Protection de la vie privée et des données personnelles
Exposé des motifs
1. Le droit au respect de la vie privée et familiale est garanti par l'article 8 de la Convention européenne des droits de l'homme. Ce droit a ensuite été interprété par la jurisprudence de la Cour, et complété et renforcé par la Convention 108.
2. La notion de vie privée ne se prête pas à une définition exhaustive. La Cour a souligné que l’article 8 englobe un large éventail d’intérêts, et notamment le droit au respect de sa vie privée et familiale, de son domicile et de sa correspondance, y compris par courrier électronique, téléphone et courriels sur le lieu de travail. Le droit au respect de la vie privée fait référence au droit de la personne à son image, par exemple au moyen de photographies ou de clips vidéo. Il englobe aussi le droit à l'identité et au développement personnel, le droit de nouer et de développer des relations avec ses semblables. Les activités de nature professionnelles ou commerciales sont également incluses.
3. De nombreuses activités des utilisateurs d’internet impliquent une forme ou une autre de traitement automatisé des données à caractère personnel, et notamment : l’utilisation de navigateurs, du courrier électronique, de la messagerie instantanée ou de la téléphonie sur internet, de protocoles, des réseaux sociaux, des moteurs de recherche ou de services de stockage de données «dans les nuages» («cloud computing»). La Convention 108 couvre toutes les opérations effectuées sur internet, comme la collecte, le stockage, l’altération, l’effacement, et la récupération ou la diffusion de données à caractère personnel.
4. Il existe des règles et des principes qui doivent être respectés par les pouvoirs publics et par les entreprises impliquées dans le traitement des données à caractère personnel. Il est nécessaire que l’utilisateur soit conscient et comprenne quelles sont les données personnelles traitées et comment, et s’il peut prendre des mesures à ce sujet, par exemple pour demander la rectification ou la suppression des données. En vertu de la Convention 108, les données à caractère personnel doivent être obtenues et traitées loyalement et licitement, et enregistrées pour des finalités déterminées et légitimes. Elles doivent être adéquates, pertinentes et non excessives par rapport aux finalités pour lesquelles elles sont enregistrées, exactes et si nécessaire mises à jour, conservées sous une forme permettant l'identification des personnes concernées pendant une durée n'excédant pas celle nécessaire aux finalités pour lesquelles elles sont enregistrées.
5. L’accent est placé sur deux principes spécifiques du traitement des données personnelles: la licéité du traitement et le consentement [explicite] de l’utilisateur. L’utilisateur doit être informé que les données ne peuvent être traitées que dans les cas prévus par la loi ou auxquels il a consenti, par exemple en acceptant les conditions d’utilisation d’un service sur internet.
6. Le consentement libre, spécifique, éclairé et explicite (non-équivoque) de la personne concernée pour le traitement de ses données sur internet est actuellement en discussion en vue de son intégration dans la Convention 108. Le consentement éclairé est évoqué dans la Recommandation CM/Rec(2012)4 du Comité des Ministres aux Etats membres sur la protection des droits de l'homme dans le cadre des services de réseaux sociaux. Les services de réseaux sociaux, en particulier, devraient demander le consentement éclairé des utilisateurs lorsqu'ils souhaitent diffuser ou partager leurs données avec d'autres catégories de personnes ou d'entreprises ou les utiliser à des finalités autres que celles spécifiées lors de leur collecte initiale. Pour obtenir le consentement des usagers, ils devraient pouvoir obtenir qu’ils consentent à élargir l'accès par des tiers à leurs données personnelles (par exemple, lorsque des applications tierces sont exploitées sur le réseau social). De la même façon, les utilisateurs devraient pouvoir retirer leur consentement.
7. Il est important de noter la Recommandation CM/Rec(2010)13 du Comité des Ministres aux Etats membres sur la protection des personnes à l’égard du traitement automatisé des données à caractère personnel dans le cadre du profilage. Il s’agit en l'occurrence d’une technique de traitement automatisé des données qui consiste à appliquer un «profil» à une personne physique, notamment afin de prendre des décisions à son sujet ou d'analyser ou de prévoir ses préférences, comportements et attitudes personnels. Par exemple, les données personnelles d'un usager d'internet peuvent être collectées et traitées dans le contexte de son interaction avec un site web ou une application ou encore dans celui des activités de navigation au fil du temps sur différents sites (par exemple, en collectant des informations sur les pages et contenus visités, l'heure des visites, l'objet des recherches, ce qui a été cliqué). Les « cookies » sont l'un des moyens employés pour suivre les activités de navigation des usagers, en stockant et récupérant des informations sur un périphérique de ce dernier. La Recommandation envisage le droit des utilisateurs d’internet à donner leur consentement pour l’utilisation des données à caractère personnel aux fins de profilage, ainsi que le droit de retirer leur consentement.
