1092 La définition des données personnelles est étroitement liée à l’individu, ce qui permet de l’identifier, comme en attestent les textes d’origine européenne dont le RGPD (Section I). Le temps de retard inévitable du législateur face à l’évolution exponentielle du numérique oblige les juridictions à se positionner au cas par cas, alimentant ainsi la notion de données personnelles en pleine évolution (Section II).
PARTIE I – Les droits fondamentaux de la personne face au numérique
Titre 2 – La protection de l’individu dans la sphère privée numérique
Sous-titre 2 – Les données personnelles
Chapitre I – La notion de données personnelles
Section I – La définition textuelle des données personnelles
1093 – Le rattachement des données personnelles à la personne physique. – Seules les personnes physiques sont dotées de données personnelles274. Cet élément est déterminant en ce qu’il conditionne l’application des règles de protection des données275. La Commission nationale de l’informatique et des libertés (Cnil)276, s’inspirant de la directive européenne du 24 octobre 1995277, aujourd’hui abrogée, définit les données personnelles comme toute information se rapportant à une personne physique identifiée ou identifiable, que l’on nomme « personne concernée ». L’identification d’une personne physique peut s’effectuer soit directement, soit indirectement278 :
on entend par identification directe des éléments rattachés à la personne par essence, comme son nom et ses prénoms que l’on peut considérer comme des données permanentes ;
l’identification indirecte s’opère par rattachement de tout élément d’identification à la personne : un numéro de téléphone, une plaque d’immatriculation, un identifiant tel que le numéro de sécurité sociale, des données de localisation comme une adresse postale, un identifiant en ligne ou un courriel, mais aussi par exemple une voix ou une image. Ces données sont situées dans le prolongement de la personne après sa naissance et sont évolutives.
Cette identification peut être réalisée :
à partir d’une seule donnée ;
ou à partir du croisement d’un ensemble de données, un ou plusieurs éléments spécifiques propres à l’identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale279.
En revanche, les coordonnées d’entreprises, comme l’entreprise « Compagnie A » avec son adresse postale, le numéro de téléphone de son standard et un courriel de contact générique ne sont pas, en principe, des données personnelles, selon la position de la Cnil.
1094 – Les éléments constitutifs des données à caractère personnel. – Les éléments permettant de connaître les données à caractère personnel, ou données personnelles, sont contenus dans la définition reprise par la Cnil : « toute information » « concernant » « une personne physique » « identifiée ou identifiable ». Chacun de ces paramètres doit être étudié isolément pour ensuite former un tout. Ils sont étroitement liés entre eux et interdépendants. L’expression « toute information » désigne des renseignements tant objectifs (tels que le groupe sanguin) que subjectifs (tels que les avis ou appréciations relatifs à une personne). Cette notion est plus large que celle de données sensibles relatives à l’individu. En l’occurrence, il s’agit des origines raciales ou ethniques, des opinions politiques, des convictions religieuses ou philosophiques, de l’appartenance syndicale, de la santé, la sexualité.
Les données à caractère personnel comprennent de manière étendue tout ce qui touche à la vie privée, aux activités de l’individu quelles qu’elles soient, à ses relations privées ou professionnelles, son comportement social ou économique.
De manière synthétique, les données à caractère personnel englobent toute indication relative à l’individu stricto sensu, mais aussi l’individu en tant que consommateur, client, patient, employé, etc.
1095 – L’indifférence de la véracité des données personnelles et la protection des individus. – Selon les directives européennes, la véracité des données personnelles est indifférente. Vraie ou fausse, toute donnée concernant l’individu est personnelle. La protection des personnes physiques à l’égard du traitement de leurs données à caractère personnel est un droit fondamental. Ce droit est mis en balance avec d’autres droits fondamentaux, notamment la liberté de pensée, de conscience et de religion, la liberté d’expression283 et d’information, la liberté d’entreprise, conformément au principe de proportionnalité284, c’est-à-dire par rapport à la nature des données collectées et à la finalité du traitement.
1096 – Les supports des données personnelles. – Les ordinateurs, les clés USB, les tablettes, les disques durs et les téléphones sont autant de contenants renfermant toute une base de données personnelles. Tous les supports sont concernés, qu’il s’agisse de format papier, de cassettes audio ou vidéo, ou plus spécifiquement de format électronique. Chacun de ces supports renferme des données susceptibles d’être l’objet d’une protection contre des risques potentiels affectant les droits des personnes concernées si elles devenaient accessibles illégalement ou subissaient une modification illégitime. C’est la raison pour laquelle le RGPD impose que soient prises toutes les « mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque »285.
Section II – L’évolution des données personnelles
1097 – L’impossible anticipation de l’évolution numérique. – Aujourd’hui il convient de considérer les données personnelles comme un concept permettant la gestion de l’identité. La définition des données personnelles fournie par les directives européennes est suffisamment extensive pour permettre son adaptation à l’évolution exponentielle du numérique. Cependant, la rapidité du progrès engendré par le numérique dépasse aujourd’hui l’imagination d’hier. Impossible donc pour le législateur de pouvoir anticiper. L’inévitable temps de retard des juristes sur l’évolution numérique oblige les juridictions à se positionner au cas par cas.
Pourtant des solutions d’adaptation existent. Ainsi tout État membre de l’Union européenne est autorisé à étendre la qualification de données à caractère personnel à des données non couvertes par les directives européennes. Cette possibilité a été confirmée par la Cour de justice des Communautés européennes286. Pour ce faire, chacun des États concernés doit s’assurer qu’aucune disposition du droit communautaire ne s’y oppose et qu’il légifère en la matière. À défaut de loi, la qualification « de données personnelles » ne peut être retenue, donc protégée.
1098 – Les adresses IP287 considérées comme des données personnelles. – Les adresses IP, c’est-à-dire les adresses claires d’identification d’un appareil informatique, ne sont attribuées qu’une seule fois au sein d’un réseau internet. Elles sont constituées d’une partie « réseau » pour l’acheminement et d’une partie « hôte » (l’appareil cible) pour l’attribution spécifique à un ordinateur. Elles constituent sans conteste des données personnelles288. Cette opinion est partagée par l’ensemble des Cnil européennes. Si l’on se penche sur ce que représente une adresse IP, la raison paraît évidente. En effet, pour l’envoi d’un e-message, il y a lieu de connaître le pays et la ville du destinataire du message, mais également la rue, le numéro du bâtiment, ainsi que l’étage de l’appartement. Pour que ce e-message atteigne sa destination, l’adresse IP détermine le réseau concerné ainsi que l’appareil cible situé sur le réseau.
1099 – Les cookies ou traceurs. – Le cookie est un traceur de connexion internet. Il est capable d’identifier les sites les plus fréquentés par l’utilisateur et utilise les données ainsi collectées, notamment pour le ciblage publicitaire. Il sait qui nous sommes, nos habitudes, nos souhaits, nos centres d’intérêt. Plusieurs types de traceurs sont répertoriés :
les First-party cookies propres à un site et permettant de connaître sa fréquentation par individu ;
les Third-party cookies issus d’accords entre des sites différents, utilisés pour la publicité sponsorisée ;
et le Flash cookie résistant aux suppressions et capable de connaître les usages hors ligne des individus ;
il existe également le cookie wall sans l’acceptation duquel l’internaute ne peut accéder au site sollicité.
Même si à l’origine les traceurs sont des procédés essentiellement techniques, ils sont considérés comme des données personnelles289. La Cnil a publié des lignes directrices en la matière290. Elle précise les conditions dans lesquelles le RGPD renforce les droits des internautes sur la maîtrise de leurs données à caractère personnel face aux traceurs en général, partiellement validées par le Conseil d’État291, à l’exception des cookie walls.
La Cnil a en outre publié une vidéo dédiée à l’effacement des traceurs et propose des outils pour les maîtriser292.
1100 – Les images collectées par drone ou caméra thermique. – L’utilisation de nouvelles méthodes liées au numérique est source de progrès technique pour certains, mais aussi d’inquiétude et de flou juridique pour d’autres. La surveillance par drone en est un exemple. Un drone de surveillance a été mis en place le 18 mars 2020 en pleine crise sanitaire de la Covid-19 sur décision du préfet de police de Paris. Il a collecté des données à caractère personnel, en l’occurrence des images, pour connaître du respect des mesures de confinement. En l’absence de texte réglementaire, une telle utilisation a été interdite par le Conseil d’État293 et condamnée par la Cnil294 prononçant à l’encontre du ministère de l’Intérieur un rappel à l’ordre pour manquement aux dispositions de la loi Informatique et libertés assorti d’une injonction de mise en conformité295.
Un autre exemple montre la possibilité du monde judiciaire à sculpter les contours du concept de données à caractère personnel à partir d’une définition large et extensive. Au cours de cette même période de crise sanitaire, des caméras thermiques ont été installées dans les locaux d’une municipalité de l’Essonne, afin de détecter la température corporelle des individus circulant dans les espaces municipaux. Si le degré de température corporel n’a pas été regardé comme une donnée à caractère personnel, en revanche l’image traitée par les caméras thermiques, bien que non enregistrée, a été considérée comme susceptible d’être identifiante296. Se servant de ce critère, le Conseil d’État a qualifié ces données de données à caractère personnel.
