un concept permettant de révéler la nature des données à caractère personnel. Il s’agit, ni plus ni moins, de l’identité numérique de la personne humaine. L’affirmation peut sembler triviale : les données personnelles, comme leur nom l’indique, sont des informations relatives à une personne et ayant fait l’objet d’une numérisation par un procédé informatique. Cela a son importance, car sans le truchement de l’identité, les données à caractère personnel sont rapidement coupées de leur véritable nature, celle d’éléments de l’identité de la personne humaine. Or, un droit fondamental ne peut avoir pour fondement que la protection de la personne elle-même. Nous choisissons donc de nommer identité numérique l’ensemble des informations objectives ou subjectives relatives à une personne, numérisées par un procédé informatique, quels que soient l’auteur du traitement, le procédé de collecte, et la destination de la donnée.
Alors que tout indique que c’est bien l’identité de la personne humaine qui est numérisée à l’occasion des traitements de données (Première partie), le droit positif répond par un régime autonome, formé par un faisceau de droits portant sur l’exploitation des données à caractère personnel, dans une confusion des genres (ni personne ni chose) qui profite principalement aux responsables de traitement. Dès lors, la proclamation d’un droit fondamental à la protection des données à caractère personnel apparaît comme largement artificielle. Ce droit à une véritable protection peine à émerger dans une jurisprudence soucieuse de l’autonomie du sujet de droit (Deuxième partie).
I. La projection de l’identité dans le numérique
Titre I. – La première partie de l’étude est une recherche du concept d’identité numérique, qui ne fait l’objet d’aucune définition en droit positif. La démonstration débute par le constat suivant : ce n’est pas le droit qui suscite l’apparition du concept d’identité numérique, mais l’usage qui est fait des éléments de l’identité, c’est-à-dire les nombreux traitements de données à caractère personnel. À la faveur d’allers-retours entre la définition des différents éléments personnels et l’utilisation qui en est faîte, il apparaît que l’identité de la personne est bien l’objet des données à caractère personnel. Cette assertion prend tout son sens dans la distinction de l’identification et de l’identité. L’identification est une fonction des données personnelles, quand l’identité, plus complexe, intègre la dimension subjective de la personne, son vécu, ses choix et ses actions. Ce n’est donc pas simplement l’authentification (vérification de l’authenticité formelle) de la personne qui est recherchée par les acteurs publics comme par les opérateurs privés lorsqu’ils réalisent des traitements de données personnelles, mais également la connaissance des habitudes et des préférences de l’usager, du consommateur, voire de la personne surveillée. Cette exploitation technique des caractéristiques de la personne résulte moins de la volonté de cette dernière de projeter son identité sur les supports numériques que d’une perte de maîtrise généralisée des données à caractère personnel. En permanence sollicitées, pour tous types de services, sur tous types de terminaux, à l’occasion de toutes les mises à jour, les données à caractère personnel apparaissent comme un coût dont la personne doit s’acquitter pour accéder à l’ensemble des services publics et privés permettant une vie sociale normale. La prolifération des identifiants formels de la personne correspond à autant de points d’attache pour un traitement de données à caractère personnel. Prises isolément, les données personnelles supposément neutres (nom, date de naissance, adresse courriel, etc.) sont distinguées des données personnelles sensibles (génétique, biométrie, santé, origines ethniques, croyances, opinions politiques, etc.), porteuses en elle-même d’un puissant potentiel de discrimination. Un tel cloisonnement des éléments de l’identité numérique est une démarche risquée. La mise en réseau technique – principalement par Internet – offre des possibilités d’interconnexion et d’interopérabilité qui potentialisent les données personnelles. À ce titre, un simple identifiant peut être, en lui-même, chargé de nombreuses informations. Le numéro d’identification au répertoire des personnes physiques (NIRPP) est éclairant à cet égard : une série de chiffres, un identifiant alphanumérique, pourtant particulièrement signifiant et sensible. On s’aperçoit que l’étalement de l’identité par la multiplication des identifiants formels ne permet l’émergence d’un fort potentiel économique qu’à la condition que ces éléments puissent être associés et recoupés. Sur un plan technique, c’est le rôle joué par les métadonnées, « données sur les données ». Elles constituent de véritables guides vers les différents éléments formels numérisés, leur fonction première étant de renseigner. Par exemple, un appel à un centre d’aide aux personnes isolées émis à 2 heures du matin, d’une durée de 14 minutes et géolocalisé sur un pont constitue un ensemble de données purement techniques. Ici, nul besoin de recourir à un algorithme complexe pour obtenir une donnée sensible. Si l’on en comprend le potentiel, l’appréhension juridique des données techniques est variable selon que l’on se place en droit français ou en droit européen. En droit de l’Union, la Cour de justice insiste sur les possibilités de réidentification et de rapprochement des données personnelles ressortant d’un traitement des données à caractère personnel. En France, le Conseil constitutionnel semble avoir accueilli le discours selon lequel les données techniques représentent une menace mineure pour la vie privée des personnes, ce qui ménage une certaine marge de manœuvre pour le législateur dans l’adoption de lois ayant pour finalité la sécurité. Pourtant, mis en relation, identifiants formels et métadonnées permettent de recomposer un portrait substantiel de la personne, alors saisie dans son essence et projetée sur les supports numériques.