8. Le droit à l’information des utilisateurs d’internet concernant le traitement de leurs données personnelles est mentionné dans plusieurs instruments du Conseil de l’Europe. La Convention 108 prévoit que la personne concernée puisse connaître l’existence du traitement de ses données personnelles par toute personne physique ou morale, les principales finalités du traitement, ainsi que l'identité et la résidence habituelle ou le principal établissement de l’entité de traitement, et obtenir à des intervalles raisonnables et sans délais ou frais excessifs la confirmation de l'enregistrement ou non de données à caractère personnel la concernant ainsi que la communication de ces données sous une forme intelligible.
9. Il est également fait référence à l’information des utilisateurs dans la Recommandation CM/Rec(2012)4 du Comité des Ministres aux Etats membres sur la protection des droits de l'homme dans le cadre des services de réseaux sociaux. Les utilisateurs d’internet sur les réseaux sociaux devraient être informés dans un langage clair et compréhensible de tout changement apporté aux conditions générales d’utilisation des services des fournisseurs. Cela concerne d’autres actions, comme l’installation d’applications tierces qui comportent un risque pour le droit au respect de la vie privée des utilisateurs ; la loi qui s'applique aux services des réseaux sociaux et au traitement de leurs données à caractère personnel ; les conséquences d’un accès illimité à leurs profils et communications (dans le temps et géographiquement), en particulier en expliquant clairement la différence entre communication privée et communication publique, ainsi que les conséquences de rendre une information publiquement disponible, y compris l'accès sans restriction à leurs données par des tiers ; et la nécessité d'obtenir le consentement préalable d'autres personnes avant de publier des données à caractère personnel sur elles, y compris des contenus audio et vidéo, dans les cas où ils ont élargi l'accès des informations au-delà du cercle restreint des contacts qu'ils ont eux-mêmes sélectionnés. Les utilisateurs d’internet doivent aussi recevoir des informations spécifiques sur la logique qui sous-tend le traitement des données à caractère personnel pour son profilage et les finalités du profilage.
10. Les utilisateurs d’internet devraient pouvoir exercer un contrôle sur leurs données personnelles, comme l’expose la Convention 108, et notamment faire valoir leur droit de rectification de ces données ou leur effacement lorsqu'elles ont été traitées en violation des dispositions du droit, et leur droit de disposer d’un recours s'il n'est pas donné suite à une demande de confirmation ou, le cas échéant, de communication, de rectification ou d'effacement, comme évoqué précédemment.
11. La Recommandation CM/Rec(2012)3 du Comité des Ministres aux Etats membres relative à la protection des droits de l'homme dans le contexte des moteurs de recherche fait référence à plusieurs mesures que peuvent prendre les fournisseurs pour protéger la vie privée de leurs utilisateurs. Cela inclut la protection des données à caractère personnel contre tout accès illicite de tiers à ces dernières et des mécanismes appropriés de notification des cas de violation de sécurité des données. Ces mesures devraient comprendre le cryptage de bout en bout (end-to-end) des communications entre utilisateurs et fournisseurs de moteurs de recherche. La corrélation croisée des données provenant de différents services/plateformes appartenant à un fournisseur de moteurs de recherche ne doit être possible que sous réserve d'un consentement non-équivoque de l'utilisateur pour ce service particulier. Les utilisateurs doivent pouvoir avoir accès, corriger ou effacer les données les concernant qui ont été collectées pendant l'utilisation des services, y compris tout profil créé à des fins de marketing direct par exemple.
