Allez au contenu, Allez à la navigation

Projet de loi pour une République numérique

6 avril 2016 : République numérique ( rapport - première lecture )

CHAPITRE II - Protection de la vie privée en ligne

Section 1 - Protection des données à caractère personnel
Article 26 (art. 1er de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés) - Droit de contrôler les usages des données à caractère personnel

Le présent article affirme le droit de tout à chacun de disposer librement de ses données personnelles et de décider d'en contrôler les usages.

Dans un contexte d'accroissement considérable des données à caractère personnel et de leur utilisation massive sans le consentement éclairé des personnes, le présent article vise à réaffirmer le droit de chaque individu à décider de l'utilisation de ses données personnelles.

Ce principe s'inspire du droit à « l'autodétermination informationnelle » dégagé par la juridiction constitutionnelle allemande. Dans un arrêt du 15 décembre 1983, la Cour constitutionnelle fédérale d'Allemagne a déduit des articles 1er et 2 de la Loi fondamentale190(*) « la capacité de l'individu à décider, en principe, de la communication et de l'utilisation de ses données à caractère personnel ».

Cette réaffirmation de la maîtrise par l'individu de ses données est souhaitée par la Cnil afin de « renforcer positivement la capacité de l'individu à maîtriser les usages qui sont faits de ses données à caractère personnel » et de réaffirmer la subjectivation de la protection des données personnelles. Ce principe est également défendu par le Conseil d'État191(*) : « il s'agit de donner à l'individu les moyens de demeurer libre de conduire son existence, dans une société où le numérique prend une place croissante, qui l'amène à laisser, de plus en plus souvent, trace de ses données personnelles » par ce droit « qui donne sens à tous les droits ».

Dans un rapport d'information de M. Yves Détraigne et Mme Anne-Marie Escoffier192(*), votre commission des lois avait également plaidé pour que le citoyen devienne « l'acteur de sa propre protection ».

Votre commission salue l'inscription de ce principe fondamental à l'article 1er de la loi de 1978. Néanmoins, votre rapporteur tient à souligner que cette affirmation d'un droit à contrôler ses usages a été préférée par le Gouvernement à la reconnaissance d'un droit patrimonial de chacun sur ses données, soit le droit de monnayer l'accès d'un tiers à ses propres données personnelles. En effet, le Conseil d'État, dans son étude de 2014, a considéré qu'il n'était pas souhaitable de transformer le droit personnel à la protection des données personnelles en un droit patrimonial.

L'affirmation théorique d'un droit de la personnalité sur les données personnelles ne doit cependant pas ériger le consentement de la personne comme la seule exigence permettant une protection effective des données personnelles193(*). Si le consentement permet de réaffirmer la liberté individuelle de chacun, la doctrine rappelle que « la toute-puissance conférée au consentement au nom de la liberté individuelle sert (...) souvent en réalité à justifier la mise à disposition des faibles au service des forts »194(*). Aussi votre rapporteur souligne-t-il que le seul consentement de l'intéressé, a fortiori dans l'univers numérique où l'utilisateur est particulièrement vulnérable, ne saurait seul permettre la licéité des traitements de données, qui doivent rester soumis à une police administrative spéciale indépendamment des relations contractuelles.

Votre commission a adopté l'article 26 sans modification.

Article 26 bis (supprimé) (art. 11 de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés) - Données sexuées dans le rapport annuel de la Cnil

Le présent article a été introduit par la commission des lois de l'Assemblée nationale par l'adoption d'un amendement de Mme Catherine Coutelle, présidente de la délégation aux droits des femmes.

Cet article vise à prévoir que le rapport annuel de la Cnil, prévu à l'article 11 de la loi du 6 janvier 1978 comprend des « données sexuées », et liées en particulier à la mise en oeuvre de la procédure d'effacement des données à caractère personnel des mineurs195(*), afin de connaître la proportion de jeunes filles ayant formulé des demandes d'effacement de données.

Votre rapporteur s'interroge néanmoins sur la faisabilité technique de la Cnil à procéder à de telles statistiques. En outre, il serait peu légitime d'exiger à chaque demande d'effacement de données de connaître le sexe de la personne concernée. Enfin, les données - s'il est toutefois possible de les extraire - ne présenteraient qu'un relatif intérêt pour l'évaluation des politiques publiques au regard des coûts générés pour adapter l'infrastructure de la Cnil.

En conséquence, votre commission a adopté un amendement COM-287 de son rapporteur visant à supprimer l'article 26 bis.

