• Home  / 
  • DELIBERATION 94-095

DELIBERATION 94-095

By Thiébaut Devergranne / 5 years ago

La Commission Nationale de l'Informatique et des Libertés,

Vu la Convention n° 108 du Conseil de l'Europe pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel ;

Vu la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, ainsi que son décret d'application n° 78-774 du 17 juillet 1978 ;

Après avoir entendu Madame Louise CADOUX, Vice-président délégué, en son rapport et Madame Charlotte-Marie PITRAT, Commissaire du Gouvernement en ses observations ;

ADOPTE le rapport et les conclusions, annexés à la présente délibération, portant sur la proposition modifiée de directive du Conseil de l'Union européenne relative à la protection des personnes physiques à l'égard des traitements des données à caractère personnel et à la libre circulation de ces données.

Rapport sur la proposition modifiée de directive du Conseil de l'Union européenne relative à la protection des personnes physiques à l'égard des traitements des données à caractère personnel et à la libre circulation de ces données.

La CNIL estime, au stade actuel des travaux engagés sur la proposition de directive, devoir examiner les deux questions suivantes :

- la voix et l'image doivent-elles être incluses dans la définition des "données personnelles" prévue à l'article 2 a) de la proposition de directive ?

- les dérogations ménagées par la proposition de directive sont-elles acceptables ?

Sur l'inclusion dans la directive de la voix et de l'image :

1 - La définition de la notion de "données à caractère personnel", notion contenue dans le titre même de la proposition de directive, est apportée à l'article 2 du texte européen. Il s'agit de "toute information concernant une personne identifiée ou identifiable" ; le texte poursuit : "est réputée identifiable une personne qui peut être identifiée, directement ou indirectement, notamment par référence à un numéro d'identification ou à un ou plusieurs éléments spécifiques, propres à son identité physique, physiologique, psychique, économique, culturelle ou sociale".

Ce texte est plus précis, on le soulignera, que le texte de la convention 108 qu'applique la France depuis le 1er octobre 1985, dont l'article 2 concernant les définitions, se bornait à disposer : "Aux fins de la présente convention : a) "Données à caractère personnel signifie : toute information concernant la personne physique identifiée ou identifiable ...".

Dans aucun de ces textes, la terminologie de la loi française "informations nominatives", n'est reprise. Mais, qu'il s'agisse "de données personnelles" ou d"'informations nominatives", on voit bien que les rédacteurs de ces trois textes n'ont pas voulu s'arrêter aux adjectifs, qu'ils ont éprouvé le besoin d'éclairer le lecteur par des définitions qui ont ceci en commun qu'elles se référent à la donnée ou l'information identifiant ou permettant, même indirectement, l'identification des personnes.

2 - L'image ou la voix d'une personne répondent-elles, par elles-mêmes, à cette définition ?

Il est clair que, dans la pensée des auteurs de tous ces textes, il n'est pas nécessaire d'avoir identifié une personne, d'avoir mis un nom sur la photo d'un visage ou sur une séquence vocale, pour entrer dans le champ d'application de ces dispositions. Plus même que la loi française ou la convention 108, la proposition de directive en se référant à l'identité physique de la personne prend le parti d'inclure les critères biométriques dans l'identification des personnes.

Ajoutons que si la photographie, de face et/ou de profil, permet déjà d'identifier une personne et de détecter des usurpations d'identité, (c'est le cas de l'utilisation de cartes d'identité perdues ou volées), l'image vidéo ou l'image animée le permettent mieux encore.

Entrent en ligne de compte différents facteurs sociaux : le degré de célébrité de la personne concernée : un homme politique, une vedette du monde du spectacle, sera identifiée par un grand nombre de personnes, quand pour l'homme de la rue, son visage, sa voix, ne seront identifiés, mais au moins le seront-ils, que par le cercle de sa famille, ses relations de travail, de loisirs, son quartier ou son village. De toute manière, il n'est pas nécessaire pour identifier une personne d'associer formellement un visage et un nom.

3 - Le tout numérique qui nous est promis pour le tournant du siècle nous envahira d'une profusion d'images et de sons : ubiquité, instantanéité, diffusion, seront les maîtres mots de cette société de l'information appelée de leurs voeux par les instances politiques les plus diverses.

