19 Mai 2021 – Rapport du 117e congrès – Commission 1 – Chapitre II – La mise en œuvre des restrictions au traitement des données
PARTIE III – La mort dans le monde numérique
Titre 1 – La disparition numérique de son vivant
Sous-titre 1 – Les restrictions au traitement des données numériques des vivants
Chapitre II – La mise en œuvre des restrictions au traitement des données
1411 La procédure de mise en œuvre de la limitation et de l’opposition au traitement de données personnelles a été fixée par les articles 77 à 81 du décret du 29 mai 2019641, venant compléter les dispositions de l’article 12 du RGPD, sans évocation intermédiaire dans la loi informatique et libertés, sauf pour les mineurs642.
Elle prévoit une demande préalable au responsable de traitement (Section I), et des recours contre un éventuel refus (Section II).
Section I – La procédure à l’égard du responsable de traitement
1412 Il faut noter qu’il s’agit d’une procédure unique, applicable à toutes les demandes des personnes concernées sur leurs données. Il conviendra donc de se référer habituellement à ces développements.
Naturellement, cette procédure à l’égard du responsable de traitement se réalise en deux étapes : la demande au responsable de traitement (Sous-section I) et la réponse de celui-ci (Sous-section II).
Sous-section I – La demande de la personne concernée
1413 Le RGPD n’est qu’allusif sur les formes et le traitement de la demande d’une personne concernée. Ces détails de procédure ont été fournis ultérieurement par le décret français.
1414 – Toute forme de demande. – Le décret envisage toutes les formes de demande : par voie électronique, postale, sur place, ou par mandat spécial (habilitant à la présentation de la demande et/ou l’obtention de la réponse), etc.
Au titre des oppositions par mandat, la Cnil publie une liste de différents services auxquels s’inscrire pour s’opposer au traitement de données personnelles à des fins de prospection commerciale643.
En cas de demande sur place, et si le demandeur ne peut obtenir satisfaction immédiatement, un récépissé daté et signé doit lui être délivré. Il conditionnera l’engagement éventuel d’un recours.
La demande est adressée au responsable de traitement, son délégué à la protection des données, ou à défaut au siège ou à l’adresse électronique de l’organisme dont le traitement relève.
À cet effet, les sites internet sur lesquels les données ont été collectées proposent le plus souvent des formulaires accessibles par des onglets ou liens dénommés de manière variable (« informatique et libertés », « protection des données », etc.).
À défaut, ou en cas de difficultés, le site internet de la Cnil indique les moyens de retrouver les coordonnées d’un responsable de traitement auquel s’adresser644.
1415 – Une identité justifiée par tout moyen… – Le demandeur justifie de son identité par tout moyen645. Encore faut-il que le moyen proposé soit admis par le responsable de traitement, qui a la responsabilité de la vérification de l’identité du demandeur, dont il va accepter les instructions ou à qui il va communiquer des informations. Car le défaut d’identification du demandeur ouvre au responsable de traitement la possibilité de refuser la demande646, ce qui ne revient pas pour autant à préconiser une vérification d’identité.
L’usage de données d’identité numériques est possible, si elles sont nécessaires et si le responsable du traitement les estime suffisantes647. Dans une forme de dérogation au principe de la justification par « tout moyen », le législateur français ouvre ainsi le recours à des données d’identité numériques à la double condition de nécessité et de suffisance, à l’appréciation du responsable de traitement. Celui-ci devra justifier de l’une et de l’autre. Il faut notamment comprendre que si le responsable de traitement ne s’en contentait pas, il ne pourrait utiliser des données d’identité numériques en complément d’autres justificatifs.
Lorsque le responsable de traitement a des doutes raisonnables sur l’identité d’un demandeur, il peut alors demander des informations supplémentaires nécessaires, jusqu’à la copie d’une pièce d’identité portant signature, lorsque la situation l’exige648. Dans l’évocation des moyens croissants de vérification, il faut ici comprendre que, pour motiver une demande dépassant une justification par « tout moyen », le responsable de traitement devra justifier à la fois de ses « doutes raisonnables » et d’exigences particulières au regard de la nature des instructions données ou informations demandées (données sensibles, de santé, etc.). Il faut voir ici une nouvelle illustration de la proportionnalité ou de la mise en balance d’intérêts contradictoires qui irrigue tout le droit de la protection des données personnelles, et fait ainsi la part belle à la jurisprudence, lorsque l’enjeu justifie que les juridictions soient saisies de l’application d’une règle – ce qui semble ici douteux pour la simple identification d’un demandeur.