Votre commission a supprimé l'article 26 bis.

Article 26 ter (art. 31 de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés) - Publication dans un standard ouvert et réutilisable de la liste des traitements automatisés ayant fait l'objet d'une déclaration

Le présent article résulte de l'adoption par la commission des lois de l'Assemblée nationale d'un amendement de M. Sergio Coronado.

Si la liste des traitements de données automatisés à caractère personnel ayant fait l'objet d'une déclaration ou d'une autorisation196(*) est, aux termes de l'article 31 de la loi du 6 janvier 1978, « mise à la disposition du public », elle n'est cependant pas publiée sur le site internet de la Cnil.

Le présent article vise à permettre la publication de cette liste dans un « format ouvert et aisément réutilisable ».

Cette proposition répond à une recommandation du Conseil d'État, dans son rapport sur « Le numérique et les droits fondamentaux », qui soulignait la pertinence d'une vision complète de l'ensemble des traitements de données portés à la connaissance de la Cnil197(*).

Votre commission a adopté l'article 26 ter sans modification.

Article 27 (art. 32 de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés) - Information sur la durée de conservation des données à caractère personnel

Le présent article complète la liste des obligations d'information des personnes, qui s'appliquent aux responsables de traitement de données et sur lesquelles la personne concernée par une collecte de données à caractère personnel peut exercer son droit d'information, d'opposition, d'accès et de rectification, par l'ajout de l'information liée à la durée de conservation des données personnelles.

Actuellement, la personne concernée par le recueil de données personnelles doit être informée :

- de l'identité du responsable du traitement et, le cas échéant, de celle de son représentant ;

- de la finalité poursuivie par le traitement auquel les données sont destinées ;

- du caractère obligatoire ou facultatif des réponses ;

- des conséquences éventuelles, à son égard, d'un défaut de réponse ;

- des destinataires ou catégories de destinataires des données ;

- des droits qu'elle détient (droit d'opposition, droit de rectification, etc.) ;

- des transferts de données à caractère personnel envisagés à destination d'un État non membre de l'Union européenne.

Le présent article vise à reconnaître à la personne un droit à connaître la durée de conservation des données traitées. Ce droit est de nature à permettre aux personnes concernées d'exercer véritablement leur vigilance sur le traitement de leurs données personnelles. Il implique qu'elles connaissent les conditions de traitement mises en oeuvre sur leurs données.

Cette proposition reprend partiellement les dispositions des articles 5, 6 et 9 de la proposition de loi visant à mieux garantir le droit à la vie privée à l'heure du numérique adoptée par le Sénat le 23 mars 2010198(*). Votre commission avait alors souligné que cette information était « toute aussi essentielle que l'identité du responsable de traitement ou la finalité de ce dernier ».

Toutefois, dans son avis du 19 novembre 2015199(*), la Cnil relevait que la diversité des durées de conservation rendait difficile pour le professionnel la délivrance d'une information complète, potentiellement « trompeuse » pour la personne concernée. À l'instar des informations prévues par le droit de la consommation en matière de contrats à tacite reconduction, la Cnil a proposé une information périodique de la personne concernée. Cette proposition pourrait utilement être précisée par le pouvoir réglementaire.

Enfin, votre rapporteur a considéré nécessaire de mettre en conformité le présent article avec l'article 14 du projet de règlement relatif à la protection des données personnelles, en précisant que dans l'impossibilité de connaître la durée exacte de conservation des données personnelles, le responsable du traitement de données doit informer la personnes des « critères utilisés pour déterminer cette durée ». À cette fin, votre commission a adopté l'amendement COM-348 de votre rapporteur.

Votre commission a adopté l'article 27 ainsi modifié.

Article 28 (art. 43 bis [nouveau] de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés ; art. L. 112-10 du code des relations entre le public et l'administration) - Exercice des droits par la voie électronique

Le présent article reprend une proposition de la Cnil200(*) tendant à permettre aux individus d'exercer leurs droits par voie électronique lorsque le responsable de traitement dispose d'un site internet.

Les principaux droits reconnus par la loi informatique et libertés


· L'article 32
reconnaît le droit à l'information de la personne concernée par une collecte de données.


· Corollaire du droit à l'information, l'article 38 affirme le droit d'opposition de toute personne physique, « sans frais, à ce que les données la concernant soient utilisées à des fins de prospection » ou pour des motifs légitimes.