Cette société proposera des images et des sons à profusion car elle disposera des supports techniques nécessaires : accroissement de la puissance de calcul des matériels et de transfert des signaux, logiciels de traitement, de stockage et de reconnaissance des visages et de la voix, parmi d'autres ; la numérisation de l'image et de la voix désormais à portée de main, en temps réel et en mode interactif, permettra d'offrir des services multimédia, où chacun dans son foyer, dans l'entreprise, sur ses lieux de détente, deviendra un acteur, cessant d'être la personne dont on ne traite que les données d'identification ou descriptives courantes que sont le nom, l'adresse, l'appartenance à une catégorie socio-professionnelle.

Or, pour un informaticien, une image numérisée ou une voix numérisée constituent des données qu'il est possible de traiter en ordinateur à l'égal d'un fichier de caractères alphanumériques.

Traitant de la voix et de l'image des personnes, une vigilance particulière devra s'exercer sur ces données, notamment, en raison de la très grande facilité d'altération de ces données : techniques du morphing, de l'incrustation, du mixage des sons/images réels et des sons/images de synthèse ou virtuels, assemblages, effets spéciaux de toute nature qui permettront le truquage des données dès leur capture ; choix des algorithmes de compression .... Le devoir pour les responsables de traitements d'assurer la sécurité des données deviendra d'autant plus impérieux. Pour les personnes elles-mêmes, les droits d'information, d'accès, d'opposition et, d'une manière générale, les droits que leur accordent les législations de protection des données autour du principe de finalité et des règles de communication des données à des tiers, par exemple, constituent la garantie la plus importante que les personnes garderont la maîtrise du traitement de leurs données.

Dans le paragraphe que consacre le rapport Théry sur les autoroutes de l'information à la protection de la vie privée, et évoquant tout spécialement la loi du 6 janvier 1978, on relève "Le passage des services télématiques aux services multimédia ne change pas la nature du problème-même s'il est appelé à changer de dimension".

Sur les dérogations admises par la proposition de directive aux principes de protection des données personnelles :

Par rapport au texte du 18 avril 1994, la dernière version obtenue, comporte, de l'avis de la Commission nationale de l'Informatique et des Libertés, des améliorations sur les points suivants :

1° la nouvelle rédaction des Considérants 8 bis, 9 et 10, est de nature à rassurer l'Assemblée nationale (résolution du 25 juin 1993), le Sénat (résolution du 20 mai 1994), la Commission consultative des Droits de l'Homme (avis du 22 septembre 1994) et la CNIL elle-même dans les nombreuses notes qu'elle a rédigées, sur le principe du maintien par le texte de la directive du niveau de protection atteint par la loi française.

Il convient de se rappeler ici que la Cour de Luxembourg donne aux Considérants d'un texte communautaire une portée plus étendue que ne le fait notre jurisprudence nationale. En droit communautaire, les Considérants tirent leur force des méthodes d'interprétation de la Cour, dans la mesure où cette juridiction y recherche l'intention des rédacteurs et le contexte de l'élaboration du texte de manière à dégager l'effet utile à donner au traité. Or l'article F.2 du traité sur l'Union européenne, dit traité de Maastricht, précise bien que "l'Union européenne respecte les droits fondamentaux, tels qu'ils sont garantis par la convention européenne de sauvegarde des droits de l'homme signée à Rome le 4 novembre 1950, et tels qu'ils résultent des traditions constitutionnelles communes des Etats membres, en tant que principes généraux du droit communautaire.

Les 2 Considérants 8 bis et 9, à l'évidence fruit d'un compromis, doivent faire l'objet d'une lecture globale. On doit, de l'avis de la Commission, en tirer les deux idées suivantes : après référence explicite dans le texte à l'article 8 de la convention européenne de sauvegarde des droits de l'homme, il est spécifié que le rapprochement des législations nationales "ne doit cas conduire à affaiblir la protection qu'elles assurent ..." (Considérant 9) ; au moment de la transposition de la directive en droit interne, il est même indiqué qu'"à cette occasion, les Etats membres s'efforceront d'améliorer la protection actuellement accordée par leur législation" (Considérant 8 bis).

Dès lors également, le Considérant 10, qui figurait déjà dans les 9 précédentes versions, trouve maintenant toute sa force, lorsqu'il énonce que "les principes de protection des droits et libertés des personnes, notamment de leur vie privée, ... "concrétisent et amplifient les principes figurant dans la convention du 28 janvier 1981". En outre, la CNIL ne peut être que satisfaite de la référence qui est faite dans ces Considérants, à l'article 8 de la convention européenne de sauvegarde des droits de l'homme.

