Synthèse de la directive sur les données personnelles

De La Quadrature du Net


Ambox warning red construction.png
⚠ Travail en cours

Cette page présente un contenu en cours de réalisation.

Si vous souhaitez participer, n'hésitez pas à laisser votre avis sur la page de discussion en suivant au mieux ces recommandations.



La réforme européenne du droit de la protection des données personnelles comprend l'adoption :

  • d'un règlement qui encadre les traitements de données personnelles d'une manière générale ;
  • d'une directive sur le traitement de données personnelles par les services de police et la justice.

Cette directive révèle la nouvelle approche du traitement de données dans les secteurs policiers et judiciaires. Cette approche est stratégiquement organisée pour répondre aux besoins et aux exigences des services de renseignement, comme l'a rappelé la chercheure F. Coudert[1]. Cette stratégie prône pour que les bases de données personnelles soient :

  • fusionnées ;
  • traitées de manière à devenir des renseignements ;
  • transférées librement, c'est à dire qu'elles puissent être rendues disponibles sur simple requête.

L'application de cette nouvelle approche implique nécessairement de remettre en question le principe de limitation des finalités, qui est l'essence d'un traitement loyal de données personnelles et de la création en France du droit des données personnelles après l'affaire Safari, qui donna lieu à la rédaction de la loi Informatique et Libertés et la création de la CNIL.

Pour ces raisons, la Quadrature du Net est éminemment inquiétée par l'usage qui sera fait de cette directive et de ses différentes transpositions parmi les États membres.

Génèse[modifier]

Les missions de cette directive ont d'abord été dévolues à la décision-cadre 2008/977/JHA de 2008, mais celle-ci n'a pas permis d'harmoniser les pratiques des États membres. La directive va donc remplacer cette décision. La rédaction de cette directive est fondée sur l'article 16 du Traité sur le Fonctionnement de l'Union européenne (TFUE).

Cet article dispose : « 1. Toute personne a droit à la protection des données à caractère personnel la concernant. 2. Le Parlement européen et le Conseil, statuant conformément à la procédure législative ordinaire, fixent les règles relatives à la protection des personnes physiques à l'égard du traitement des données à caractère personnel par les institutions, organes et organismes de l'Union, ainsi que par les États membres dans l'exercice d'activités qui relèvent du champ d'application du droit de l'Union, et à la libre circulation de ces données. Le respect de ces règles est soumis au contrôle d'autorités indépendantes. Les règles adoptées sur la base du présent article sont sans préjudice des règles spécifiques prévues à l'article 39 du traité sur l'Union européenne. »

Quant à lui, l'article 39 du TUE permet une exception pour les données s'inscrivant dans le troisième pilier du droit européen, c'est à dire s'inscrivant dans la coopération policière et judiciaire en matière pénale.

Pourquoi une directive ?[modifier]

Qu'est ce qui distingue une directive d'un règlement en droit européen ?

Le règlement (regulation en anglais) est applicable directement en droit national. C'est à dire que Alice peut défendre les droits que lui confère un règlement devant un tribunal français.

A l'inverse, la directive est d'application indirecte. C'est à dire qu'elle nécessite que le législateur de chaque Etat membre mette en place des instruments légaux permettant de transposer les droits et obligations développés dans la directive en droit national. Alice ne peut donc pas invoquer qu'une directive devant un tribunal français. Elle peut se fonder sur une directive, mais devra aussi invoquer des instruments existants en droit français (comme une loi ou un décret) pour que sa demande soit recevable.

Comme l'instrument étudié ici est une directive, elle ne fait que mettre en place un niveau minimum et harmonisé de protection. Mais sa transposition a de grandes chances de différer d'un pays à l'autre. Dans tous les cas cette directive sera un frein à l'harmonisation. Une position partagée par la CNIL anglais : « The Information Commissioner's Office is deeply sceptical of this proposal to spilt the current [1995] Directive into a Directive and a Regulation. All sorts of mischiefs follow that decision. »


Notions importantes[modifier]

  • Autorité compétente (competent authority en anglais) : Ce sont les entités européennes dont l'activité est encadrée par cette directive. Elles sont définies comme soit :
    • « toute autorité publique compétente à des fins de prévention et de détection des infractions pénales, d'enquêtes et de poursuites en la matière ou d'exécution de sanctions pénales, y compris la protection contre les menaces pour la sécurité publique et la prévention de telles menaces ; ou
    • tout autre organisme ou entité à qui la législation nationale confie l'exercice de l'autorité publique et de prérogatives de puissance publique à des fins de prévention et de détection des infractions pénales, d'enquêtes et de poursuites en la matière ou d'exécution de sanctions pénales, y compris la protection contre les menaces pour la sécurité publique et la prévention de telles menaces ; »
    • Commentaires :
      • Pour la Quadrature du Net cette définition ne présente pas d'inquiétude.
      • L'article 2 in fine précise que « les institutions, organes, organismes et agences de l'Union » ne peuvent être assimilés à des autorités compétentes.
  • Profilage (profiling) : Cette nouvelle notion est définie comme dans le règlement et recouvre « toute forme de traitement automatisé de données à caractère personnel consistant à utiliser ces données pour évaluer certains aspects personnels liés à une personne physique, notamment pour analyser ou prédire des éléments concernant le rendement au travail, la situation économique, la santé, les préférences personnelles, les intérêts, la fiabilité, le comportement, la localisation ou les déplacements de cette personne ». Aux yeux de la Quadrature du Net cette notion est un danger majeur pour les droits fondamentaux des Européens, comme l'ont souligné E. Massé[2] et l'eurodéputé J. Albrecht[3]. En effet, le profilage constitue un outil très puissant pour les Etats ou les entreprises qui accèdent, collectent ou à qui les données sont transmises. Il peut s'agir, pour une entreprise privée, d'effectuer un profilage des individus, pour mieux connaître leurs habitudes de consommation et davantage cibler ses actions de promotion. Le profilage représente également un intérêt pour les États, à des fins de sécurité publique. Il s'agit ainsi de surveiller une personne ou un groupe de personnes, à partir de leurs données, afin de connaître leurs habitudes de vie, lieux de séjour et déplacements, ainsi que leurs activités et relations internationales. Le profilage doit être interdit s'il est discriminatoire, basé par exemple sur l'origine ethnique ou sur l'opinion d'un utilisateur. Ce n'est pas le cas aujourd'hui, à cause du Conseil de l'UE principalement.

Champ d'application[modifier]

Le champ d'application de cette directive est particulièrement large, incluant la prévention et la détection des infractions pénales et les enquêtes et les poursuites en la matière, permettant la prise de « mesures coercitives, par exemple dans le cadre d'activités de police lors de manifestations, de grands événements sportifs et d'émeutes » (cons. 11bis). Un tel champ d'application pose inévitablement la question du fichage institutionnel, dénoncé par l'Observatoire des Libertés et du Numérique[4] et la Ligue des Droits de l'Homme[5].

En effet, ce champ d'application large comprend les activités pouvant hypothétiquement mener à des activités criminelles. Les personnes se rendant à un match sportif ou une manifestation sont donc privées de la présomption d'innocence, devenue une présomption de culpabilité. Par ailleurs, un fichage aussi large a de lourdes conséquences si les données sont modifiées ou incomplètes, et porte des risques élevés de discriminations.

De plus, le champ d'application de cette directive comprend la prévention d'atteintes à la sécurité publique ainsi que la protection de la sécurité publique (ex. : cons. 5, 7, 11, 11bis, 12, 18, 20bis, 24ter, 25, 33, 43, 45bis, 49bisbis). Cependant, son champ d'application exclut expressément la protection de la « sécurité nationale » (cons. 11ter). Malheureusement la limite entre ces deux notions est ténue et absconse. Un rappel de la définition de ces expressions et la distinction entre les deux auraient gagnés à apparaître dans la directive.

Dans tous les cas, l'invocation de la « sécurité nationale » ou de la « sécurité publique » permet de limiter ou retarder l'information des personnes concernées (cons. 33), voire d'omettre purement et simplement leur information lorsque la « violation de données à caractère personnel est susceptible d'engendrer un risque élevé pour les droits et les libertés d'une personne physique » (cons. 43).

Évolution lors des négociations : Dans sa version antérieure d'octobre 2015 la directive n'a pas exactement le même nom.

Cette directive était alors relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales, ou la protection contre et la prévention d'atteintes à la sécurité publique et à la libre circulation de ces données. La partie en gras a disparu. Pourtant, les dispositions en la matière sont restées. Cela dénote sans doute du malaise à assumer qu'une finalité aussi vaste et floue soit l'un des objectifs de cette directive.

Sécurité des données[modifier]

En terme de sécurité des données personnelles, la directive ne met pas en place des obligations techniques concrètes de sécurisation. Elle ne fait qu'exprimer des voeux pieux.