Titre II. – Pour comprendre ce que représente la projection de l’identité d’une personne sur les supports numériques, il faut bien sûr regarder l’ombre projetée, mais il ne faut pas perdre de vue la personne qui lui donne son sens. La mesure d’une numérisation des éléments essentiels doit donc être estimée au prisme de ce qu’est l’identité personnelle dans l’ordre juridique. Or, elle n’est rien de moins que la condition de l’autonomie du sujet de droit. Contrairement à ce qui est parfois écrit, l’identité personnelle au sens juridique n’est pas une recherche mortifère pour le droit, menée par la personne en quête de ses propres limites et de son pouvoir sur autrui. Se contenter de voir dans le souhait de préservation de l’identité personnelle une volonté de toute puissance du sujet est une négation du rôle que le droit s’est assigné à lui-même : instituer l’individu en tant que personne. Reconnue dans sa singularité, la personne n’est pas simplement une fiction qui n’implique que la titularité de la personnalité juridique. Le droit accompagne, dans une certaine mesure, le mouvement d’épanouissement de la personnalité en offrant au sujet de droit la possibilité d’aller à la rencontre de ses semblables, paré de tous les éléments de sa personnalité (qui est alors synonyme d’identité personnelle). L’ordre juridique institue l’individu, il le rend sujet, afin qu’il participe à la paix sociale. Dès lors, la personne peut à la fois se tourner vers elle-même, accueillir et même revendiquer sa singularité mais également se diriger vers autrui et vers les groupes institués (famille, regroupements politiques, et plus généralement corps social). Tout cela étant évoqué, on comprend la prudence nécessaire pour tenter de réunir par le droit les conditions de l’autonomie : l’accompagnement de la personne doit s’arrêter aux frontières de ce qui est « personnel », frontière jusqu’alors matérialisée par le droit au respect de la vie privée. Or, les traitements de données personnelles transforment en informations l’ensemble des interactions interpersonnelles, et traversent tous les champs, tout en se soustrayant partiellement au régime de ce droit au respect de la vie privée. Dans un tel contexte, l’encouragement à la sociabilité peut être, dans une certaine mesure, le moyen d’une orientation des comportements, voire de leur contrôle. On parlera alors du contraire de l’autonomie : l’hétéronomie.
Finalement, le caractère signifiant de l’identité personnelle fait craindre une quantification de la personne, a fortiori en raison de l’ampleur et du nombre des traitements de données personnelles. Ce constat d’une projection permanente de l’identité des personnes par numérisation – c’est-à-dire sur des supports particulièrement ouverts, vulnérables et volatiles – appelle en théorie une réaction forte du droit.