Pour qu'il ne reste plus une ombre d'inquiétude, peut-être serait-il bon de suggérer à Bruxelles l'inscription, au procès-verbal de la séance examinant les Considérants de la directive, d'une remarque sur la portée des Considérants en droit communautaire.

2° Sur l'article 8 concernant les données sensibles : il est remédié aux deux principales failles relevées par la CNIL dans la version du 18 avril 1994 : au lieu d'être illustrative, et risquer de donner lieu par là à des interprétations différentes d'un Etat membre à l'autre, la liste des données sensibles est limitative et obligatoire (par. 1-1) ; l'exception du par. 2 c), à la règle du consentement qui gouverne, en principe, le recueil des données sensibles, lorsque "le traitement porte sur des données manifestement publiques" concerne désormais "le traitement portant sur des données manifestement rendues publiques par la personne concernée" ; la CNIL avait craint que la précédente rédaction eût pu être interprétée comme voulant se référer à des données "visibles", ce qui n'aurait pas manquer de renvoyer aux données révélant l'origine raciale (couleur de la peau, par exemple), sur lesquelles les personnes n'ont aucune maîtrise.

La Commission ne peut que se réjouir de cette nouvelle rédaction.

3° La CNIL avait dénoncé le fait que les exceptions à certains principes protecteurs posés par la directive (principe relatif à la qualité des données ; droit à l'information, droit d'accès, allégements sur l'obligation de notification des traitements, à la charge du responsable du fichier), soient mentionnées au titre des exceptions au droit d'accès. Cette présentation avait paru fallacieuse, exigeant trop de vigilance de la part du lecteur.

Dans la nouvelle version, les exceptions aux droits prévus dans la directive ou aux devoirs des responsables des traitements, sont regroupées dans un article distinct, intitulé "exceptions et limitations" faisant clairement apparaître l'étendue des dérogations. Si la forme est améliorée, sinon le fond sur lequel la Commission reviendra plus tard, un souci de plus grande clarté et de cohérence devrait conduire à consacrer aux exceptions et limitations une section à part.

4° Le droit d'opposition est désormais consacré, dans l'article 15, alors que nos partenaires étaient hésitants.

Cette consécration s'accompagne d'améliorations réactionnelles de fond dans la mesure où s'ajoute de manière très explicite au droit d'opposition pour des raisons légitimes que connaît notre droit, un droit pour la personne de s'opposer, sans avoir à donner de motifs, à l'utilisation de ses données à des fins de prospection commerciale.

5° La même observation peut bénéficier à l'article 16, relatif aux décisions individuelles automatisées et aux profils, qui était encore récemment en discussion.

6° Sur la notification à la charge du responsable du traitement prévue à l'article 18 de la proposition de directive : la simplification ou l'exonération de notification en faveur "des catégories de traitements dont il est peu probable que, compte tenu des données à traiter, elles portent atteinte aux droits et libertés des personnes concernées", avec une référence, pour tracer la frontière entre traitements à notifier et traitements à exonérer de la notification, aux données sensibles, dont il est question dans le par. 2 de cet article 18 , a cessé d'être une obligation pour les Etats membres ; elle n'est plus qu'une faculté. Votre rapporteur avait souligné que, sous l'empire d'une législation imposant des allégements de notification, n'auraient plus pu être surveillés des traitements que la Commission estime devoir examiner alors même qu'ils ne traitent pas des données sensibles au sens de la directive, ni de la loi du 6 janvier 1978, tels les fichiers bancaires, le traitement des données sociales, les traitements de gestion de personnel, les fichiers fiscaux, de marketing, etc. .... Substituée à l'obligation, la faculté permet de maintenir la loi nationale.

7° Le nouveau texte impose, en son article 19 bis, aux Etats membres de prévoir, dans leur législation, l'examen préalable des "traitements susceptibles de présenter des risques spécifiques liés aux droits et libertés des personnes", sans référence au critère des données sensibles, alors que la version du 18 avril précédemment explorée, n'avait institué qu'une faculté à la charge des Etats et, encore avait-elle recommandé d'user du critère des données sensibles et de procéder à l'examen dans un délai de 2 mois.

Le Considérant 23, qui fait écho à la nouvelle version, et dont il convient de tenir compte, ainsi qu'il a été dit ci-dessus, apporte des compléments utiles sur l'exercice de ce contrôle en spécifiant "qu'à l'issue de cet examen, l'autorité de contrôle peut, conformément au droit national, rendre un avis sur le traitement envisagé" ou même, "l'autoriser".

