Protection et partage des données personnelles

Protégé à l’insu de mon plein gré ?

d'Lëtzebuerger Land vom 22.03.2013

Pas plus tard qu’il y a trois semaines, le journal français La Provence a fait sa Une électronique avec un article intitulé : « Marseille : une mère découvre son dossier médical sur internet »1. C’est « sur un lien qui n’était pas sécurisé, (que) cette mère de 37 ans a vu surgir sous ses yeux des informations confidentielles sur la naissance de son fils, aujourd’hui âgé de quatre ans et demi, à l’hôpital Nord, sa santé, les traitements qui lui ont été prescrits le jour de l’accouchement, sa propre sérologie. Elle lira même ‘pâleur cutanée, signe de détresse respiratoire, cyanose du visage, transfert en réanimation’. »

Point n’est besoin de souligner dans un tel contexte la nécessité de la protection des données à caractère personnel, ni d’ailleurs la nécessité du droit de pouvoir apporter certaines corrections à ce qui est publié sur internet ou de faire disparaître certaines choses qui y sont publiées.

D’un autre côté cependant, ceci n’est qu’un aspect des choses, car aujourd’hui l’internaute lambda partage de sa propre initiative chaque jour des dizaines voire des centaines de données à caractère personnel sur Facebook, Linkedin, Twitter et autres.

Faut-il protéger ce même internaute à tout-va contre ce partage des données ? Partagerait-il en fait ces données à l’insu de son plein gré ? Faut-il dès lors le protéger à l’insu de son plein gré ? Lorsque l’on lit les propositions qui sont aujourd’hui faites tant au niveau européen qu’au niveau national en matière de protection des données, on ne peut s’empêcher de le penser ou à tout le moins de se poser la question. Ne sommes-nous pas en réalité en train d’évoluer vers une société protégée à l’insu de son plein gré ?

Beaucoup pensent aujourd’hui qu’il faut ériger le droit à la protection des données, en tant que tel, en droit constitutionnellement protégé à part, et l’idée est en train de faire son chemin à la Chambre des députés2. Dans le cadre de la révision constitutionnelle, le Conseil d’État a proposé d’inscrire un nouvel article 30 dans la Constitution3. Celui-ci énoncerait le droit à la protection des données à caractère personnel. Il préciserait que les données à caractère personnel ne peuvent être traitées que sur base du consentement de la personne concernée ou d’un fondement prévu par la loi.

Si ce texte en lui-même – qui reprend des principes classiques du droit de la protection des données – n’appelle pas d’observations spécifiques, il en va différemment de la question de savoir s’il faut en faire une règle à valeur constitutionnelle. S’il est indéniable en effet, comme le souligne le Conseil d’État, que le droit à la protection des données fait partie des droits essentiels garantissant le respect de la vie privée, il doit être permis de débattre de la question de savoir s’il faut ou non ériger ce droit en droit constitutionnel propre.

L’équation est, me semble-t-il, la suivante : Est-ce que le droit à la protection des données est un droit constitutionnel propre ou s’agit d’une (simple) déclinaison du droit à la vie privée ? Dans le premier cas, la Constitution devrait contenir une dis-position spécifique sur le droit à la protection des données. Dans le second cas, il ne serait pas nécessaire que l’on insère une disposition spécifique dans la Constitution.

S’il est vrai à cet égard qu’une disposition similaire à celle proposée par le Conseil d’État se trouve dans la Charte de l’Union Européenne à l’article 8 de cette charte, il est tout aussi vrai que la protection des données « figure (...) parmi les droits essentiels garantissant le respect de la vie privée » ; elle en fait donc partie, et c’est le Conseil d’État lui-même qui le souligne. Est-il à partir de là encore nécessaire d’en faire un droit constitutionnel propre ? Il doit être permis d’en douter, sachant que les données personnelles sont d’ores et déjà constitutionnellement protégées par le biais du droit à la protection de la vie privée.

Si dès lors la question de la constitutionnalisation de la protection des données risque de ne pas apporter de plus-value, encore faut-il par ailleurs savoir ce qui est réellement aujourd’hui une donnée qui doit être protégée. Il s’agit de l’une des questions qui fait actuellement débat au niveau européen.

Qu’est-ce qui, en 2013, constitue encore une donnée personnelle, qui est à ce titre protégeable et qui doit dès lors l’être. Qu’est-ce qui à l’opposé n’est en cette même année 2013 plus une donnée à caractère personnel, mais une donnée (simple) qui ne mérite à ce titre pas ou plus protection ?

Ce qu’il faut savoir ici c’est que dans sa proposition de règlement sur la protection des données du début de l’année4, la Commission européenne qualifie de donnée à caractère personnel, « toute information se rapportant à une personne concernée ». Cette définition est une définition très large et elle suscite de nouvelles questions de fond. Est-ce qu’une telle définition appréhende encore la réalité d’un monde dans lequel la communication entre individus et groupes d’individus s’est largement déplacée vers les réseaux sociaux du type Facebook, Twitter et Linkedin ? Suffit-il encore dans un monde Facebook – dans lequel beaucoup de personnes mettent l’accent sur le partage de leurs données avec d’autres plutôt que sur la protection de celles-ci – d’axer le débat juridique exclusivement sur l’aspect de la protection des données ? Ne faudrait-il pas, au contraire, élargir le débat en y introduisant aussi le droit au partage des données5 ? Ou à tout le moins le droit au partage de certaines données ?