· Le droit d'accès, prévu à l'article 39, donne le droit à chacun d'interroger une personne collectant des données personnelles afin de savoir s'il fait l'objet d'un traitement de données personnelles, les informations relatives aux finalités du traitement. Il permet notamment à toute personne de demander la communication des données personnelles qui la concerne.


· L'article 40 accorde le droit de rectification de la personne concernée par une collecte de données afin qu'elle rectifie, complète, mette à jour, verrouille ou efface les données « inexactes, incomplètes, équivoques, périmées, ou dont la collecte, l'utilisation, la communication ou la conservation est interdite. »

D'ores et déjà, ces droits s'exercent principalement en ligne, tant par l'envoi d'emails ou par un formulaire en ligne.

Dans sa rédaction initiale, le présent article tendait à faire de cette possibilité un droit, dès lors que le responsable du traitement dispose d'un site internet et sauf dans les cas où le traitement de données intéresse la sûreté de l'État, la défense ou la sécurité publique.

À l'initiative de son rapporteur, la commission des lois de l'Assemblée nationale a néanmoins amélioré cette rédaction afin de prendre en compte l'avis de la Cnil qui relevait que l'éditeur d'un site internet n'est pas nécessairement le responsable de traitement. Aussi, afin de mettre en cohérence les moyens de la collecte d'informations avec les modalités d'exercice des droits sur ces données, la commission des lois a-t-elle précisé que l'exercice des droits par la voie électronique était de droit dès lors que les données avaient été collectées par la voie électronique.

Lorsque le responsable de traitement des données est une autorité administrative, le présent article renvoie à l'article L. 112-7 et suivants du code des relations entre le public et l'administration qui organise le droit de saisine par voie électronique.

Enfin, le présent article renvoie à l'article L. 112-10 du même code afin de permettre aux autorités administratives de ne pas répondre à ces démarches électroniques pour des motifs d'ordre public, de défense et de sécurité nationale, de bonne administration, ou lorsque la présence personnelle du demandeur apparaît nécessaire.

Tout en saluant cette mesure de simplification de l'exercice des droits, votre commission a adopté un amendement COM-288 de son rapporteur afin de faire coïncider l'entrée en vigueur de ces dispositions et celles du futur règlement européen sur la protection générale des données personnelles.

Votre commission a adopté l'article 28 ainsi modifié.

Article 29 (art. 5-1 [nouveau] et 11 de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés) - Élargissement des missions de la Cnil

Le présent article vise à étendre les missions de la Cnil, par la modification de l'article 11 de la loi du 6 janvier 1978.

· La consultation de la Cnil sur les dispositions relatives à la protection des données à caractère personnel ou à leur traitement

Selon le 4° de l'article 11 de la loi du 6 janvier 1978, la Cnil est consultée sur « tout projet de loi ou de décret relatif à la protection des personnes à l'égard des traitements automatisés ».

Le 1° du présent article tend à compléter cette mission afin de prévoir la consultation de la Cnil également sur toute disposition de tout projet de loi ou de décret relative à la protection des données à caractère personnel. Cette précision étend significativement le champ des textes sur lesquels la Cnil doit être préalablement consultée.

Votre commission a adopté un amendement rédactionnel COM-289 de son rapporteur.

· La publicité des avis de la Cnil

À l'initiative de M. Sergio Coronado, la commission des lois de l'Assemblée nationale a également prévu la publicité systématique des avis de la Cnil sur tout projet de loi ou décret.

Actuellement, l'avis sur un projet de loi peut être rendu public à la demande du président d'une des commissions permanentes du Parlement. La publicité des avis sur les décrets est néanmoins plus complexe. Si les traitements de données autorisés en application des articles 26 et 27 de la loi de 1978 font l'objet d'un avis public, les dispositions législatives faisant référence à des décrets pris après avis de la Cnil ne précisent pas systématiquement l'obligation de publicité, ainsi, par exemple, de l'article 19 de la loi n° 2015-912 du 24 juillet 2015 relative au renseignement.

Cette précision bienvenue permettrait de simplifier le régime de publicité des avis, en imposant une obligation, sauf dérogations explicites.

· La consultation de la Cnil par une assemblée parlementaire

La commission des lois de l'Assemblée nationale a complété cet article, par l'adoption d'un amendement du Gouvernement, visant à permettre aux présidents des assemblées parlementaires de saisir la Cnil pour avis sur une proposition de loi.