II. La protection de l’identité dans le numérique
Titre I. – La recherche dans le droit positif des raisons à la protection parcellaire de l’identité de la personne conduit à une découverte d’un vice congénital propre au droit des données personnelles. Ce régime est souvent décrit comme étant exclusivement protecteur, et au service d’une préservation de la personne humaine. Une pièce centrale est absente dans la description de la garantie dont dispose la personne physique de ne pas être fichée abusivement : la liberté de la collecte est le premier droit garanti par ce régime. En effet, bien qu’il ne soit pas nommé explicitement en droit français, le droit pour les différents responsables de procéder à un traitement est implicitement contenu dans le texte, le législateur ayant choisi de souligner que « l’informatique […] doit se développer » (art. 1er de la loi du 6 janvier 1978). Cette ambivalence du droit des données personnelles ressort explicitement des travaux ayant précédé l’adoption de la loi du 6 janvier 1978. En outre, le droit matériel de l’Union européenne, qui tient lieu de cadre général depuis la directive 95/46/CE, assume cette ambiguïté sans mystère. La priorité reste que les données à caractère personnel circulent avec fluidité, de sorte de libérer leur potentiel économique. L’intitulé de la norme européenne (directive 95/46 puis règlement 2016/679) lui-même révèle clairement ces finalités bien distinctes : « relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données ». La protection des personnes physiques n’est alors plus véritablement la finalité du régime mais un moyen de parvenir à la réalisation du marché intérieur. Ces considérations à l’esprit, l’émancipation du droit des données personnelles du régime des droits de la personnalité – et plus concrètement de la vie privée – apparaît comme logique. Dès lors, la marchandisation des données à caractère personnel qui s’est imposée sans avoir été juridiquement envisagée s’éclaire différemment. Afin de maintenir équilibre précaire entre un niveau de protection des personnes physiques qui soit acceptable et une politique législative qui corresponde à l’économie sociale de marché, le législateur multiplie les mesures palliatives et s’aligne sur le droit européen. Le règlement général du 27 avril 2016 (dit « RGPD »), dont la nature juridique – règlement de l’Union – réduit encore la marge d’appréciation des États membres en matière de protection, fait totalement disparaitre l’obligation de déclaration préalable aux autorités de contrôle (CNIL et homologues européens) pour la mise en œuvre d’un traitement, y compris pour les traitements relatifs à des catégories particulières de données (c’est-à-dire sensibles). La valeur marchande des données à caractère personnel ayant eu le temps de se construire et étant aujourd’hui bien connue, de nombreux juristes se sont interrogés sur le statut de ces données. S’agit-il de biens au sens classique, de biens particuliers, ou encore d’éléments de la personnalité pouvant faire l’objet d’une commercialité, dans une approche dualiste des droits de la personnalité ? Aucune de ces approches n’apparaît satisfaisante, tant il n’est pas concevable qu’une personne puisse prendre la mesure de l’ensemble des contrats d’adhésions auxquels elle souscrit sur les supports numériques. Il n’est pas non plus sérieux de considérer que la personne dispose d’une visibilité suffisante pour « gérer » un tel patrimoine, correspondant à des milliers d’opérations quotidiennes. Les données personnelles circulent et s’échangent – commercialité – le plus souvent en marge de la collecte initiale, ce qui rend impensable l’existence de notifications systématiques à chaque nouvelle autorisation de traitements. Ni véritables démembrements de la personnalité, ni objets de propriété qui maintiendraient le lien juridique entre sujet et objet, les données à caractère personnel ne sont protégées qu’en elles-mêmes. La dimension objective de la protection est égarée, et la préservation de l’identité de la personne humaine n’est pas envisagée à long terme, ni, à travers elle, celle de l’humanité dans son ensemble. De telles considérations en appellent nécessairement à la recherche d’un fondement juridique plus solide, effectif et offrant des garanties objectives plus en conformité avec les finalités que le droit s’est assigné à lui-même. La fondamentalité, par sa force à la fois légitimante et normative, apparaît évidemment comme une réponse à cette question.