Même si notre internaute lambda partage aujourd’hui, le plus souvent sans crier gare, ses données ou une bonne partie de celles-ci, le débat sur le droit au partage des données ne sera pas un débat facile, la question de la ligne de séparation entre protection et partage des données restant entière.

Quand sommes-nous dans le cadre de la protection des données ? Quand sommes-nous au contraire dans le domaine du droit au partage des données ? Le débat ne peut par ailleurs pas faire l’économie d’une discussion sur la définition des « données à caractère personnel ». Est-ce que « toute information se rapportant à une personne » constitue encore aujourd’hui une donnée à caractère personnel qui doit être protégée d’un point de vue du droit de la protection des données ?

Faut-il revoir le périmètre de la protection des données ? Que l’on ne se méprenne pas ici sur mes propos. Leur objectif n’est pas de répondre aujourd’hui à toutes ces questions. Leur objectif est plutôt de tenter de contribuer à recadrer quelque peu le débat actuel qui évolue en sens unique et qui, j’en suis convaincu, ignore largement une partie du sujet, celle du partage voulu et volontaire de milliers et de milliers de données sur internet chaque jour.

Et puis, que dire du fameux droit à l’oubli ?

Quel concept magnifique que le droit à l’oubli, diront certains. Quelle chimère que ce droit à l’oubli, ne manqueront pas de rétorquer d’autres.

L’idée à la base du droit à l’oubli est séduisante : aujourd’hui, je fais ce que je veux et je le crie au toit du monde et demain, c’est retour à la case départ, si je veux, et on recommence tout à zéro, et plus personne ne saura plus rien demain de mes faits et méfaits d’hier, si je décide qu’il doit en être ainsi.

Il n’en reste pas moins que ce concept soulève de sérieuses questions. Quel doit être le périmètre d’application du droit à l’oubli par exemple ? S’applique-t-il aussi aux données partagées volontairement ? Quel est son véritable intérêt aujourd’hui, sachant notamment que plus aucun employeur sérieux ne fonde ses décisions en matière d’embauche sur les profils Facebook des candidats ? Comment mettre en œuvre ce droit à l’oubli si les données ont été traitées ou copiées des centaines de fois ou se trouvent dans un public cloud ?

Avant de promettre le droit à l’oubli, il faudrait savoir quel est son domaine d’application, ses conditions et ses limites. Il faudrait par exemple avoir la certitude que les solutions techniques pour le mettre en œuvre existent. Inutile de rajouter que j’ai les plus grands doutes à ce sujet.

Dans le monde offline, le droit à l’oubli n’existe d’ailleurs pas. Pourquoi dès lors l’inventer pour internet ? Certes, dans le monde offline, les choses se savaient en plus ou moins petit comité, tandis qu’online les choses se savent partout et tout de suite. Internet a fait de ses enfants des personnages publics, mais il ne s’agit là pas d’une différence de nature entre le monde online et le monde offline, mais plus simplement d’une différence de degré.

Enfin et pour en terminer avec deux derniers exemples, que feront les historiens dans un monde gouverné par le droit à l’oubli dès lors que souvent l’intérêt historique d’un fait n’apparaît que bien des années plus tard ? Que feront les autorités en charge de la poursuite et de la répression des crimes et délits, si le droit à l’oubli est passé par là ? S’il est vrai que ces deux derniers exemples ne sont sans doute pas les plus parlants, il n’en reste pas moins qu’ils complètent le tableau.

Si j’ai dès lors le plus grands doutes quant au droit à l’oubli, alors même qu’avec la meilleure volonté du monde, l’on n’arrivera pas à se donner les moyens de ses ambitions, je trouve que l’idée plus nouvelle du droit à la suppression mérite d’être creusée, même s’il faudra l’encadrer (dans quels cas l’internaute peut-il agir en suppression ?) et que le concept a aussi ses limites (les copies de données ou informations qui se baladent sur le net ne peuvent être supprimées).

Le droit à la suppression n’est-il pas à internet ce que le procès en calomnie, injure et diffamation est en matière de presse ? En tout cas, l’on pourrait utilement s’en inspirer, et ce quand bien même il existe des différences entre les deux concepts ou groupes de concepts. Par exemple, le droit de réponse se conçoit mal ou plus difficilement sur internet, la suppression n’a guère d’intérêt dans les journaux ou magazines sur papier, ceci dit pour ce qui est des cas d’ouverture du droit à la suppression, l’on pourrait très bien creuser la piste des similitudes avec le droit de la presse.

Le cas marseillais que j’ai mentionné en début d’article pourrait être l’un des exemples-types d’application de ce droit à la suppression. Vouloir réduire le débat des données personnelles 2.0 au seul aspect de la protection maximale d’un maximum de données, c’est en définitive méconnaître une partie des enjeux, surtout qu’il est à parier que le monde virtuel de demain sera encore plus ouvert et partageur que ne l’est celui d’aujourd’hui.

Et, il n’y a aucun doute aujourd’hui que Richard Virenque, le fameux dopé à l’insu de son plein gré de 1998, continuera à faire des émules sur internet en 2013 et au-delà.

L’auteur est avocat à la Cour, professeur invité à l’Université du Luxembourg et commissaire à la Broadband commission for digital development (www.broadband.org).
Jean-Louis Schiltz
© 2017 d’Lëtzebuerger Land