Inspiré de la saisine pour avis du Conseil d'État sur une proposition de loi, le mécanisme proposé permettrait au président de solliciter la Cnil sur toute proposition de loi « relative à la protection des personnes à l'égard des traitements automatisés ou comportant des dispositions relatives à la protection des données à caractère personnel ou au traitement de telles données », qui disposerait de six semaines pour rendre son avis. L'auteur de la proposition de loi disposerait également d'un droit d'opposition.

Le dispositif prévoit toutefois que le président de la Cnil pourrait reconduire ce délai une fois et, qu'à défaut de délibération, l'avis serait réputé avoir été rendu. Votre rapporteur s'interroge sur la pertinence de disposer d'un avis « réputé rendu » alors même qu'aucune norme n'oblige le Parlement à consulter la Cnil sur chaque disposition susceptible de la concerner. De plus, le délai particulièrement long envisagé - jusqu'à douze semaines - semble peu compatible avec le droit et la pratique parlementaires. En outre, le droit d'opposition de l'auteur de la proposition de loi semble faire obstacle au rôle constitutionnel de la commission, et de son rapporteur, dans l'examen d'un texte. Par ailleurs, votre rapporteur souligne qu'à l'inverse d'un avis du Conseil d'État, conseil du Gouvernement, la Cnil est une autorité administrative indépendante qui peut répondre aux sollicitations ou solliciter directement le Parlement.

Votre rapporteur ne partage pas l'analyse du Gouvernement et de l'Assemblée nationale sur la pertinence d'inscrire dans la loi la possibilité pour le Parlement de solliciter un avis de la Cnil alors que cette autorité est régulièrement entendue par les commissions permanentes tant pour ses travaux législatifs que de contrôle. De plus, votre rapporteur considère à l'instar du Conseil d'État201(*), que de telles dispositions relatives à la procédure législative relèvent de la loi organique et nécessiteraient, si elles étaient pertinentes, une modification de l'ordonnance n° 58-1100 du 17 novembre 1958 relative au fonctionnement des assemblées parlementaires.

Votre commission a adopté l'amendement COM-290 visant à supprimer cette possibilité de saisine de la Cnil par le Parlement.

· La conduite d'une réflexion éthique et la promotion de l'utilisation des technologies de la vie privée

Le présent article prévoit que la Cnil conduit une mission de réflexion éthique sur « les questions de société soulevées par l'évolution des technologies numériques, en impliquant des personnalités qualifiées et en organisant des débats publics ».

Les interrogations grandissantes, et parfois les peurs, sur les technologies du numérique, leurs usages et leurs implications sur la société exigent la mise en oeuvre d'une véritable instance de concertation et de réflexion.202(*)

S'il est légitime que la commission prenne en compte la dimension éthique dans ses missions203(*), il semble néanmoins plus approprié qu'une réflexion sur l'éthique des technologies du numérique, et notamment de ses usages, soit confiée à une entité spécifique, distincte d'une entité de conseil - à l'instar du Conseil national du Numérique - ou de régulation - telle la Cnil. Lors de la consultation citoyenne, le Gouvernement avait estimé que la création d'un nouveau comité dédié était contraire à sa politique de simplification et d'économies.

Votre rapporteur a toutefois considéré pertinent d'adosser la réflexion éthique à un organe qui exerce sa mission en toute indépendance et qui dispose déjà d'une infrastructure permettant la consultation et les débats publics, tel le comité consultatif national d'éthique. À cette fin, votre commission a adopté les amendements COM-291 et COM-292 de son rapporteur.

Enfin, le présent article reprend également une proposition issue de la consultation publique, portée par la Quadrature du Net et le Conseil national du Numérique, visant à conférer à la Cnil le rôle de promotion des technologies protégeant la vie privée, et notamment des technologies du chiffrement.

Ces dispositions rejoignent les prescriptions de l'article 52 du projet de règlement européen relatif à la protection des données à caractère personnel204(*).

Il semble en effet cohérent de confier la protection des technologies de chiffrement des données permettant le respect de la vie privée à l'autorité de régulation chargée de protéger ces données, en complément des actions de sensibilisation de l'Agence nationale de la sécurité des systèmes d'information.

Votre commission a adopté l'article 29 ainsi modifié.

Article 29 bis (suppression maintenue) - Publicité des avis de la Cnil sur tout projet de décret

Cet article, adopté par la commission des lois de l'Assemblée nationale, a été supprimé par les députés lors de son examen en séance publique.

Article 30 (art. 11 et 37 bis [nouveau] de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés) - Certification, par la Cnil, de procédés d'anonymisation des données dans le cadre de l'open data

Cet article vise à doter la Cnil de nouvelles compétences : la certification de procédés d'anonymisation ou l'homologation de référentiels de certification de ces procédés205(*).