Une demande de justification d’identité suspend le délai de réponse du responsable de traitement, le temps de sa satisfaction par la personne concernée649.
Toujours en cas de doute sur l’identité du demandeur, le décret français prévoit aussi que la réponse du responsable de traitement peut être adressée par courrier recommandé, transférant à La Poste la vérification de l’identité du destinataire des informations transmises650.
1416 – … et avec modération. – Il faut observer cette description progressive comme une invitation à la modération : tout moyen, éventuellement des données d’identité numérique, en cas de doute seulement, une justification complémentaire, s’il le faut vraiment, une pièce d’identité, et enfin l’usage de la lettre recommandée qui laisse le soin à La Poste de vérifier l’identité du demandeur651.
Il est surprenant d’observer que, dans le cas d’une telle vérification, une nouvelle collecte de données personnelles est opérée, avec un nouvel intérêt légitime, une nouvelle durée de conservation, etc. Alors que l’intention de la personne concernée était de contrôler l’usage de ses données personnelles, elle peut devoir préalablement en communiquer de supplémentaires652.
Elle se consolera en considérant que cette nouvelle collecte est elle-même soumise aux conditions de toute collecte de données personnelles, conformément au principe de minimisation, données qui doivent être adéquates, pertinentes et, comme il vient d’être énoncé, limitées à ce qui est nécessaire653. En application de ces principes, la Cnil veille régulièrement à une adaptation du niveau de vérification à celui de sensibilité des données qu’une personne concernée demande à contrôler ou auxquelles elle souhaite accéder654.
Sous-section II – La réponse du responsable de traitement
1417 – Des réponses accessibles. – Dans l’objectif de transparence, de clarté et d’efficacité, toute communication du responsable de traitement doit expliciter les informations données, au besoin par un lexique ou des icônes normalisées655.
Les informations données peuvent l’être par écrit, éventuellement électronique, notamment lorsque la demande était elle-même électronique ; et même oralement sur demande.
En toutes hypothèses, le responsable de traitement doit assurer la confidentialité des informations transmises à l’occasion de sa réponse, par exemple par l’usage d’un chiffrement, dont la clé est transmise séparément.
1418 – Un mécanisme rapide et gratuit. – Le responsable de traitement doit répondre dans les meilleurs délais656 à la demande qui lui est présentée, et dans la limite d’un mois, portée à trois mois en cas de demandes complexes ou nombreuses ; cette prolongation devant toutefois être notifiée et justifiée à la personne concernée dans le mois de sa demande.
L’exercice de ces différents droits est gratuit. Mais en cas de demandes manifestement infondées ou excessives (par ex., en raison de leur caractère répétitif) le responsable de traitement peut, s’il le justifie, refuser de donner suite ou exiger le paiement de frais raisonnables, correspondant aux coûts supportés.
1419 – Un droit à réparation. – En cas de violation des dispositions du RGPD, toute personne ayant subi un dommage matériel ou moral a le droit d’obtenir du ou des responsables de traitement ou leurs sous-traitants, solidairement responsables, la réparation du préjudice subi657. Même si les illustrations manquent pour l’instant, il faut remarquer que le droit à réparation n’est donc pas littéralement limité aux seules personnes concernées, mais ouvert à toute personne ayant subi un dommage (selon les principes généraux de la responsabilité).
1420 – Des droits tempérés par des exceptions. – Il faut observer que si les personnes concernées par le traitement de leurs données se voient protégées, les responsables de traitement, débiteurs des obligations créées, conservent quelques souplesses, notamment de délai, et de marges d’appréciation (contenu et justifications pouvant être sollicités pour la recevabilité des demandes, exceptions à la mise en en œuvre des droits) leur facilitant le respect de l’application des règles, ou leur permettant de s’en affranchir (par ex., l’identification de la personne concernée rendue impossible par suite de l’anonymisation des données, etc.).
Si le responsable du traitement de données ne fait pas droit à la demande de la personne concernée, il le lui indique dans le délai prévu658, en motivant sa décision et en informant des voies de recours ouvertes auprès de l’autorité de contrôle (la Cnil en France) et des instances judiciaires659.
Le décret français660 a ajouté qu’à défaut de réponse dans les délais prévus, la demande est réputée rejetée, l’hypothèse du silence du responsable de traitement n’étant pas envisagée dans le texte européen.
En cas de rejet, exprès ou tacite, de sa demande au responsable de traitement, la personne concernée dispose de recours.
Section II – Les recours contre le rejet d’une demande au responsable de traitement
1421 – Deux recours possibles. – Une personne concernée peut contester le rejet opposé par un responsable de traitement à une demande qu’elle avait formulée auprès de lui.