On remarquera, toutefois, que la proposition de directive offre aux Etats la possibilité de confier, dans certains cas, l'examen des "traitements susceptibles de présenter des risques spécifiques liés aux droits et libertés" à "un détaché" désigné par le responsable du traitement, "qui en cas de doute, doit consulter l'autorité de contrôle". Cette solution, alternative à celle du contrôle exercé par l'autorité de contrôle, inspirée de la pratique allemande, ne pourrait être introduite en droit français que si les conditions de désignation de ce "détaché" - auquel il faudra trouver une autre dénomination ou du moins une autre traduction que celle du texte actuel -, lui assurait un statut d'indépendance.

Des interrogations subsistent, néanmoins, qui mériteraient d'être levées au cours des étapes ultérieures d'élaboration du texte.

1° Vu l'importance des Considérants, déjà soulignée, l'illustration de la notion d'intérêt public important" ne laisse pas d'inquiéter, si elle devait justifier des dérogations à certains principes protecteurs reconnus par la proposition de directive .... Sont ainsi cités comme relevant d'un intérêt public important, par exemple, la santé publique, la sécurité sociale, la recherche scientifique, la statistique publique ..." (Cf. Considérant 17 bis".

2° La Commission craint que l'exigence de finalité ne soit compromise par les termes du Considérant 16 qui paraît admettre que toute donnée, quelle que soit la finalité du traitement considéré, puisse être communiquée à des tiers "à des fins de prospection commerciale ou de recherche", dès lors que les personnes auraient été informées de leur droit d'opposition.

La CNIL qui, par principe, n'admet pas l'utilisation de fichiers publics à des fins de prospection commerciale souhaiterait des apaisements sur ce point.

3° La CNIL avait déploré que la précédente version n'évacue le droit d'accès, et partant de rectification, des informations à fournir à la personne par le responsable du traitement, tant au titre de l'article 11 que de l'article 12.

Désormais l'information sur l'existence d'un droit d'accès est réintégrée dans la liste des informations à donner par le responsable du traitement, ce qui est, certes, un progrès.

Toutefois, cette information, comme l'information sur les destinataires des données et le caractère obligatoire ou facultatif des réponses, sont présentées comme des informations "supplémentaires" qui n'ont à être données que si,"compte tenu des circonstances particulières" de leur collecte, elles sont nécessaires pour assurer la loyauté de leur traitement à l'égard de la personne concernée.

Pour être complètement satisfaisant, le progrès signalé sur la réintégration du droit d'accès dans les informations à donner aux personnes ne devrait pas être subordonné à une condition, pas plus qu'il ne devrait être en quelque sorte compensé par le passage des informations sur les destinataires, dans la catégorie des informations supplémentaires, c'est-à-dire en somme optionnelles pour le responsable du traitement.

4° L'article 14 sur les dérogations devrait être amélioré, au moins sur les deux points suivants :

- les dérogations à l'article 6 relatif à la qualité des données (caractère licite et loyal du traitement, pertinence et exactitude des données collectées, etc. ...), sont trop larges. On peut évidemment imaginer que cette dérogation a pour objet de préserver les pouvoirs des autorités qui peuvent avoir communication de données en application de prérogatives qui leur sont reconnues par certaines législations nationales, comme par exemple, en France, le droit de communication de l'administration fiscale. Ce souci ne justifie pourtant en rien qu'il soit fait exception, dans un Etat de droit, aux principes de licéité des traitements, de pertinence et d'exactitude des données ou de durée de conservation limitée à la réalisation des finalités pour lesquelles elles sont collectées.

- les cas de dérogations vont au-delà de l'article de l'article 9 de la convention 108, alors même que le Considérant 10 de la proposition de directive rappelle qu'elle concrétise et amplifie les principes de Strasbourg. On notera, à côté de la prévention des infractions pénales, l'adjonction des manquements à la déontologie professionnelle, l'intérêt économique et financier important, y compris les intérêts budgétaires et fiscaux, et les missions d'inspection, de contrôle ou de réglementation , même à titre occasionnel.

L'article 4 sur le droit national applicable ne doit pas être absent de ce bilan, bien qu'à proprement parler, il ne traite ni d'exceptions ni de dérogations.