1101 – Le sort des avatars face à la notion de données à caractère personnel. – Quel est le sort réservé aux avatars face à la notion de données à caractère personnel ? La définition de l’avatar est, selon l’Académie française, au sens figuratif, chacune des formes diverses que prend une personne ou une chose. Sur internet, il sert à identifier les utilisateurs d’un service. Définir un avatar sur le plan juridique est une première difficulté. Est-ce le prolongement de soi comme une image projetée297 sur internet, ou un simple personnage ludique ? Certains auteurs voient dans les avatars la figure d’un double numérique, une externalisation de l’identité humaine, un acteur au sein d’un système technique, informationnel et communicationnel qui permet de produire un ensemble de « manifestations » pour soi et pour les autres et d’y laisser des traces ludiques, culturelles et sociales298.
En deux ou trois dimensions, les avatars et autres Bitmojis299 se confondent parfois avec l’identité de l’individu s’il les utilise pour communiquer dans le cadre de sa vie sociale ou professionnelle. Ils expriment alors ce qui anime l’individu, ce qu’il aime ou ce qu’il n’aime pas, ses opinions. Des sites comme Gravatar300 proposent de créer un avatar associé à tous les sites sur lesquels l’individu se produira, d’autres comme la messagerie de Yahoo les associent sans le consentement de l’utilisateur à toutes ses adresses e-mail rattachées à la personne.
Une deuxième difficulté vient de ce que, parfois, l’avatar n’appartient pas à l’individu mais à un développeur de jeux en ligne, aux termes d’un contrat avec le joueur301. À l’inverse, lorsque l’individu crée son avatar sur des plateformes de réalité virtuelle sociale comme Second Life ou Sansar par exemple, l’avatar peut être une image de synthèse de soi, une projection de soi dans le monde numérique.
Doit-on alors accréditer cette hypothèse et assimiler l’avatar à une donnée à caractère personnel objet de protection ? Cette image de synthèse peut en effet s’apparenter à l’image photographique grâce à laquelle la personne est identifiable sans difficulté.
274) PE et Cons. UE, dir. 95/46/CE, 24 oct.1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, art. 1 (https://eur-lex.europa.eu/legal-content/FR/TXT/?uri=celex:31995L0046). – PE et Cons. UE, dir. 2002/58/CE, 12 juill. 2002, concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques (directive « vie privée et communications électroniques »), art. 1 (https://eur-lex.europa.eu/legal-content/FR/TXT/?uri=CELEX:32002L0058).
275) V. infra, Commission 1, Partie III, nos 1430 et s.
276) www.cnil.fr/
277) PE et Cons. UE, dir. 95/46/CE, 24 oct.1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, art. 2 : « Aux fins de la présente directive, on entend par : a) « données à caractère personnel » : toute information concernant une personne physique identifiée ou identifiable (personne concernée) ; est réputée identifiable une personne qui peut être identifiée, directement ou indirectement, notamment par référence à un numéro d’identification ou à un ou plusieurs éléments spécifiques, propres à son identité physique, physiologique, psychique, économique, culturelle ou sociale ; ».
279) PE et Cons. UE, dir. 2016/680, 27 avr. 2016, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales, et à la libre circulation de ces données, et abrogeant la décision-cadre 2008/977/JAI du Conseil, art. 3 (https://eur-lex.europa.eu/legal-content/FR/TXT/?uri=CELEX:32016L0680).
280) Règl. (UE) no 2016/679, 27 avr. 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel, art. 14 ; JOUE 4 mai 2016, no L 119, p. 1-88 (https://eur-lex.europa.eu/legal-content/FR/TXT/?uri=CELEX:32016R0679).
281) Charte des droits fondamentaux de l’Union européenne, no 2000/C 364/01, 7 déc. 2000, art. 8 : JOCE 18 déc. 2000 (www.europarl.europa.eu/charter/pdf/text_fr.pdf).
282) CJCE, 6 nov. 2003, aff. C-101/2001, Lindqvist : « La notion de “données à caractère personnel” employée à l’article 3, paragraphe 1, de la directive 95/46 englobe, conformément à la définition figurant à l’article 2, sous a), de celle-ci, “toute information concernant une personne physique identifiée ou identifiable”. Cette notion comprend assurément le nom d’une personne joint à ses coordonnées téléphoniques ou à des informations relatives à ses conditions de travail ou à ses passe-temps » (https://eur-lex.europa.eu/legal-content/FR/TXT/PDF/?uri=CELEX :62001CJ0101&from=EN).
283) V. supra, Commission 1, Partie I, no 1080.
284) Règl. (UE) no 2016/679, 27 avr. 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel, art. 1 et 3 : JOUE 4 mai 2016, no L 119, p. 1-88 (https://eur-lex.europa.eu/legal-content/FR/TXT/?uri=CELEX:32016R0679).