Si des délais ont été fixés au responsable de traitement pour répondre à la demande d’une personne concernée, aucun délai n’a en revanche été prévu pour le recours de cette personne contre la décision, expresse ou tacite, du responsable de traitement – situation qui renvoie au délai de prescription de droit commun.
Ce recours est possible en personne, mais également par mandat donné à une organisation à but non lucratif dont c’est l’objet, telle une association de défense. Les États membres peuvent même prévoir que de telles organisations peuvent agir sans mandat661.
En France, l’action de groupe créée par la loi no 2014-344 du 17 mars 2014 a été élargie par la loi no 2016-1547 du 18 novembre 2016 de modernisation de la justice du XXIe siècle à la protection des données à caractère personnel. La loi informatique et libertés l’ouvre à certaines organisations, pour solliciter du juge la cessation d’un manquement et la réparation du dommage subi662.
Ce recours est possible, dans chaque État membre, devant une autorité de contrôle, publique et indépendante (Sous-section I), et/ou des instances judiciaires (Sous-section II).
S’il est directement possible devant les instances judiciaires des États membres663, la facilité et la gratuité du recours préalable aux autorités nationales de contrôle, et la possibilité de déférer devant les instances judiciaires le rejet par celles-ci d’une réclamation, en font un préalable systématique dans les faits.
Sous-section I – Les recours devant l’autorité de contrôle : la Cnil en France
1422 – L’autorité de contrôle. – Une autorité de contrôle nationale a été instituée en France dès la loi informatique et libertés664, préconisée à l’échelle mondiale dans les principes directeurs du 14 décembre 1990 des Nations unies665, prévue au niveau européen dans la directive de 1995666, confirmée par le RGPD667 et reprise dans la convention du Conseil de l’Europe dans sa rédaction de 2018668.
Selon le RGPD, chaque État membre doit être doté d’une (ou plusieurs) autorité publique de contrôle indépendante, chargée de surveiller l’application du règlement, et compétente, entre autres missions :
pour traiter des réclamations introduites par les personnes concernées669 ;
pour ordonner à un responsable de traitement de satisfaire aux demandes d’une personne concernée670, voire mettre en œuvre, à la demande de l’autorité elle-même, les différents droits étudiés dans ces lignes671 ;
pour imposer, en complément ou à la place des injonctions ci-dessus, des amendes administratives672, même si la loi nationale d’un État membre ne l’a pas prévu673 ; et même au-delà, imposer toutes autres sanctions voulues « effectives, proportionnées et dissuasives », puisque le RGPD ouvre aux États membres la possibilité d’en instituer674.
Cette ouverture a été saisie par le législateur français, qui a par exemple ajouté la possibilité de prononcer des astreintes au titre des mesures « effectives et dissuasives » octroyées à la Cnil675.
L’autorité compétente pour recevoir une réclamation est (sans que cette énumération soit limitative) celle de l’État dans lequel se trouvent la résidence habituelle du réclamant, son lieu de travail ou « le lieu où la violation aurait été commise »676. En matière numérique, le lieu de commission d’une violation semble pouvoir répondre à une définition large et ainsi favorable au réclamant ; d’autant plus en se contentant d’une localisation simplement possible.
1423 – Le recours. – L’effectivité d’un droit se mesurant à son accessibilité et à sa facilité de mise en œuvre, et les législateurs européen et français ayant précisément voulu assurer la protection des données personnelles, le recours à l’autorité nationale de contrôle a été voulu simple et facile.
A ainsi été prévu un formulaire guidant la présentation d’une réclamation, notamment accessible par voie électronique677, prenant la forme en France d’un téléservice de plainte en ligne, disponible sur le site de la Cnil.
Pour cette même raison d’accessibilité, le recours à l’autorité de contrôle est également gratuit678, sauf l’hypothèse de demandes manifestement infondées, excessives ou répétitives, permettant à cette autorité, sur motivation spéciale, de réclamer le paiement de frais raisonnables, justifiés par ses coûts administratifs, ou même de refuser de donner suite à la demande présentée.
1424 – La procédure. – L’autorité de contrôle doit informer l’auteur de la réclamation de l’instruction puis de l’issue de celle-ci, en l’avisant des recours juridictionnels possibles679. Pour ce faire, elle dispose d’un délai de trois mois680, au-delà duquel, pour la France, le silence gardé par la commission vaut rejet de la réclamation681.
On peut remarquer ici un parallélisme entre les délais et modalités de demande au responsable de traitement et de réclamation à l’autorité de contrôle contre la décision du premier.