· La certification : un nouvel enjeu de régulation

Cette reconnaissance de compétence traduit l'évolution du rôle de régulation de la Cnil. Celle-ci s'attache, par une politique de labellisation ou de certification, à diffuser auprès des acteurs privés ou publics les bonnes pratiques en matière de protection des données personnelles, ce qui simplifie ensuite sa tâche, lorsqu'elle doit contrôler les traitements de données qui ont mis en oeuvre ces recommandations.

Cette démarche d'accompagnement des acteurs constitue, comme l'a souligné la Cnil elle-même dans son avis sur le projet de loi, « la voie choisie [...] depuis plusieurs années pour assurer la conformité des traitement à la loi et le meilleur respect de leurs obligations par les responsables de traitements ».

Le mouvement en faveur de la certification est d'ailleurs européen, puisque le projet de règlement européen sur la protection des données personnelles206(*) demande aux États membres et aux autorités de régulation de l'encourager (articles 39 et 39 bis du projet de règlement précité).

La nouveauté introduite par le présent article serait de reconnaître expressément dans la loi cette compétence de certification et de l'appliquer à l'anonymisation des traitements portant sur des données à caractère personnel.

L'enjeu est essentiel pour la politique d'open data, puisque l'anonymisation diminue considérablement les risques qu'un traitement réutilisant les données publiées par les administrations porte atteinte à des données à caractère personnel.

Nos collègues Gaëtan Gorce et François Pillet avaient particulièrement insisté sur ce point dans leur rapport sur la protection des données personnelles dans l'open data207(*) : « Des trois possibilités de mise en ligne de documents administratifs contenant des données personnelles208(*), l'anonymisation de la base de données est certainement le procédé le plus commode.

« En effet, son champ d'application est général : contrairement aux données personnelles diffusées sur la base d'une exigence légale spéciale, il peut concerner toutes les bases de données administratives librement communicables. En outre, il permet de se dispenser du recueil préalable du consentement des intéressés, ce qui représenterait, pour la plupart des bases de données envisageables, initialement conçues pour un tout autre objectif, une contrainte insurmontable ».

Dans le même temps, nos collègues avaient insisté sur le fait que ce procédé n'est pas infaillible : « imparfaitement mis en oeuvre, il est susceptible de permettre la ré-identification des données, au détriment des administrés concernés ». Toutes les méthodes d'anonymisation ne se valent pas et il est tout à fait pertinent de confier à la Cnil le soin de désigner celles qui présentent un degré de sécurité suffisant.

Les méthodes d'anonymisation

L'anonymisation peut être définie comme l'opération de suppression de l'ensemble des informations permettant d'identifier directement ou indirectement un individu, contenues dans un document ou une base de données.

Trois méthodes peuvent être employées pour parvenir à ce résultat : la substitution parfois appelée aussi « pseudonymisation », la suppression ou le « masquage », et, enfin, l'agrégation.

a) La substitution ou la « pseudonymisation »

Cette méthode consiste à remplacer l'identifiant initial d'une personne par un autre identifiant arbitraire, un pseudonyme. Pour garantir la traçabilité et la mise à jour des informations dans la base et éviter d'associer à un individu les données relatives à un autre, faute de disposer d'un identifiant pérenne, il est nécessaire que, pour chaque personne, ce pseudonyme soit unique.

b) La suppression, le « masquage » ou l'ajout de bruit

L'opération consiste à dégrader l'information initiale, en supprimant certaines données, ou, au contraire, en ajoutant des informations qui noient la donnée initiale identifiante.

Ainsi, dans le premier cas, plutôt que de retenir la date de naissance complète, seule sera conservée l'année de naissance. Dans le second, les informations seront déformées selon un procédé qui n'en altèrera pas l'usage premier.

L'inconvénient d'une telle méthode est de fausser, dès l'origine, les données, ce qui les rend moins pertinentes pour une utilisation autre que celle d'origine.

c) L'agrégation

Cette dernière méthode consiste à rassembler plusieurs données de même type, afin de produire une donnée agrégée qui conserve l'information dont on a besoin, mais rend impossible l'identification de la part d'information agrégée qui correspond à un individu donné.

Ce procédé est d'usage courant en matière statistique. Plus le niveau d'agrégation est élevé, moins il y a de risques de ré-identification, mais, dans le même temps, moins l'information est précise. L'autorité en charge de la base de données doit donc trouver un équilibre satisfaisant entre la robustesse de l'anonymisation garantie par le niveau d'agrégation et la précision des données qu'elle autorise.