12. Les réseaux sociaux devraient aussi apporter leur aide aux utilisateurs pour la gestion et la protection de leurs données, en particulier au moyen de :
- la configuration des paramètres par défaut de leur profil, pour limiter l’accès de tiers à des contacts qu’ils ont eux-mêmes identifiés et sélectionnés. Cela inclut des réglages de leurs paramètres et la sélection du niveau d’accès public à leurs données ;
- la protection élevée des données sensibles, comme l’accès aux données biométriques ou à la reconnaissance faciale qui ne devrait pas être activé par défaut ;
- la protection des données à caractère personnel contre tout accès illicite par des tiers, y compris des mesures de cryptage de bout en bout (end-to-end) des communications entre l'utilisateur et les réseaux sociaux. Les utilisateurs devraient être informés des violations de la sécurité de leurs données à caractère personnel afin qu'ils puissent prendre des mesures préventives, comme changer leur mot de passe et surveiller de près leurs opérations financières (par exemple, lorsque les réseaux sociaux disposent de leurs informations bancaires ou des numéros de leur carte de crédit) ;
- le respect de la vie privée dès la conception («privacy by design»), qui concerne la nécessité de protéger les données à caractère personnel dès la phase de conception de leurs produits ou services et d’évaluer en permanence les incidences sur la vie privée de toute modification apportée à des services existants ;
- la protection des personnes qui n'utilisent pas les réseaux sociaux, en s'abstenant de collecter et de traiter leurs données à caractère personnel et leurs données biométriques. Il importe que les utilisateurs soient conscients de leurs obligations à l'égard d'autres personnes et, tout particulièrement, du fait que la publication de données à caractère personnel de tiers devrait respecter les droits de ces derniers.
13. Avant la clôture de leur compte, les utilisateurs devraient être en mesure de transférer, aisément et librement et dans un format exploitable, les données qu'ils ont téléchargées vers un autre service ou un outil périphérique. Une fois la résiliation validée, toutes les données relatives à l'utilisateur du compte concerné devraient être définitivement supprimées du support de stockage du service de réseau social. De plus, les utilisateurs d’internet devraient avoir la possibilité de faire des choix éclairés sur leur identité en ligne, y compris, l’utilisation d’un pseudonyme. Lorsqu'un service de réseau social exige une identité réelle pour s'enregistrer sur son site, la diffusion de l'identité des utilisateurs sur internet devrait être facultative. Cela n'empêche pas pour autant les autorités chargées de l'application de la loi d'avoir accès à la véritable identité d'un internaute lorsque cela s'avère nécessaire, et sous réserve de conformité aux garanties juridiques appropriées garantissant le respect des droits et des libertés fondamentales.
14. Dans le cadre du profilage, l’utilisateur devrait pouvoir s’opposer à l’exploitation de ses données personnelles aux fins de profilage et s’opposer à une décision produisant des effets juridiques à son égard ou l’affectant de manière significative prise sur la seule base d’un profilage, à moins que la loi l’autorise et précise les mesures garantissant la sauvegarde de l’intérêt légitime de la personne concernée, notamment en lui permettant de faire valoir son point de vue et à moins que la décision ait été prise dans le cadre de l’exécution d’un contrat auquel la personne concernée est partie et que les mesures garantissant la sauvegarde de l’intérêt légitime de la personne concernée soient mises en place.
15. Les droits des usagers d'internet ne sont pas absolus d’où le libellé «en règle générale» au troisième sous-paragraphe. Des restrictions sont autorisées lorsqu’elles sont prévues par la loi et constituent une mesure nécessaire dans une société démocratique : (a) à la protection de la sécurité de l'État, à la sûreté publique, aux intérêts monétaires de l'État ou à la répression des infractions pénales ; et (b) à la protection des personnes concernées ou des droits et libertés d’autrui. Des restrictions à l'exercice des droits peuvent être prévues par la loi pour les fichiers automatisés de données à caractère personnel utilisés à des fins de statistiques ou de recherches scientifiques, lorsqu'il n'existe manifestement pas de risques d'atteinte à la vie privée des personnes concernées.
16. L'interception concerne l'écoute, le contrôle ou la surveillance du contenu des communications, et l'obtention du contenu soit directement au moyen de l'accès au système informatique et de son utilisation, soit indirectement, au moyen de l'emploi de dispositifs d'écoute. L'interception peut aussi consister en un enregistrement des données.68 Le droit au respect de la confidentialité de sa correspondance et de ses communications est garanti par l'article 8 de la CEDH, qui a été par la suite interprété par la Cour européenne des droits de l’homme. Le concept de correspondance couvre les courriels et les télécommunications, ainsi que les courriels envoyés dans le contexte professionnel. Il faut espérer que l’interprétation va évoluer pour rester en phase avec des progrès technologiques qui pourraient faire entrer dans la sphère de la protection de l’article 8 d’autres formes de communication sur internet, comme les courriels (dans un contexte plus large), la messagerie instantanée et d’autres encore.