Au-delà de ces quelques éléments, le RGPD n’a pas prévu de procédure pour l’action des autorités de contrôle. Il énonce simplement que celle-ci doit respecter « des garanties appropriées, y compris le droit à un recours juridictionnel effectif et à une procédure régulière, prévues par le droit de l’Union et le droit des États membres conformément à la Charte [des droits fondamentaux de l’Union européenne] »682. Il a enfin prévu que chaque État membre peut instituer, par la loi, des pouvoirs supplémentaires pour son autorité de contrôle nationale.
C’est ainsi que le législateur français a lui-même organisé la procédure d’intervention de la Cnil, en attribuant la compétence d’injonction et de sanction à la formation restreinte de la Cnil, sur saisine de son président683, après instruction par un rapporteur désigné hors de cette formation, avec des garanties procédurales du contradictoire.
Les recours d’une personne concernée ne s’arrêtent pas à l’autorité de contrôle, un recours est encore possible devant une instance judiciaire.
Sous-section II – Les recours devant les instances judiciaires
1425 – Un recours contre la décision du responsable de traitement. – Un recours judiciaire direct est initialement possible contre tout rejet par un responsable de traitement de la demande d’une personne concernée. Selon la nature du recours, celui-ci est possible devant les juridictions civiles ou pénales.
La juridiction compétente est celle d’un État dans lequel le responsable de traitement ou le sous-traitant dispose d’un établissement ou dans lequel la personne concernée à sa résidence habituelle684.
En France, au civil, c’est le tribunal judiciaire (ex-tribunal de grande instance) qui est compétent. Au pénal, c’est le tribunal correctionnel, en raison de la qualification de délit des infractions à la loi informatique et libertés685. En matière pénale, une concertation réciproque est organisée entre le procureur de la République et le président de la Cnil686.
Ces recours ont lieu dans les conditions procédurales classiques devant les juridictions concernées. Dans les conditions de droit commun, les décisions rendues sont elles-mêmes susceptibles de recours devant les juridictions d’appel et de cassation.
1426 – Un recours contre la décision de la Cnil. – Un recours judiciaire est également possible contre les décisions de la Cnil rendues au titre de ses missions de contrôle ou de régulation. Le Conseil d’État est compétent687.
Ces recours judiciaires s’exercent :
à l’initiative de la personne concernée (personne physique dans le champ d’application du RGPD), contre le rejet de sa demande par le responsable de traitement ou contre celui de sa réclamation (contre le premier) par l’autorité de contrôle ;
à l’initiative du responsable de traitement (personne physique ou morale), contre une injonction qui lui a été faite par l’autorité de contrôle, accédant à la réclamation d’une personne concernée688.
Le Conseil d’État se prononce en premier et dernier ressort. Une personne concernée devra donc choisir, face au rejet d’une demande par un responsable de traitement, soit un recours devant la Cnil, avec recours devant le Conseil d’État, soit un recours devant le tribunal judiciaire, avec recours devant la cour d’appel puis la Cour de cassation.
La jurisprudence publiée semble confirmer la prépondérance de la voie administrative, voie spécialisée et gratuite à la première étape.
Après avoir demandé, à titre conservatoire, la limitation du traitement de ses données, à côté d’une demande d’opposition à leur exploitation, et les recours qu’elle a pu engager pour les obtenir, une personne concernée peut solliciter la suppression de ses données personnelles du traitement dont elles sont l’objet.
641) D. no 2019-536, 29 mai 2019, pris pour l’application de la loi no 78-17 du 6 janvier 1978, relative à l’informatique, aux fichiers et aux libertés, modifiée.
642) V. infra, no 1467.
645) D. no 2019-536, 29 mai 2019, art. 77. On retrouve ici la justification d’identité par tout moyen, expression notamment utilisée par le Code de procédure pénale dans ses articles 78-2 et 78-3 relatifs aux contrôles d’identité par les forces de police…
646) PE et Cons. UE, règl. (UE) no 2016/679, 27 avr. 2016, art. 12, 1, 2 et 6.
647) D. no 2019-536, 29 mai 2019, art. 77, al. 1.
648) D. no 2019-536, 29 mai 2019, art. 77, al. 2.
649) D. no 2019-536, 29 mai 2019, art. 77, al. 3.
650) D. no 2019-536, 29 mai 2019, art. 77, al. 4.
651) Sur les missions du groupe La Poste dans la reconnaissance de l’identité numérique : V. supra, no 1125.
652) Viennent des images de sparadrap du capitaine Haddock…
653) PE et Cons. UE, règl. (UE) no 2016/679, 27 avr. 2016, art. 5, 1, c).