Source : La protection des données personnelles dans l'open data :
une exigence et une opportunité
, rapport d'information n° 469 (2013 2014)
de MM. Gaëtan Gorce et François Pillet, préc., p. 44 à 46.

· Le texte proposé et la position de votre commission

Le présent article inscrirait les dispositions en cause dans un nouvel article 37 bis de la loi informatique et libertés, dans la section consacrée aux obligations des responsables de traitement. Ce choix d'insertion est contestable : s'il s'agit de reconnaître un nouveau pouvoir à la Cnil, il est préférable de l'inscrire à l'article 11 de la même loi, qui énumère les pouvoirs dont dispose cette commission. Un amendement de votre rapporteur y procède (COM-293).

Le texte initial du projet de loi ne prévoyait que la certification par la Cnil des processus d'anonymisation. Un amendement du Gouvernement, adopté en commission des lois à l'Assemblée nationale, a ajouté l'homologation et la publication par la Cnil de référentiels ou de méthodologies généraux aux fins de certification desdits processus d'anonymisation.

Cet ajout, appelé de ses voeux par la Cnil dans son avis sur le projet de loi, est pertinent. Il évite à la commission d'avoir à assumer seule la charge de certification, qui suppose une étude dossier par dossier de chaque dispositif proposé. En homologuant et publiant des normes de certification, la Cnil fournira à des organismes tiers indépendants les moyens de certifier au responsable de traitement que le procédé d'anonymisation qu'il a mis en place répond bien aux exigences de la Cnil.

Un tel procédé est courant en matière de certification : s'il revient à l'AFNOR209(*) d'édicter une norme, tout autre organisme certificateur qui présente les garanties d'indépendance requises peut délivrer une certification relative à ladite norme.

Le dispositif proposé par le Gouvernement est par ailleurs complété par deux précisions, que les députés ont adoptées sans modification.

Le premier paragraphe du nouvel article proposé indique que la certification ou l'homologation des méthodes de certification est « notamment » conduite « en vue de la réutilisation » des informations publiques mises en ligne dans le cadre de l'open data. Votre rapporteur observe qu'il va pourtant de soi que la Cnil peut utiliser ses pouvoirs pour tous les usages dont un traitement de données est susceptible de faire l'objet.

Le second paragraphe indique, quant à lui, que la Cnil doit tenir compte de la certification éventuelle, pour la mise en oeuvre des sanctions qu'elle peut prononcer. L'expression manque de précision : s'agit-il d'atténuer la sévérité de la sanction ou, au contraire, de l'aggraver ? On peut d'ailleurs s'interroger sur sa nécessité : la Cnil elle-même a relevé dans son avis sur le projet de loi que l'alinéa traduisait « légalement un état de fait préexistant », dans la mesure où « dès lors qu'elle a, au titre de sa mission de conseil, délivré une information ou une recommandation à un responsable de traitement ou à un sous-traitant, cette démarche est prise en compte par l'ensemble des services et formations de la Commission ». En outre, la procédure de sanction pécuniaire ou d'injonction étant précédée d'une mise en demeure, il est peu probable qu'un responsable de traitement de bonne foi persévère dans son opposition à la demande de la Cnil de modifier son traitement au motif qu'il aurait préalablement obtenu la certification de son processus d'anonymisation.

Votre commission a adopté l'article 30 ainsi modifié.

Article 30 bis (art. L. 135 du code des postes et des communications électroniques ; art. 11 de la loi n° 78-17 du 6 janvier 1978) - Saisine croisée de l'Arcep et de la Cnil

Le présent article résulte de l'adoption par la commission des lois de l'Assemblée nationale d'un amendement de la rapporteure de la commission des affaires économiques, Mme Corinne Erhel.

S'inscrivant dans le « prolongement des mécanismes existants d'interrégulation210(*) », il vise à permettre la saisine croisée de la Commission nationale de l'informatique et des libertés (Cnil) et de l'Autorité de régulation des communications électroniques et des postes (Arcep) pour « toute question relevant de la compétence » de l'une ou de l'autre.

Cette disposition apparaît particulièrement pertinente au regard des enjeux liés au respect de la vie privée, que celui-ci soit assuré par l'autorité chargée de la protection des données personnelles ou par l'autorité qui veille au respect du secret des correspondances par les opérateurs de communications électroniques.