L'article 27 traite de la sécurité du traitement. Elle doit être adaptée à « la nature, la portée, le contexte et les finalités du traitement ainsi que les risques, dont le degré de probabilité et de gravité varie » et se traduire par des « mesures techniques et organisationnelles appropriées ».

  • La directive ne fait que mentionner le chiffrement des données comme un moyen pour le responsable de traitement ou le sous-traitant de se libérer de leur obligation de prévenir les personnes concernées en cas de violation des données qu'ils traitent (art. 29-3, cons. 41bis).
  • Pour ce qui est de la pseudonymisation, le considérant 38 et l'article 19 prévoient que la pseudonymisation puisse faire partie des mesures de protection des données personnelles. Mais l'efficacité de la pseudonymisation en terme de sécurité est loin d'être prouvée. En effet, les données « pseudonymisées » restent relatives à un individu identifiable, en raison du lien existant entre le pseudonyme et les données d'identification (e. g. nom, prénom, adresse) possédées par l'organisation collectant l'information. En outre, il est extrêmement aisé d'identifier un individu avec relativement peu de données pseudonymisées, comme l'a montré la recherche en matière de ré-identification. Ces recherches ont montré que des informations apparemment anonymes pouvaient être aisément rattachées à la personne qu'elles concernent en étant recoupées à une poignée d'autres informations facilement accessibles ailleurs. Par exemple, par géolocalisation, certaines applications installées sur des smartphones peuvent transmettre à des sociétés la liste des lieux visités par leurs utilisateurs. En principe, ces informations sont transmises de façon « anonyme », de sorte qu'on ne puisse les associer aux personnes qu'elles concernent. Mais l'itinéraire quotidien réalisé par chacun de ces utilisateurs (là où il travaille, là où il déjeune, là où il dort...) est en réalité unique parmi les itinéraires réalisés par tous les autres utilisateurs. Un rapport ainsi été démontré qu'il suffisait de connaître quatre lieux où une personne s'était rendue pour lui rattacher, avec 95% de certitude, la liste « anonyme » des déplacements enregistrés par son téléphone et transmise à ces entreprises. C'est donc plus fiable que vos empreintes, pour lesquelles il faut 12 points pour pour vous identifier avec certitude !
  • Le considérant 38 dispose que le responsable du traitement « devrait » adopter des règles internes.
  • Le même considérant 38, tout comme le considérant 40ter, dispose que les études d'impacts « devraient » être faites et leurs résultats « devraient » être pris en compte. Les études d'impacts sont prévues à l'article 25bis, qui indique que de telles analyses sont importantes lorsque le traitement « est susceptible d'engendrer un risque élevé pour les droits et les libertés » de la personne concernée par les données personnelles. C'est par exemple le cas lorsque le responsable de traitement a « recours aux nouvelles technologies ». Malheureusement cette dernière formulation est imprécise et, de facto, porteuse d'insécurité juridique.
Lorsqu'une étude d'impact existe, le responsable du traitement est obligé de consulter l'autorité de contrôle avant de pouvoir procéder au traitement (art. 26).

« Contrôle d'autorités indépendantes »[modifier]

Le respect des règles prévues par la directive est, en application des articles 16 du TFUE et de l'article 39 du TUE, soumis au contrôle d'autorités indépendantes. La directive prévoit qu'il y ait au moins une autorité par État membre (art. 39), et que cette autorité peut être la même que celle prévue par le règlement (art. 46 du règlement). Dans le cas de la France, cette autorité sera la CNIL. Ces autorités auront pour mission de « protéger les libertés et droits fondamentaux des personnes physiques [...] et de faciliter la libre circulation des données à caractère personnel au sein de l'Union » (art. 29). C'est une mission qui semble antithétique, dans la mesure où protéger les données personnelles implique souvent pour les autorités d'en freiner le transfert, comme l'a rappelé la Cour de justice de l'Union européenne dans son arrêt Schrems du 6 octobre 2015.

Plus précisément, ces missions comptent entre autre :
- un pouvoir d'enquête (art. 46) ;
- un pouvoir de limiter ou interdire un traitement (art. 46) ;
- le pouvoir d'ester en justice (art. 46).

Notons aussi que l'article 25 impose au responsable du traitement et au sous-traitant de coopérer avec l'autorité de contrôle. Ils se verront donc certainement affecter des obligations lors des transpositions nationales.