655) PE et Cons. UE, règl. (UE) no 2016/679, 27 avr. 2016, art. 12 ; D. no 2019-536, 29 mai 2019, art. 80.
656) D. no 2019-536, 29 mai 2019, art. 77, al. 3 renvoyant à l’article 12, alinéa 3 ; PE et Cons. UE, règl. (UE) no 2016/679, 27 avr. 2016.
657) PE et Cons. UE, règl. (UE) no 2016/679, 27 avr. 2016, art. 82.
658) Un mois éventuellement porté à trois mois sur motivation spéciale.
659) PE et Cons. UE, règl. (UE) no 2016/679, 27 avr. 2016, art. 12, 4.
660) D. no 2019-536, 29 mai 2019, art. 79, al. 2.
661) PE et Cons. UE, règl. (UE) no 2016/679, 27 avr. 2016, art. 80.
662) L. no 78-17, 6 janv. 1978, art. 37, III.
663) PE et Cons. UE, règl. (UE) no 2016/679, 27 avr. 2016, art. 77 et 79.
664) L. no 78-17, 6 janv. 1978, art. 6 et s. dans sa rédaction d’origine et art. 8 et s. dans sa rédaction actuelle.
665) AG ONU, rés. 45/95, 14 déc. 1990, Principes directeurs pour la réglementation des fichiers informatisés contenant des données à caractère personnel, art. 8.
666) PE et Cons. UE, dir. 95/46/CE, 24 oct. 1995, art. 28.
667) PE et Cons. UE, règl. (UE) no 2016/679, 27 avr. 2016, art. 51.
668) Cons. Europe, conv. STE no 108+, 10 oct. 2018, art. 15.
669) PE et Cons. UE, règl. (UE) no 2016/679, 27 avr. 2016, art. 57, 1, f) et L. no 78-17, 6 janv. 1978, art. 8, I, 2o, d).
670) PE et Cons. UE, règl. (UE) no 2016/679, 27 avr. 2016, art. 58, 2, c). D’ailleurs, la version française du RGPD disponible sur Legifrance qualifie la faculté de donner des ordres de « mesures correctrices », ne s’agirait-il pas plutôt de « mesures coercitives » ? Dans ce cas, l’erreur de traduction a été commise plusieurs fois.
671) PE et Cons. UE, règl. (UE) no 2016/679, 27 avr. 2016, art. 58, 2, g).
672) PE et Cons. UE, règl. (UE) no 2016/679, 27 avr. 2016, art. 58, 2, i) et 83, 2 et 5, b), jusqu’à 20 M€ ou 4 % du chiffre d’affaires annuel…
673) PE et Cons. UE, règl. (UE) no 2016/679, 27 avr. 2016, art. 83, 9.
674) PE et Cons. UE, règl. (UE) no 2016/679, 27 avr. 2016, art. 84.
675) L. no 78-17, 6 janv. 1978, art. 20, III, 2o, astreinte dont le montant ne peut excéder 100 000 € par jour.
676) PE et Cons. UE, règl. (UE) no 2016/679, 27 avr. 2016, art. 77.
677) PE et Cons. UE, règl. (UE) no 2016/679, 27 avr. 2016, art. 57, 2 ; D. no 2019-536, 29 mai 2019, art. 10, al. 1.
678) PE et Cons. UE, règl. (UE) no 2016/679, 27 avr. 2016, art. 57, 3 et 4 ; D. no 2019-536, 29 mai 2019, art. 11.
679) PE et Cons. UE, règl. (UE) no 2016/679, 27 avr. 2016, art. 77, 2.
680) PE et Cons. UE, règl. (UE) no 2016/679, 27 avr. 2016, art. 78, 2.
681) D. no 2019-536, 29 mai 2019, art. 10, al. 2.
682) PE et Cons. UE, règl. (UE) no 2016/679, 27 avr. 2016, art. 58, 4 et 83, 8.
683) L. no 78-17, 6 janv. 1978, art. 9, I in fine (composition) ; art. 16, 20, III et s. (attributions) ; D. no 2019-536, 29 mai 2019, art. 6 (fonctionnement) ; art. 39 et s. (procédure).
684) PE et Cons. UE, règl. (UE) no 2016/679, 27 avr. 2016, art. 79.
685) C. pén., art. 226-16 à 226-24.
686) L. no 78-17, 6 janv. 1978, art. 8, I, 2o, f) et 40 et s.
687) CJA, art. R. 311-1, 4o).
688) PE et Cons. UE, règl. (UE) no 2016/679, 27 avr. 2016, art. 78, 1 et 2.