Titre 2. – Il est indéniable qu’une protection des données à caractère personnel existe en Europe. Il est même possible, au regard de nombreux autres systèmes étrangers, de considérer que cette protection est forte. Toutefois, à bien y regarder, les prérogatives octroyées à la personne ne sont que des pouvoirs ponctuels d’opposition, reposant principalement sur une vision volontariste de la relation entre responsable de traitement et personne concernée. En outre, le fondement de la validation des contrats d’adhésion est vacillant : il existe non seulement plusieurs moyens de légitimation d’un traitement, mais le principal d’entre eux, le consentement, peut être grandement relativisé au regard du déséquilibre contractuel existant entre la personne et l’éditeur de services numériques ou l’administration elle-même. Il est donc assez curieux de constater, en recherchant une protection objective, que le droit fondamental à la protection des données garanti par la Charte des droits fondamentaux de l’Union se fasse le rigoureux écho de cette survalorisation de la subjectivité. L’intégration du consentement au sein même de l’article 8§2 de la Charte rend compte de la faible ambition d’un tel droit. La possibilité d’une renonciation à un droit est formalisée en un autre droit « fondamental », et l’autonomisation par rapport à l’article 7 – garantissant le droit au respect de la vie privée – semble entériner la recherche de souplesse dans la protection des personnes physiques à l’égard des traitements de données à caractère personnel. Si l’on considère que la personne humaine est nécessairement le sujet des droits fondamentaux, il devient possible de critiquer cette qualification. Cette protection fondamentale a pu être rencontrée à d’autres niveaux supralégislatifs, malgré la mainmise de l’Union européenne sur le cadre général de la protection des données personnelles. Le Conseil constitutionnel et la Cour européenne des droits de l’Homme sont apparus comme des protecteurs privilégiés de la personne face aux capacités intrusives des systèmes informatiques. Ces juridictions ont néanmoins connu deux dynamiques différentes. Le juge constitutionnel français a d’abord fondé sa protection sur la liberté personnelle, droit objectif capable d’intégrer une protection de l’identité de la personne humaine à l’égard des traitements de données. Néanmoins, il a progressivement délaissé et vidé ce fondement de sa substance pour aller vers un droit plus consensuel, celui garantissant le respect de la vie privée. Ce droit n’étant pas interprété largement, la protection de la part subjective de la personne menacée par une numérisation généralisée se fait attendre. La Cour européenne des droits de l’Homme a suivi un chemin inverse. En pratiquant une interprétation dynamique de l’article 8 de la Convention, le juge strasbourgeois a fondé une protection de l’épanouissement de la personnalité – et donc de l’identité – reposant sur le respect de l’autonomie des personnes. Il nous semble que cette protection d’ensemble de la personne humaine a été étendue au traitement de données à caractère personnel, particulièrement à l’égard de ceux qui visent des données sensibles, mais également publiquement disponibles. Avec un droit à l’auto-détermination informationnelle, faisant écho à la jurisprudence fondatrice du Tribunal fédéral constitutionnel allemand, la Cour semble poser les jalons d’une protection horizontale en matière de données personnelles – et donc certaines obligations positives à la charge des États.
Conclusion
En définitive, notre étude vise à apporter un éclairage sur les différents aspects des données à caractère personnel. Premièrement, on aura confirmé que l’objet des données personnelles est bien l’identité de la personne humaine, et non l’identification, qui n’est qu’une fonction. Collectées et traitées, les données personnelles permettent de projeter toutes les facettes saisissables d’une personne dans le numérique, dont certaines ignorées d’elle-même. Deuxièmement, la thèse permet de constater que l’identité, matrice de la personnalité, n’a globalement pas servi de point d’ancrage juridique. Pourtant, dans un souci de cohérence juridique, le concept d’identité semble indispensable à l’arrimage du régime de protection des données à caractère personnel à son fondement : la personne humaine.
La protection des données à caractère personnel peine à devenir un droit subjectif qui puisse être qualifié de « fondamental ». Si l’on prend la mesure des engagements et objectifs que se donne le droit positif, à savoir prioritairement la protection de la personne humaine, de nombreuses incohérences apparaissent. Le manque de profondeurs des concepts liés au sujet de droit laisse le champ libre à une certaine hétéronomie de la personne, en même temps que sa liberté et son autonomie sont inlassablement promues par les textes.
Toute tentative de définition se heurte donc assez rapidement à la généralité du texte, qui brouille définitivement les pistes tangibles par une énumération fleuve : « notamment par référence à un identifiant, tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale ». À la question « sur quoi porte une donnée ? », le droit délivre des indices qui nous semblent manifestement contradictoires. A la première lecture des textes, une réponse s’impose intuitivement : l’identité. En effet, en définition de la « personne physique » dont les données font l’objet d’un traitement, le droit de l’Union décline tous les aspects de l’identité de la personne. En droit interne, l’article 1er de la loi du 6 janvier 1978, dite « Informatique et libertés », rappelle que l’informatique « ne doit porter atteinte ni à l’identité humaine, ni aux droits de l’homme, ni à la vie privée, ni aux libertés individuelles ou publiques ». L’hypothèse intuitive est pourtant rapidement contrariée : la loi « Informatique et libertés » marque son autonomie par rapport au droit au respect de la vie privée (art. 9 du Code civil), matrice des droits de la personnalité. Le droit de l’Union européenne isole également, au sein de la Charte des droits fondamentaux, la protection des données à caractère personnel de la protection de la vie privée. Le droit des données personnelles semble donc rétif à toute tentative de systématisation.