La CNIL a, sur l'article de la proposition de directive, émis le 15 mars 1994, un avis, après avoir recueilli les réflexions d'un groupe de travail constitué en son sein avec le concours d'experts extérieurs ; cet avis concluait à la disjonction de cet article, et à la nécessité, dans la mesure où l'application des règles de droit commun du droit international en matière de conflits de lois ne serait pas satisfaisante, d'utiliser l'article 220 du traité de l'Union européenne, pour édicter, par voie de convention, des règles de conflit de lois appropriées.

Elle notait que l'application de l'article 4, qui retenait pour désigner le droit national, le droit du lieu de l'établissement du responsable du traitement, aurait pour effet de rendre applicables sur le territoire d'un même Etat membre, des normes différentes, empruntées aux divers droits nationaux régissant les activités des divers responsables des traitements. La CNIL ne pensait pas qu'une telle règle pût s'imposer pour l'application du droit pénal non plus que de celles des règles relevant de l'ordre public.

La CNIL prend acte de ce que la proposition de directive, dans la version du 12 octobre 1994, maintient une disposition sur le droit national applicable, tout en remaniant le dispositif : le droit national applicable est désormais celui des activités de l'établissement, ce dernier terme étant pris au sens de l'exercice effectif et réel d'une activité par une installation stable pour une durée indéterminée. (Cf. Considérant 12 bis). Ce nouveau dispositif a pour effet de rapprocher la loi applicable du domicile des personnes concernées et d'éviter les adresses de complaisance. En revanche, il laisse subsister, notamment pour la collecte, le risque signalé de l'application de régimes juridiques différents sur le territoire d'un même Etat.

En outre, ce Considérant précise que lorsqu'un traitement est opéré sur le territoire de plusieurs Etats membres, le responsable doit s'assurer que chacun des établissements respecte les obligations prévues par le droit national applicable à ses activités.

Enfin, il conviendrait de préciser, dans le corps même de l'article 4, d'une part, et ainsi que le précise le Considérant 12 quater, qu'il n'est pas porté atteinte aux règles de territorialité applicables en matière pénale, d'autre part, qu'il n'est pas dérogé aux pouvoirs reconnus à l'Autorité de contrôle par l'article 30-5 de la directive. Cette dernière disposition précise, en effet : "Indépendamment du droit national applicable à un traitement, chaque autorité de contrôle a compétence pour exerce, sur le territoire de l'Etat membre dont elle relève, les pouvoirs dont elle est investie au par. 2", c'est-à-dire les pouvoirs d'investigation, d'intervention, d'ester en justice ... dont la directive prévoit que les Etats membres la dotent.

La CNIL pense qu'une partie de ses arguments ont pu porter et conduire à une certaine amélioration du texte ; le fond de sa critique, toutefois, demeure et elle regrette que la position commune dégagée par les commissaires à la protection des données le 7 juillet dernier et transmise à la Commission n'ait pas été davantage prise en considération. Elle souhaite qu'à tout le moins il soit spécifié que les Etats membres pourraient se voir reconnaître le droit de faire jouer une clause de sauvegarde lorsque, des données collectées sur leur territoire étant transférées pour être traitées par un établissement situé sur le territoire d'un Etat membre de la communauté, un motif d'intérêt public pourrait, de leur point de vue, être invoqué pour obtenir des garanties particulières de la nature de celles qu'offre la loi nationale.

CONCLUSIONS :

1° La CNIL note avec satisfaction que la voix et l'image entrent, par nature, dans la définition des données personnelles, telle que l'a prévue la version du 12 octobre 1994 de la proposition de directive.

2° Elle se félicite des progrès accomplis par le même texte : il résulte désormais clairement des Considérants 8 bis, 9 et 10 et des modifications rédactionnelles d'un certain nombre d'articles admettant des dérogations que, lors de la transposition en droit interne de la directive, le niveau de protection accordée par la loi nationale pourra être préservé sur de nombreux points ; sur d'autres points toutefois, des améliorations restent nécessaires, en particulier sur l'article 4 concernant le droit national applicable et sur l'article 14, afin qu'en tout état de cause le dispositif de la convention 108 ne soit pas entamé.

Compte tenu des progrès déjà réalisés, la CNIL a bon espoir que des solutions pourront être trouvées au stade ultérieur d'examen de la proposition par le Parlement, puis à nouveau par le Conseil des ministres.

About the author

Thiébaut Devergranne

Thiébaut Devergranne est docteur en droit et consultant. Il travaille en droit des nouvelles technologies depuis plus de 10 ans, dont 6 passees au sein des services du Premier ministre. En savoir plus.

Click here to add a comment

Leave a comment: