L'évolution des données personnelles

– Les images collectées par drone ou caméra thermique. – L'utilisation de nouvelles méthodes liées au numérique est source de progrès technique pour certains, mais aussi d'inquiétude et de flou juridique pour d'autres. La surveillance par drone en est un exemple. Un drone de surveillance a été mis en place le 18 mars 2020 en pleine crise sanitaire de la Covid-19 sur décision du préfet de police de Paris. Il a collecté des données à caractère personnel, en l'occurrence des images, pour connaître du respect des mesures de confinement. En l'absence de texte réglementaire, une telle utilisation a été interdite par le Conseil d'État CE, ord., 18 mai 2020, n^os 440442 et 440445 (www.conseil-etat.fr/ressources/decisions-contentieuses/dernieres-decisions-importantes/conseil-d-etat-18-mai-2020-surveillance-par-drones">Lien). et condamnée par la Cnil Cnil, 12 janv. 2021, délib. n^o SAN-2021-003. prononçant à l'encontre du ministère de l'Intérieur un rappel à l'ordre pour manquement aux dispositions de la loi Informatique et libertés assorti d'une injonction de mise en conformité www.dalloz-actualite.fr/flash/surveillance-par-drones-rappel-l-ordre-de-cnil#.YAwiC1VKjIU">Lien .

Un autre exemple montre la possibilité du monde judiciaire à sculpter les contours du concept de données à caractère personnel à partir d'une définition large et extensive. Au cours de cette même période de crise sanitaire, des caméras thermiques ont été installées dans les locaux d'une municipalité de l'Essonne, afin de détecter la température corporelle des individus circulant dans les espaces municipaux. Si le degré de température corporel n'a pas été regardé comme une donnée à caractère personnel, en revanche l'image traitée par les caméras thermiques, bien que non enregistrée, a été considérée comme susceptible d'être identifiante CE, 26 juin 2020, n^o 441065 (www.conseil-etat.fr/ressources/decisions-contentieuses/dernieres-decisions-importantes/conseil-d-etat-26-juin-2020-cameras-thermiques-a-lisses">Lien). . Se servant de ce critère, le Conseil d'État a qualifié ces données de données à caractère personnel.

– Le sort des avatars face à la notion de données à caractère personnel. – Quel est le sort réservé aux avatars face à la notion de données à caractère personnel ? La définition de l'avatar est, selon l'Académie française, au sens figuratif, chacune des formes diverses que prend une personne ou une chose. Sur internet, il sert à identifier les utilisateurs d'un service. Définir un avatar sur le plan juridique est une première difficulté. Est-ce le prolongement de soi comme une image projetée E. Goffman, La mise en scène de la vie quotidienne, Paris, Éditions de Minuit, 1973. sur internet, ou un simple personnage ludique ? Certains auteurs voient dans les avatars la figure d'un double numérique, une externalisation de l'identité humaine, un acteur au sein d'un système technique, informationnel et communicationnel qui permet de produire un ensemble de « manifestations » pour soi et pour les autres et d'y laisser des traces ludiques, culturelles et sociales F. Beau et O. Deseilligny, Une figure du double numérique : l'avatar : Hermès, La Revue 2009/1, n^o 53, p. 41-47 (www.cairn.info/revue-hermes-la-revue-2009-1-page-41.htm">Lien) ; V. infra, Commission 1, Partie II, n^o . .

En deux ou trois dimensions, les avatars et autres Bitmojis Bitmojis est la version imaginée par Snapchat ; Avatar est celle imaginée par Facebook. se confondent parfois avec l'identité de l'individu s'il les utilise pour communiquer dans le cadre de sa vie sociale ou professionnelle. Ils expriment alors ce qui anime l'individu, ce qu'il aime ou ce qu'il n'aime pas, ses opinions. Des sites comme Gravatar https://fr.gravatar.com/">Lien proposent de créer un avatar associé à tous les sites sur lesquels l'individu se produira, d'autres comme la messagerie de Yahoo les associent sans le consentement de l'utilisateur à toutes ses adresses e-mail rattachées à la personne.

Une deuxième difficulté vient de ce que, parfois, l'avatar n'appartient pas à l'individu mais à un développeur de jeux en ligne, aux termes d'un contrat avec le joueur M. Tual : Le Monde 21 avr. 2016, à propos de Second Life. Extrait : « Chacun prend sa seconde vie, qui s'étale sur des années, plus ou moins au sérieux. Pour certains, elle représente tout, jusqu'à la mort, bien réelle » – « Les Linden dollars du jeu peuvent être échangés contre les dollars bien réels. L'an dernier, les utilisateurs ont échangé 60 millions de dollars issus de l'économie virtuelle, affirme EbbeAltberg » (président-directeur général de Linden Lab). En 2019, Linden Lab a créé une monnaie, Tilia Pay, pour monétiser les interactions des utilisateurs (www.lemonde.fr/pixels/art./2016/04/28/absurde-creatif-et-debauche-dix-ans-apres-second-life-est-toujours-bien-vivant_4909910_4408996.html">Lien). Pour un développement sur la monnaie virtuelle. . À l'inverse, lorsque l'individu crée son avatar sur des plateformes de réalité virtuelle sociale comme Second Life ou Sansar par exemple, l'avatar peut être une image de synthèse de soi, une projection de soi dans le monde numérique.

Doit-on alors accréditer cette hypothèse et assimiler l'avatar à une donnée à caractère personnel objet de protection ? Cette image de synthèse peut en effet s'apparenter à l'image photographique grâce à laquelle la personne est identifiable sans difficulté.

Enfin, une troisième difficulté apparaît lorsque l'avatar est utilisé pour maquiller son identité.

Il pourrait être admis que l'avatar est une donnée à caractère personnel si sa création par l'individu est réalisée dans le cadre d'une utilisation informationnelle privée ou sociale. La question de sa création pour une utilisation dans le cadre strict des jeux en ligne devrait être traitée à part, l'avatar créé ne permettant pas de manière évidente d'identifier la personne du joueur étant comme une projection de son image réelle. Là encore, rien n'est moins certain. En effet, il n'est pas rare que le joueur soit clairement identifié ou identifiable dans les MMORPG Massively Multiplayers Online Role Playing Game, ancêtre des Multi-Users-Donjons (MUD). , c'est-à-dire les jeux en ligne massivement multijoueur. La qualification de données à caractère personnel de cette projection du monde réel dans le monde virtuel devrait être soumise à l'appréciation des tribunaux, ou l'objet d'une décision législative à l'avenir tant les enjeux sont impactants Sur les avatars, V. infra, Commission 1, Partie II, n^o . .

– L'impossible anticipation de l'évolution numérique. – Aujourd'hui il convient de considérer les données personnelles comme un concept permettant la gestion de l'identité. La définition des données personnelles fournie par les directives européennes est suffisamment extensive pour permettre son adaptation à l'évolution exponentielle du numérique. Cependant, la rapidité du progrès engendré par le numérique dépasse aujourd'hui l'imagination d'hier. Impossible donc pour le législateur de pouvoir anticiper. L'inévitable temps de retard des juristes sur l'évolution numérique oblige les juridictions à se positionner au cas par cas.

Pourtant des solutions d'adaptation existent. Ainsi tout État membre de l'Union européenne est autorisé à étendre la qualification de données à caractère personnel à des données non couvertes par les directives européennes. Cette possibilité a été confirmée par la Cour de justice des Communautés européennes CJCE, 6 nov. 2003, aff. C-101/01, Procédure pénale c/ BodilLindqvis (https://eur-lex.europa.eu/legal-content/FR/TXT/HTML/?uri=CELEX:62001CJ0101&from=EN">Lien). . Pour ce faire, chacun des États concernés doit s'assurer qu'aucune disposition du droit communautaire ne s'y oppose et qu'il légifère en la matière. À défaut de loi, la qualification « de données personnelles » ne peut être retenue, donc protégée.