La thèse présentée suggère qu’un autre élément est nécessaire à l’appréhension de la nature des données à caractère personnel, car c’est bien ce dont il est question. Nous suggérons que la variable absente de l’équation est un concept permettant de révéler la nature des données à caractère personnel. Il s’agit, ni plus ni moins, de l’identité numérique de la personne humaine. L’affirmation peut sembler triviale : les données personnelles, comme leur nom l’indique, sont des informations relatives à une personne et ayant fait l’objet d’une numérisation par un procédé informatique. Cela a son importance, car sans le truchement de l’identité, les données à caractère personnel sont rapidement coupées de leur véritable nature, celle d’éléments de l’identité de la personne humaine. Or, un droit fondamental ne peut avoir pour fondement que la protection de la personne elle-même. Nous choisissons donc de nommer identité numérique l’ensemble des informations objectives ou subjectives relatives à une personne, numérisées par un procédé informatique, quels que soient l’auteur du traitement, le procédé de collecte, et la destination de la donnée.
Alors que tout indique que c’est bien l’identité de la personne humaine qui est numérisée à l’occasion des traitements de données (Première partie), le droit positif répond par un régime autonome, formé par un faisceau de droits portant sur l’exploitation des données à caractère personnel, dans une confusion des genres (ni personne ni chose) qui profite principalement aux responsables de traitement. Dès lors, la proclamation d’un droit fondamental à la protection des données à caractère personnel apparaît comme largement artificielle. Ce droit à une véritable protection peine à émerger dans une jurisprudence soucieuse de l’autonomie du sujet de droit (Deuxième partie).
I. LA PROJECTION DE L’IDENTITÉ DANS LE NUMÉRIQUE
Titre I. – La première partie de l’étude est une recherche du concept d’identité numérique, qui ne fait l’objet d’aucune définition en droit positif. La démonstration débute par le constat suivant : ce n’est pas le droit qui suscite l’apparition du concept d’identité numérique, mais l’usage qui est fait des éléments de l’identité, c’est-à-dire les nombreux traitements de données à caractère personnel. À la faveur d’allers-retours entre la définition des différents éléments personnels et l’utilisation qui en est faîte, il apparaît que l’identité de la personne est bien l’objet des données à caractère personnel. Cette assertion prend tout son sens dans la distinction de l’identification et de l’identité. L’identification est une fonction des données personnelles, quand l’identité, plus complexe, intègre la dimension subjective de la personne, son vécu, ses choix et ses actions. Ce n’est donc pas simplement l’authentification (vérification de l’authenticité formelle) de la personne qui est recherchée par les acteurs publics comme par les opérateurs privés lorsqu’ils réalisent des traitements de données personnelles, mais également la connaissance des habitudes et des préférences de l’usager, du consommateur, voire de la personne surveillée. Cette exploitation technique des caractéristiques de la personne résulte moins de la volonté de cette dernière de projeter son identité sur les supports numériques que d’une perte de maîtrise généralisée des données à caractère personnel. En permanence sollicitées, pour tous types de services, sur tous types de terminaux, à l’occasion de toutes les mises à jour, les données à caractère personnel apparaissent comme un coût dont la personne doit s’acquitter pour accéder à l’ensemble des services publics et privés permettant une vie sociale normale. La prolifération des identifiants formels de la personne correspond à autant de points d’attache pour un traitement de données à caractère personnel. Prises isolément, les données personnelles supposément neutres (nom, date de naissance, adresse courriel, etc.) sont distinguées des données personnelles sensibles (génétique, biométrie, santé, origines ethniques, croyances, opinions politiques, etc.), porteuses en elle-même d’un puissant potentiel de discrimination. Un tel cloisonnement des éléments de l’identité numérique est une démarche risquée. La mise en réseau technique – principalement par Internet – offre des possibilités d’interconnexion et d’interopérabilité qui potentialisent les données personnelles. À ce titre, un simple identifiant peut être, en lui-même, chargé de nombreuses informations. Le numéro d’identification au répertoire des personnes