De plus, ce mécanisme de saisine n'est cependant pas sans précédent comme l'illustre la possibilité pour l'Autorité de la concurrence de recueillir l'avis du Conseil supérieur de l'audiovisuel (CSA) avant de se prononcer sur une opération de concentration dans les secteurs de la radio ou de la télévision.

Votre commission a adopté l'article 30 bis sans modification.

Article 31 (art. 36 de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés) - Respect des directives pour la conservation post mortem des données personnelles

Cet article est une disposition de coordination avec le suivant, consacré aux directives qu'un individu peut formuler sur le sort à réserver, après sa mort, à ses données à caractère personnel.

En principe, à la mort de la personne, les données à caractère personnel qui permettent de l'identifier ne devraient plus pouvoir être conservées : l'article 36 de la loi informatique et libertés interdit en effet que lesdites données soient conservées au-delà de la durée nécessaire aux finalités pour lesquelles elles ont été collectées. Or, l'immense majorité des services en ligne sont destinés à des personnes vivantes, pour rendre compte de leur activité, leur proposer des prestations ou les mettre en relation avec d'autres personnes : autant de finalités qui n'ont plus de sens une fois que la personne concernée est décédée.

Le quatrième alinéa de l'article 36 précité apporte toutefois un tempérament à cette règle. Il est possible de procéder à un autre type de traitement de données que celui d'origine dans certains cas limitativement énumérés : si la personne a donné son accord exprès, si la Cnil l'autorise ou si le nouveau traitement est destiné à la recherche ou à l'évaluation dans le domaine de la santé ou à la veille sanitaire.

La transformation de la page publique d'un réseau social d'une personne décédée en une page d'hommages ou de souvenirs qui lui est consacrée est un changement de finalité du traitement de données initial.

Le présent article vise donc à ajouter à la liste des exceptions précitées celle des directives relatives au sort des données personnelles à la mort de l'intéressé.

Votre commission a adopté un amendement rédactionnel (COM-294)

Votre commission a adopté l'article 31 ainsi modifié.

Article 32 (art. 32, 40, 40-1 [nouveau] et 67 de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés) - Droits des mineurs à l'effacement de leurs données - Sort des données personnelles à la mort de l'intéressé

Le présent article recouvre deux sujets distincts : d'une part, le droit des mineurs à l'oubli numérique, d'autre part, le sort qu'il convient de réserver aux données personnelles d'une personne décédée.

La raison de traiter ces deux sujets, pourtant différents, au sein du même article est que l'un et l'autre mettent en oeuvre les droits de rectification et d'effacement prévus à l'article 40 de la loi informatique et libertés211(*).

Les droits reconnus aux individus à l'égard des traitements
de données à caractère personnel

La section 2 du chapitre V de la loi informatique et libertés est consacrée aux droits individuels reconnus aux personnes s'agissant de la maîtrise et de la protection de leurs données personnelles.

Ces droits se décomposent en trois catégories.

Le droit d'opposition (article 38)

Tout individu peut s'opposer, pour des motifs légitimes, à ce que ses données personnelles fassent l'objet d'un traitement quelconque. Ce droit d'opposition est renforcé lorsque le traitement en cause est utilisé pour la prospection commerciale. En revanche, il cède devant les traitements répondant à une obligation légale.

Le droit d'accès et de communication (article 39)

Tout individu a le droit d'être informé par le responsable de traitement, d'une part, du fait que ce traitement porte ou non sur ses données personnelles, d'autre part, de la finalité dudit traitement et, enfin, de l'éventuel transfert de ses données vers un État qui n'appartient pas à l'Union européenne. Il a aussi le droit de recevoir les informations nécessaires pour connaître et contester la logique qui sous-tend le traitement automatisé s'il en résulte la prise d'une décision le concernant.

Ce droit d'accès et d'information s'accompagne d'un droit à se voir communiquer, sous une forme accessible, les données à caractère personnel qui le concerne, et, le cas échéant, à en recevoir une copie.

Une limite est fixée à l'exercice de ce droit : le responsable de traitement n'a pas à répondre aux demandes manifestement abusives.

Le droit de rectification et d'effacement (article 40)

Tout individu peut exiger du responsable de traitement que ses données à caractère personnel soient rectifiées, complétées, mises à jour, verrouillées ou effacées lorsqu'elles sont inexactes, incomplètes, équivoques, périmées ou lorsque leur collecte, leur utilisation, leur communication ou leur conservation sont en réalité interdites.

La rectification ou l'effacement sont en principe à la charge du responsable de traitement, qui doit en justifier. Le cas échéant, il doit indiquer au tiers auquel il a transmis ces données les modifications auxquelles il a procédé.

