Des « personnes concernées »

Des « personnes concernées »

La législation a octroyé, et à chaque étape historique renforcé les droits des « personnes concernées », expression sans référence juridique connue, d'apparence peu technique, et sans définition textuelle précise.
Pourtant, ces « personnes concernées » étant les titulaires des droits institués, cette définition est essentielle à leur mise en œuvre, puisqu'elle détermine le champ d'application de cette législation.
Or, le législateur a singulièrement et constamment évité toute définition précise des personnes auxquelles il attribuait ces droits.

Pour aller plus loin : Petit historique législatif des personnes concernées

Une recherche législative chronologique permet de constater cette absence obstinée de définition, en France, comme au niveau européen :
En France :
  • Dans l'article 3 de la loi informatique et libertés, dans sa rédaction en vigueur du 23 juillet 1978 au 7 août 2004, il est indiqué que : « Toute personne a le droit de connaître et de contester les informations et les raisonnements utilisés dans les traitements automatisés dont les résultats lui sont opposés ».
  • Dans l'article 2 de la loi informatique et libertés, dans sa rédaction en vigueur du 7 août 2004 au 1er juin 2019, une phrase, au dernier alinéa, énonce que : « La personne concernée par un traitement de données à caractère personnel est celle à laquelle se rapportent les données qui font l'objet du traitement ».
  • Dans l'article 1er de la loi informatique et libertés :
Ce n'est donc qu'à compter de 2004 que l'article 2 de la loi informatique et libertés du 6 juillet 1978 a apporté une définition peu convaincante des personnes titulaires des droits qu'elle instituait ; définition qui a finalement été retirée de la loi par l'ordonnance de 2018 révisant la loi informatique et libertés, pour laisser place au RGPD.
Au niveau européen, les définitions ne sont systématiquement qu'incidentes :
  • la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 :
  • le RGPD, qui consacre pourtant tout son article 4 à des définitions assez nombreuses et précises, n'aborde lui aussi celle du titulaire des droits qu'il institue au niveau européen qu'incidemment :« Aux fins du présent règlement, on entend par :« données à caractère personnel », toute information se rapportant à une personne physique identifiée ou identifiable (ci-après dénommée « personne concernée ») ; est réputée être une « personne physique identifiable » une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu'un nom, un numéro d'identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale ; ».
La définition des « personnes concernées » apportée par le RGPD paraît minimaliste et la permanence de cette situation, comme son historique, écarte toute idée de carence involontaire.
Une définition minimaliste du RGPD . – La définition de la personne concernée apportée par le règlement général sur la protection des données dans le silence des textes français est la suivante : une personne physique identifiée ou identifiable à laquelle se rapportent des données, c'est-à-dire toute information à caractère personnel.
On notera tout d'abord que seules sont concernées les personnes physiques. Les personnes morales étant exclues du champ d'application de cette législation protectrice.
Une exception toutefois : le traitement de données d'une personne morale peut faire l'objet de l'exercice des droits d'une personne physique, lorsque les données personnelles de cette dernière figurent parmi celles d'une personne morale (essentiellement les informations personnelles relatives aux représentants d'une personne morale).
Pour le reste, cette imprécision est étonnante, alors qu'à bien la considérer, cette définition, bien que primordiale, n'est pas évidente. Elle est ainsi abandonnée à la jurisprudence, c'est-à-dire confiée à l'appréciation souveraine des juridictions.

Seules sont concernées les personnes physiques. Les personnes morales sont exclues du champ d'application de cette législation.

– Des définitions jurisprudentielles des personnes concernées. – Ainsi, cette imprécision étant ancienne, dès avant l'entrée en vigueur des récentes dispositions le Conseil d'État a eu à statuer sur l'octroi du statut de « personne concernée » dans diverses espèces :
Dans une espèce de 2011 CE, 29 juin 2011, no 339147, Cts A. , le Conseil d'État avait décidé que des héritiers « devaient être regardés, en leur qualité d'ayants droit héritant des soldes des comptes bancaires de leur tante, comme des personnes concernées au sens de l'article 39 de la loi du 6 janvier 1978 » (dans sa rédaction de l'époque) pour l'accès au fichier Ficoba Ouvert, depuis l'article L. 151, B, 1, alinéa 2 du Livre des procédures fiscales (issu de la loi no 2014-617 du 13 juin 2014), aux ayants droit en vue du règlement d'une succession. .
À l'inverse, en 2016, le même Conseil d'État CE, 10e et 9e ss-sect. réunies, 8 juin 2016, no 386525, Mme D. : RLDI 1er nov. 2016, no 131, note P.-D. Vignolle. avait décidé qu'« il résulte de ces dispositions [articles 2 et 39 de la loi informatique et libertés dans leur rédaction du 7 août 2004 au 25 mai 2018] qu'elles ne prévoient la communication des données à caractère personnel qu'à la personne concernée par ces données ; qu'il suit de là que c'est à bon droit que la présidente de la Cnil, qui avait reçu délégation pour prendre la décision attaquée, a confirmé le refus opposé par la Banque de France à Mme et MM. D…, qui ne pouvaient, en leur seule qualité d'ayants droit, être regardés comme des « personnes concernées » » pour obtenir d'un employeur la communication du relevé des appels téléphoniques passés par une défunte depuis sa ligne professionnelle, dans le but de déterminer le nombre et la durée des échanges qu'elle avait eus avec le corps médical avant son décès.
Et dans le même sens, en 2017, le Conseil d'État, dans la même formation CE, 10e et 9e ss-sect. réunies, 7 juin 2017, no 399446, M. A.B. avait décidé, statuant sur la demande d'héritier d'une personne décédée dans un accident de voiture, que « la seule qualité d'ayant droit d'une personne à laquelle se rapportent des données ne confère pas la qualité de « personne concernée » par leur traitement au sens des articles 2 et 39 de la loi du 6 janvier 1978 », mais que « lorsque la victime a engagé une action en réparation avant son décès ou lorsque ses héritiers ont ultérieurement eux-mêmes engagé une telle action, ces derniers doivent être regardés comme des « personnes concernées » au sens des articles 2 et 39 de la loi du 6 janvier 1978 pour l'exercice de leur droit d'accès aux données à caractère personnel concernant le défunt, dans la mesure nécessaire à l'établissement du préjudice que ce dernier a subi en vue de sa réparation et pour les seuls besoins de l'instance engagée ».
Sur ces trois seuls exemples, on comprend la difficulté d'un législateur à inscrire dans un texte précis une règle satisfaisante. La tentation était donc grande de donner au juge une grille d'appréciation, pour lui permettre de déterminer le périmètre de cette législation, avec toutefois les risques de divergences nationales que cela implique, tempérées par les mécanismes de convergence prévus par le RGPD PE et Cons. UE, règl. (UE) no 2016/679, 27 avr. 2016, consid. 2 et art. 63 et s. et de renvoi préjudiciel à la Cour de justice de l'Union européenne, lorsque les juridictions nationales y recourent. Les tribunaux définiront ainsi les personnes concernées, titulaires de protections instituées, et finalement le périmètre de cette législation elle-même.
Cette question est d'autant plus sensible lorsque l'on considère en outre que les dispositions françaises de cette législation s'appliquent lorsqu'une personne concernée réside en France, quel que soit le lieu d'établissement du responsable de traitement L. no 78-17, 6 janv. 1978, art. 3, II. . Ainsi l'incertitude de la définition, ajoutée à celle de la législation nationale à appliquer, est source d'insécurité juridique.
Après avoir défini les acteurs et objets du droit de la protection des données personnelles, le RGPD a posé des principes et conditions au traitement de ces données.