physiques (NIRPP) est éclairant à cet égard : une série de chiffres, un identifiant alphanumérique, pourtant particulièrement signifiant et sensible. On s’aperçoit que l’étalement de l’identité par la multiplication des identifiants formels ne permet l’émergence d’un fort potentiel économique qu’à la condition que ces éléments puissent être associés et recoupés. Sur un plan technique, c’est le rôle joué par les métadonnées, « données sur les données ». Elles constituent de véritables guides vers les différents éléments formels numérisés, leur fonction première étant de renseigner. Par exemple, un appel à un centre d’aide aux personnes isolées émis à 2 heures du matin, d’une durée de 14 minutes et géolocalisé sur un pont constitue un ensemble de données purement techniques. Ici, nul besoin de recourir à un algorithme complexe pour obtenir une donnée sensible. Si l’on en comprend le potentiel, l’appréhension juridique des données techniques est variable selon que l’on se place en droit français ou en droit européen. En droit de l’Union, la Cour de justice insiste sur les possibilités de réidentification et de rapprochement des données personnelles ressortant d’un traitement des données à caractère personnel. En France, le Conseil constitutionnel semble avoir accueilli le discours selon lequel les données techniques représentent une menace mineure pour la vie privée des personnes, ce qui ménage une certaine marge de manœuvre pour le législateur dans l’adoption de lois ayant pour finalité la sécurité. Pourtant, mis en relation, identifiants formels et métadonnées permettent de recomposer un portrait substantiel de la personne, alors saisie dans son essence et projetée sur les supports numériques.
Titre II. – Pour comprendre ce que représente la projection de l’identité d’une personne sur les supports numériques, il faut bien sûr regarder l’ombre projetée, mais il ne faut pas perdre de vue la personne qui lui donne son sens. La mesure d’une numérisation des éléments essentiels doit donc être estimée au prisme de ce qu’est l’identité personnelle dans l’ordre juridique. Or, elle n’est rien de moins que la condition de l’autonomie du sujet de droit. Contrairement à ce qui est parfois écrit, l’identité personnelle au sens juridique n’est pas une recherche mortifère pour le droit, menée par la personne en quête de ses propres limites et de son pouvoir sur autrui. Se contenter de voir dans le souhait de préservation de l’identité personnelle une volonté de toute puissance du sujet est une négation du rôle que le droit s’est assigné à lui-même : instituer l’individu en tant que personne. Reconnue dans sa singularité, la personne n’est pas simplement une fiction qui n’implique que la titularité de la personnalité juridique. Le droit accompagne, dans une certaine mesure, le mouvement d’épanouissement de la personnalité en offrant au sujet de droit la possibilité d’aller à la rencontre de ses semblables, paré de tous les éléments de sa personnalité (qui est alors synonyme d’identité personnelle). L’ordre juridique institue l’individu, il le rend sujet, afin qu’il participe à la paix sociale. Dès lors, la personne peut à la fois se tourner vers elle-même, accueillir et même revendiquer sa singularité mais également se diriger vers autrui et vers les groupes institués (famille, regroupements politiques, et plus généralement corps social). Tout cela étant évoqué, on comprend la prudence nécessaire pour tenter de réunir par le droit les conditions de l’autonomie : l’accompagnement de la personne doit s’arrêter aux frontières de ce qui est « personnel », frontière jusqu’alors matérialisée par le droit au respect de la vie privée. Or, les traitements de données personnelles transforment en informations l’ensemble des interactions interpersonnelles, et traversent tous les champs, tout en se soustrayant partiellement au régime de ce droit au respect de la vie privée. Dans un tel contexte, l’encouragement à la sociabilité peut être, dans une certaine mesure, le moyen d’une orientation des comportements, voire de leur contrôle. On parlera alors du contraire de l’autonomie : l’hétéronomie.
Finalement, le caractère signifiant de l’identité personnelle fait craindre une quantification de la personne, a fortiori en raison de l’ampleur et du nombre des traitements de données personnelles. Ce constat d’une projection permanente de l’identité des personnes par numérisation – c’est-à-dire sur des supports particulièrement ouverts, vulnérables et volatiles – appelle en théorie une réaction forte du droit.