285) RGPD, art. 32 (www.cnil.fr/fr/reglement-europeen-protection-donnees/chapitre4#Article32).
286) CJCE, 6 nov. 2003, aff. C-101/01, Procédure pénale c/ BodilLindqvis (https://eur-lex.europa.eu/legal-content/FR/TXT/HTML/?uri=CELEX:62001CJ0101&from=EN).
287) Internet Protocol Address.
288) Cass. 1re civ., 3 nov. 2016, no 15-22.595 : JurisData no 2016-022669 ; JCP G 2016, 1310, note R. Perray ; JCP E 2016, act. 888. – CJUE, 19 oct. 2016, aff. C-582/14, Breyer c/ Bundesrepublik Deutschland, pt 38. – Cnil, Groupe de travail « Article 29 », 18 janv. 2005, WP 104, p. 4 et Cnil, Groupe de travail « Article 29 », avis no 4/2007, 20 juin 2007, WP 136, p. 18 et 19 (https://cnpd.public.lu/dam-assets/fr/publications/groupe-art29/wp136_fr.pdf).
289) Cnil, Groupe de travail « Article 29 » sur la protection des données, avis no 1/2008 sur les aspects de la protection des données liées aux moteurs de recherche, WP 148, 4 avr. 2008 (https://cnpd.public.lu/dam-assets/fr/publications/groupe-art29/wp148_fr.pdf). – Dir. (UE) no 2002/58/CE, 12 juill. 2002, concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques : JOCE 31 juill. 2002, no L 201, p. 37. – CJUE, 1er oct. 2019, aff. C-673/17, Bundesverband der Verbraucherzentralenund Verbraucherverbände – Verbraucherzentrale Bundesverband eV c/ Planet49 GmbH : JurisData no 2019-017045.
290) Cnil, délib. no 2019-093, 4 juill. 2019, portant adoption de lignes directrices relatives à l’application de l’article 82 de la loi du 6 janvier 1978 modifiée aux opérations de lecture ou écriture dans le terminal d’un utilisateur (notamment aux cookies et autres traceurs) (rect.) : JO 19 juill. 2019, no 0166, texte no 92 (www.legifrance.gouv.fr/affichTexte.do?cidTexte=JORFTEXT000038783337).
291) CE, 19 juin 2019, no 434684, Lignes directrices de la Cnil relatives aux cookies et autres traceurs de connexion (https://www.conseil-etat.fr/actualites/le-conseil-d-etat-annule-partiellement-les-lignes-directrices-de-la-cnil-relatives-aux-cookies-et-autres-traceurs-de-connexion).
293) CE, ord., 18 mai 2020, nos 440442 et 440445 (https://www.conseil-etat.fr/actualites/le-conseil-d-etat-ordonne-a-l-etat-de-cesser-immediatement-la-surveillance-par-drone-du-respect-des-regles-sanitaires).
294) Cnil, 12 janv. 2021, délib. no SAN-2021-003.
296) CE, 26 juin 2020, no 441065 (https://www.conseil-etat.fr/actualites/cameras-thermiques-a-lisses-le-juge-des-referes-ordonne-de-mettre-fin-a-leur-usage-dans-les-ecoles).
297) E. Goffman, La mise en scène de la vie quotidienne, Paris, Éditions de Minuit, 1973.
298) F. Beau et O. Deseilligny, Une figure du double numérique : l’avatar : Hermès, La Revue 2009/1, no 53, p. 41-47 (www.cairn.info/revue-hermes-la-revue-2009-1-page-41.htm) ; V. infra, Commission 1, Partie II, no 1147.
299) Bitmojis est la version imaginée par Snapchat ; Avatar est celle imaginée par Facebook.
301) M. Tual : Le Monde 21 avr. 2016, à propos de Second Life. Extrait : « Chacun prend sa seconde vie, qui s’étale sur des années, plus ou moins au sérieux. Pour certains, elle représente tout, jusqu’à la mort, bien réelle » – « Les Linden dollars du jeu peuvent être échangés contre les dollars bien réels. L’an dernier, les utilisateurs ont échangé 60 millions de dollars issus de l’économie virtuelle, affirme EbbeAltberg » (président-directeur général de Linden Lab). En 2019, Linden Lab a créé une monnaie, Tilia Pay, pour monétiser les interactions des utilisateurs (www.lemonde.fr/pixels/art./2016/04/28/absurde-creatif-et-debauche-dix-ans-apres-second-life-est-toujours-bien-vivant_4909910_4408996.html). Pour un développement sur la monnaie virtuelle.
302) Massively Multiplayers Online Role Playing Game, ancêtre des Multi-Users-Donjons (MUD).
303) Sur les avatars, V. infra, Commission 1, Partie II, no 1147.