17. Certains des principes généraux affirmés dans la juridiction de la Cour concernant l’interception et la surveillance des communications dans des affaires en relation ou pas avec internet et impliquant des ingérences par les pouvoirs publics sont mentionnés ci-dessous. Ces principes fournissent des orientations générales et des références en vue d’une future éventuelle application aux communications par internet.
18. L’interception de la correspondance et des télécommunications constitue une ingérence dans le respect au droit de la vie privée et est soumise aux conditions prévues à l’article 8, paragraphe 2 de la CEDH. L’existence même d’une législation permettant la surveillance des télécommunications peut être considérée comme une ingérence dans le droit à la vie privée. Une loi qui institue un système de surveillance, en vertu duquel tous les individus dans le pays peuvent être concernés par une surveillance de leurs courriels et télécommunications, touche directement tous les utilisateurs ou utilisateurs potentiels des services postaux et de télécommunication nationaux. La Cour a donc accepté que, dans certaines conditions, un individu puisse se prétendre victime d’une violation occasionnée par la simple existence de mesures secrètes ou d’une législation les permettant, sans devoir alléguer qu’il a lui-même fait l’objet de telles mesures.
19. L’interception doit respecter les principes de la base légale et être nécessaire dans une société démocratique dans l’intérêt de la sûreté publique, du bien-être économique du pays, de la défense de l'ordre et de la prévention des infractions pénales, de la protection de la santé ou de la morale, ou de la protection des droits et libertés d'autrui, comme prévu à l’article 8 de la CEDH. La Cour européenne des droits de l'homme a développé les principes généraux ci-après établissant les exigences auxquelles doit satisfaire la législation prévoyant des mesures de surveillance des correspondances et des communications par les autorités publiques.
- Prévisibilité – La loi doit être accessible à l'intéressé qui doit pouvoir prévoir les conséquences de son application à son cas. La loi doit user de termes assez clairs et précis pour indiquer de manière adéquate aux citoyens en quelles circonstances et sous quelles conditions elle habilite les autorités à recourir à une ingérence secrète et potentiellement dangereuse dans le droit au respect de la vie et de la correspondance privées.
- Garanties minimales pour l’exercice du pouvoir discrétionnaire par les pouvoirs publics – La loi doit contenir des dispositions détaillées sur (i) la nature des infractions susceptibles de donner lieu à un mandat d'interception ; (ii) la définition des catégories de personnes susceptibles d'être mises sur écoute ; (iii) la fixation d'une limite à la durée de l'exécution de la mesure ; (iv) la procédure à suivre pour l'examen, l'utilisation et la conservation des données recueillies ; et (v) les précautions à prendre pour la communication des données à d'autres parties ; et les circonstances dans lesquelles peut ou doit s'opérer l'effacement ou la destruction des enregistrements.
- Contrôle et réexamen par des autorités compétentes – La Cour requiert l’existence de garanties adéquates et suffisantes contre les abus.
20. La jurisprudence de la Cour en matière de vie privée sur le lieu de travail a estimé que les appels téléphoniques passés par un employé sur le lieu de travail sont couverts par le droit au respect de la vie et de la correspondance privée. Les courriels envoyés du lieu de travail ainsi que les informations découlant de la surveillance de l'usage qu'une personne fait de l'internet devraient être protégés en vertu de l’article 8 de la CEDH. En l’absence d’une mise en garde de possible surveillance en la matière, l’employé peut attendre de manière raisonnable que sa vie privée soit respectée en ce qui concerne les appels téléphoniques, les courriels et l’usage d’internet sur le lieu de travail.75 L’utilisateur peut obtenir de l'aide auprès des autorités de protection des données, ou d’autres autorités compétentes dans les Etats membres.
21. Les autorités de protection des données, qui existent dans la plupart des pays européens, ont un rôle essentiel d’investigation, d’intervention, de sensibilisation ou plus généralement dans la réparation de l’ingérence dans le traitement des données personnelles. Ceci indépendamment du rôle premier de l’Etat de garantir la protection des données à caractère personnel dans le cadre plus large de leur obligation de protéger le droit au respect de la vie privée et familiale.
Texte intégral de l’ Exposé des motifs..
« Toute personne a droit à la liberté d’expression »
Art. 10 de la Convention européenne des droits de l’homme