Quant à l'indépendance de cette ou ces autorités nationales, la directive ne fait que l'évoquer à l'article 40, sans donner de garde-fous concrets (excepté budgétaires) ou de sanctions en cas violations de l'indépendance de son autorité de contrôle par un État membre. A titre d'exemple, l'article 41 dispose que les membres d'une autorité de contrôle peuvent être nommés par le chef d'État du pays. Ces dispositions ne permettent absolument pas de garantir contre les abus de l'exécutif. La Quadrature du Net, ainsi que des experts en la matière comme le Dr. E. Kosta et le Dr. P. de Hert[6], émettent de sérieux doutes quant à l'indépendance réelle dont disposeront ces autorités. Il s'agit donc de mettre les États membres en garde et de les exhorter à prendre des mesures legislatives et règlementaires nationales strictes lors de la transposition, afin de sanctionner les possibles abus des secteurs aussi bien publics que privés.

Par ailleurs, les agences européennes transfèrent des données entres elles (ex : d'Europol à OELA) et se contrôlent entre elles. Mais aucun acteur indépendant n'est chargé de contrôler ces transfers inter-agences. Ce qui pose des problèmes en termes de protection des données aussi bien qu'en termes de possibilités de recours. Vers qui se tourner en cas de plainte portant sur l'un de ces transferts ? La réponse mérite d'être posée selon M. de Hert.

Transferts et échanges de données personnelles[modifier]

D'une manière générale, les dispositions de cette directive encadrant les transferts cristallisent les craintes de F. Coudert[7], en ce qu'elles semblent indiquer que le principe de limitation de la finalité des traitements a disparu. En effet, les articles permettant de déroger aux conditions des transferts peuvent avoir comme finalité le titre de la directive.

Une inquiétude renforcée par le considérant 38, qui invoque la pseudonymisation comme moyen facilitant la libre circulation des données en Europe, alors même que la pseudonymisation est l'un des aspects de la réforme les plus décriés par la société civile (voir paragraphe sur la sécurité).

Les transferts de données personnelles vers des pays tiers et des organisations internationales (OI) forment le cinquième chapitre de la directive. Au sens de ce chapitre (et du règlement général qui accompagne la directive), l'expression « pays tiers » recouvre aussi bien un pays entier qu'un territoire ou un ou plusieurs secteurs déterminés dans ce pays tiers.

Toute autorité compétente peut transférer des données à un pays tiers ou une OI si les conditions de l'article 33 sont respectées :

  • le transfert est nécessaire au sens de l'article 1§1) ;
  • le destinataire des données est un responsable du traitement, agissant dans un pays tiers ou une OI qui a la qualité d'autorité compétente ;
  • pour opérer un transfert ultérieur des données reçues, le pays tiers ou l'OI doit obtenir l'autorisation de l'autorité compétente ayant opéré le transfert initial ;
  • tout transfert est licite au regard de la loi nationale de l'État membre dont proviennent les données. C'est à dire que le droit de l'État membre autorise le transfert ;
    • Le second point de l'article précise qu'il peut être dérogé à cette condition si « le transfert de données à caractère personnel est nécessaire aux fins de la prévention d'une menace grave et immédiate pour la sécurité publique d'un État membre ou d'un pays tiers ou pour les intérêts essentiels d'un État membre et si l'autorisation préalable ne peut pas être obtenue en temps utile. » Cette spécification est dangereuse puisque des notions imprécises comme « les intérêts essentiels » permettent de déroger à la souveraineté d'un État membre. Seul garde-fous, qui n'a aucune valeur pour un petit pays dépourvu d'influence politique : L'autorité compétente qui aurait pu accorder l'autorisation préalable de transfert est informée « sans délai » de la liberté prise par un autre État membre.
  • la Commission a rendu une décision d'adéquation pour le pays tiers ou l'OI (v. art. 34) ou des garanties appropriées (art. 35) existent.
    • Pour rendre une décision d'adéquation la Commission prend en compte le respect des droits de l'homme, l'existence d'autorités de contrôle indépendantes et les engagements internationaux du pays tiers ou de l'OI (art. 34). Une telle décision est réexaminées, au minimum tous les quatre ans (art. 34-3). Dans tous les cas, elle reste libre d'« abroge[r], modifie[r] ou suspend[re] la décision » à tout moment, sans effet rétroactif (art. 34-5).
    • Pour ce qui est des « garanties appropriées », elles sont remplies lorsque le pays tiers ou l'OI dispose d'un « instrument juridiquement contraignant » ou « qu'il existe des garanties appropriées au regard de la protection des données à caractère personnel » (art. 35). Ces directives sont vagues et permettent une implémentation désharmonisée au sein de l'Union.
    • En l'absence de décision d'adéquation et de garanties appropriées, des dérogations peuvent tout de même permettre le transfert (v. art. 36 et 36bisbis). Ces dérogations comprennent les finalités prévues à l'article 1er de la directive, c'est à dire le traitement « à des fins de prévention et de détection des infractions pénales, d'enquêtes et de poursuites en la matière ou d'exécution de sanctions pénales, y compris la protection contre les menaces pour la sécurité publique et la prévention de telles menaces ». Cette dérogation permet donc d'opérer des transferts pour des finalités extrêmement larges, imprécises et imprédictibles. Autrement dit, les dérogations possibles pour les transferts vont à l'encontre du principe de minimisation des données et du principe de finalité.