– Les adresses IP Internet Protocol Address. considérées comme des données personnelles. – Les adresses IP, c'est-à-dire les adresses claires d'identification d'un appareil informatique, ne sont attribuées qu'une seule fois au sein d'un réseau internet. Elles sont constituées d'une partie « réseau » pour l'acheminement et d'une partie « hôte » (l'appareil cible) pour l'attribution spécifique à un ordinateur. Elles constituent sans conteste des données personnelles Cass. 1^re civ., 3 nov. 2016, n^o 15-22.595 : JurisData n^o 2016-022669 ; JCP G 2016, 1310, note R. Perray ; JCP E 2016, act. 888. – CJUE, 19 oct. 2016, aff. C-582/14, Breyer c/ Bundesrepublik Deutschland, pt 38. – Cnil, Groupe de travail « Article 29 », 18 janv. 2005, WP 104, p. 4 et Cnil, Groupe de travail « Article 29 », avis n^o 4/2007, 20 juin 2007, WP 136, p. 18 et 19 (https://cnpd.public.lu/dam-assets/fr/publications/groupe-art29/wp136_fr.pdf">Lien). . Cette opinion est partagée par l'ensemble des Cnil européennes. Si l'on se penche sur ce que représente une adresse IP, la raison paraît évidente. En effet, pour l'envoi d'un e-message, il y a lieu de connaître le pays et la ville du destinataire du message, mais également la rue, le numéro du bâtiment, ainsi que l'étage de l'appartement. Pour que ce e-message atteigne sa destination, l'adresse IP détermine le réseau concerné ainsi que l'appareil cible situé sur le réseau.

– Les cookies ou traceurs. – Le cookie est un traceur de connexion internet. Il est capable d'identifier les sites les plus fréquentés par l'utilisateur et utilise les données ainsi collectées, notamment pour le ciblage publicitaire. Il sait qui nous sommes, nos habitudes, nos souhaits, nos centres d'intérêt. Plusieurs types de traceurs sont répertoriés :

Même si à l'origine les traceurs sont des procédés essentiellement techniques, ils sont considérés comme des données personnelles Cnil, Groupe de travail « Article 29 » sur la protection des données, avis n^o 1/2008 sur les aspects de la protection des données liées aux moteurs de recherche, WP 148, 4 avr. 2008 (https://cnpd.public.lu/dam-assets/fr/publications/groupe-art29/wp148_fr.pdf">Lien). – Dir. (UE) n^o 2002/58/CE, 12 juill. 2002, concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques : JOCE 31 juill. 2002, n^o L 201, p. 37. – CJUE, 1^er oct. 2019, aff. C-673/17, Bundesverband der Verbraucherzentralenund Verbraucherverbände – Verbraucherzentrale Bundesverband eV c/ Planet49 GmbH : JurisData n^o 2019-017045. . La Cnil a publié des lignes directrices en la matière Cnil, délib. n^o 2019-093, 4 juill. 2019, portant adoption de lignes directrices relatives à l'application de l'article 82 de la loi du 6 janvier 1978 modifiée aux opérations de lecture ou écriture dans le terminal d'un utilisateur (notamment aux cookies et autres traceurs) (rect.) : JO 19 juill. 2019, n^o 0166, texte n^o 92 (www.legifrance.gouv.fr/affichTexte.do?cidTexte=JORFTEXT000038783337">Lien). . Elle précise les conditions dans lesquelles le RGPD renforce les droits des internautes sur la maîtrise de leurs données à caractère personnel face aux traceurs en général, partiellement validées par le Conseil d'État CE, 19 juin 2019, n^o 434684, Lignes directrices de la Cnil relatives aux cookies et autres traceurs de connexion (www.conseil-etat.fr/ressources/decisions-contentieuses/dernieres-decisions-importantes/conseil-d-etat-19-juin-2020-lignes-directrices-de-la-cnil-relatives-aux-cookies-et-autres-traceurs-de-connexion">Lien). , à l'exception des cookie walls.

La Cnil a en outre publié une vidéo dédiée à l'effacement des traceurs et propose des outils pour les maîtriser www.cnil.fr/fr/cookies-les-outils-pour-les-maitriser">Lien .