II. LA PROTECTION DE L’IDENTITÉ DANS LE NUMÉRIQUE
Titre I. – La recherche dans le droit positif des raisons à la protection parcellaire de l’identité de la personne conduit à une découverte d’un vice congénital propre au droit des données personnelles. Ce régime est souvent décrit comme étant exclusivement protecteur, et au service d’une préservation de la personne humaine. Une pièce centrale est absente dans la description de la garantie dont dispose la personne physique de ne pas être fichée abusivement : la liberté de la collecte est le premier droit garanti par ce régime. En effet, bien qu’il ne soit pas nommé explicitement en droit français, le droit pour les différents responsables de procéder à un traitement est implicitement contenu dans le texte, le législateur ayant choisi de souligner que « l’informatique […] doit se développer » (art. 1er de la loi du 6 janvier 1978). Cette ambivalence du droit des données personnelles ressort explicitement des travaux ayant précédé l’adoption de la loi du 6 janvier 1978. En outre, le droit matériel de l’Union européenne, qui tient lieu de cadre général depuis la directive 95/46/CE, assume cette ambiguïté sans mystère. La priorité reste que les données à caractère personnel circulent avec fluidité, de sorte de libérer leur potentiel économique. L’intitulé de la norme européenne (directive 95/46 puis règlement 2016/679) lui-même révèle clairement ces finalités bien distinctes : « relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données ». La protection des personnes physiques n’est alors plus véritablement la finalité du régime mais un moyen de parvenir à la réalisation du marché intérieur. Ces considérations à l’esprit, l’émancipation du droit des données personnelles du régime des droits de la personnalité – et plus concrètement de la vie privée – apparaît comme logique. Dès lors, la marchandisation des données à caractère personnel qui s’est imposée sans avoir été juridiquement envisagée s’éclaire différemment. Afin de maintenir équilibre précaire entre un niveau de protection des personnes physiques qui soit acceptable et une politique législative qui corresponde à l’économie sociale de marché, le législateur multiplie les mesures palliatives et s’aligne sur le droit européen. Le règlement général du 27 avril 2016 (dit « RGPD »), dont la nature juridique – règlement de l’Union – réduit encore la marge d’appréciation des États membres en matière de protection, fait totalement disparaitre l’obligation de déclaration préalable aux autorités de contrôle (CNIL et homologues européens) pour la mise en œuvre d’un traitement, y compris pour les traitements relatifs à des catégories particulières de données (c’est-à-dire sensibles). La valeur marchande des données à caractère personnel ayant eu le temps de se construire et étant aujourd’hui bien connue, de nombreux juristes se sont interrogés sur le statut de ces données. S’agit-il de biens au sens classique, de biens particuliers, ou encore d’éléments de la personnalité pouvant faire l’objet d’une commercialité, dans une approche dualiste des droits de la personnalité ? Aucune de ces approches n’apparaît satisfaisante, tant il n’est pas concevable qu’une personne puisse prendre la mesure de l’ensemble des contrats d’adhésions auxquels elle souscrit sur les supports numériques. Il n’est pas non plus sérieux de considérer que la personne dispose d’une visibilité suffisante pour « gérer » un tel patrimoine, correspondant à des milliers d’opérations quotidiennes. Les données personnelles circulent et s’échangent – commercialité – le plus souvent en marge de la collecte initiale, ce qui rend impensable l’existence de notifications systématiques à chaque nouvelle autorisation de traitements. Ni véritables démembrements de la personnalité, ni objets de propriété qui maintiendraient le lien juridique entre sujet et objet, les données à caractère personnel ne sont protégées qu’en elles-mêmes. La dimension objective de la protection est égarée, et la préservation de l’identité de la personne humaine n’est pas envisagée à long terme, ni, à travers elle, celle de l’humanité dans son ensemble. De telles considérations en appellent nécessairement à la recherche d’un fondement juridique plus solide, effectif et offrant des garanties objectives plus en conformité avec les finalités que le droit s’est assigné à lui-même. La fondamentalité, par sa force à la fois légitimante et normative, apparaît évidemment comme une réponse à cette question.
Très intéressant