En d'autres termes, pour qu'un transfert soit possible il s'agit principalement de savoir si :

  • une décision d'adéquation de la Commission a été rendue ;
  • ou si des garanties appropriées existent ;
  • ou si des dérogations existent (art 36 et 36bisbis).

Le troisième point de l'article 33 précise que l'objet de ce chapitre est que « le niveau de protection des personnes physiques garanti par la présente directive ne soit pas compromis ». Cette précision laisse penser qu'une marge de manoeuvre est permise en matière de transferts, tant que la protection des personnes physique ne semble pas mise à mal. Une pert de subjectivité semble pouvoir être admise.

Transferts à des destinataires dans des pays tiers[modifier]

L'article 36bisbis intègre des dérogations supplémentaire, en permettant aux autorités compétentes européennes de transférer des données à une entité autre qu'une autorité compétente, du moment qu'elle respecte ces conditions cumulatives :

  • 1) le transfert est strictement nécessaire à l'exécution de la mission de l'autorité compétente

qui transfère les données ; et

  • 2) les libertés et droits fondamentaux de la personne concernée ne l'emportent pas sur l'intérêt public qui justifie ce transfert ; et
    • Commentaire : Une fois encore, une dérogation intègre une finalité dont les limites sont on ne peux plus incertaines, sonnant le glas du principe de finalité.
  • 3) l'autorité compétente qui transfère estime que ce transfert « à des fins de prévention et de détection des infractions pénales, d'enquêtes et de poursuites en la matière ou d'exécution de sanctions pénales, y compris la protection contre les menaces pour la sécurité publique et la prévention de telles menaces » (art. 1er) à une autorité compétente dans le pays tiers est inefficace ou inapproprié, notamment parce que le transfert ne peut pas être effectué en temps opportun ; et
    • Commentaire : Ces finalités sont excessivement larges et imprécises. De telles dérogations sont très dangereuses.
  • 4) l'autorité compétente dans le pays tiers est informée dans les meilleurs délais, à moins que cela ne soit inefficace ou inapproprié ; et
    • Commentaire : Cette disposition pourra être interprété différemment par chaque État membre. Elle est donc porteuse d'insécurité juridique et d'imprévisibilité.
  • 5) l'autorité compétente qui transfère informe le destinataire des finalités poursuivies.

Références[modifier]

  1. Positions exprimées lors de l'atelier sur l'analyse juridique de la directive sur les données personnelles, organisé par l'Université de Leuven, le 1er février 2016.
  2. Estelle Massé est analyste politique chez Access Now, une organisation membre d'EDRi.
  3. Lors de son webinar avec Max Schrems et Estelle Massé du 9 mars 2016
  4. Intervention (27 min.) sur le fichage institutionnel, par Laurence Blisson, une représentante du Syndicat de la magistrature lors de la conférence de l'Observatoire des libertés et du Numérique (OLN) sur les données personnelles. L'OLN regroupe Amnesty International, le Syndicat de la Magistrature, le Syndicat des Avocats de France, la Ligue des droits de l'Homme, La Quadrature du net et le CECIL.
  5. Livret d'information des citoyens européens, rédigé avec d'autres membres de la société civile européenne. Pour plus d'informations, c'est ici
  6. Positions exprimées lors de l'atelier sur l'analyse juridique de la directive sur les données personnelles, organisé par l'Université de Leuven, le 1er février 2016.
  7. Conclusion de la présentation de F. Coudert sur la directive sur les données personnelles, organisée par l'Université de Leuven, le 1er février 2016.