Pour les fichiers qui intéressent la sûreté de l'État, la défense ou la sécurité publique, l'exercice du droit d'accès ou de rectification est indirect et passe par le truchement de la Cnil, qui procède aux vérifications requises.

1. Le droit à l'oubli des données collectées auprès de mineurs

· L'émergence d'un droit nouveau : le droit à l'oubli

Les média numériques posent un problème que ne posaient pas les médias traditionnels, papiers ou audiovisuels : passée la période de diffusion, les images, les sons ou les écrits n'étaient plus accessibles qu'à ceux qui les avaient conservés, ce qui était, sauf exception, la promesse d'un oubli progressif.

Au contraire, internet n'oublie rien : à moins d'être volontairement effacées, les données publiées sont conservées indéfiniment et peuvent être retrouvées, plusieurs années après, par les moteurs de recherche. Ce phénomène est aggravé par la facilité de réplication des données publiées, qui se diffusent ainsi de sites en sites, indépendamment souvent de la volonté de leur auteur.

Dès 2009, notre ancienne collègue Anne-Marie Escoffier et notre collègue Yves Détraigne avaient recommandé de réfléchir à la création « d'un droit à l'oubli », permettant d'obtenir le retrait de certaines informations personnelles publiées sur internet et leur déréférencement dans les moteurs de recherche212(*). Cette réflexion, menée de concert par de nombreuses institutions, dont, en particulier la Cnil, et, s'agissant des mineurs, le Défenseur des droits213(*), a trouvé un premier aboutissement dans la décision Google Spain de la Cour de justice de l'Union européenne (CJUE) qui a expressément consacré un droit de chacun à obtenir, sous certaines conditions, le déréférencement sur des moteurs de recherches d'information le concernant.

La reconnaissance, par la CJUE, d'un droit au déréférencement
sur les moteurs de recherche (arrêt Google Spain, C-131/12, du 13 mai 2014)

Le raisonnement de la Cour tient en trois points.

En premier lieu elle constate que les moteurs de recherche sont des traitements de données personnelles et, à ce titre, doivent respecter les droits d'opposition, de rectification et d'effacement reconnus aux individus par la directive 95/46 C du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données.

En second lieu, la Cour relève qu'un moteur de recherche « est susceptible d'affecter significativement les droits fondamentaux au respect de la vie privée et à la protection des données à caractère personnel lorsque la recherche à l'aide de ce moteur est effectuée à partir du nom d'une personne physique, dès lors que ledit traitement permet à tout internaute d'obtenir par la liste de résultats un aperçu structuré des informations relatives à cette personne trouvables sur Internet, qui touchent potentiellement à une multitude d'aspects de sa vie privée et qui, sans ledit moteur de recherche, n'auraient pas ou seulement que très difficilement pu être interconnectées, et ainsi d'établir un profil plus ou moins détaillé de celle-ci. En outre, l'effet de l'ingérence dans lesdits droits de la personne concernée se trouve démultiplié en raison du rôle important que jouent Internet et les moteurs de recherche dans la société moderne, lesquels confèrent aux informations contenues dans une telle liste de résultats un caractère ubiquitaire. » La Cour considère, « au vu de la gravité potentielle de cette ingérence », que celle-ci ne saurait être justifiée uniquement par les intérêts économiques de l'exploitant du moteur de recherche.

La Cour appelle donc à trouver un équilibre entre le droit de la personne au déréférencement de l'information qui la concerne et l'intérêt légitime des internautes potentiellement intéressés à avoir accès à celle-ci. Si, les droits de la personne concernée doivent en principe prévaloir sur ledit intérêt des internautes, « cet équilibre peut toutefois dépendre, dans des cas particuliers, de la nature de l'information en question et de sa sensibilité pour la vie privée de la personne concernée ainsi que de l'intérêt du public à disposer de cette information, lequel peut varier, notamment, en fonction du rôle joué par cette personne dans la vie publique ».

Le futur règlement européen sur la protection générale des données devrait consacrer définitivement ce droit à l'oubli au niveau européen (cf. encadré ci-après).

La Cnil elle-même a appliqué ce droit à l'oubli établi par la CJUE, en se fondant expressément sur les articles 12 et 14 de la directive précitée du 24 octobre 1995, pour infliger à la société Google Inc., le 10 mars 2016, une sanction de 100 000 euros214(*).

· Le texte proposé : un droit à l'oubli limité à la minorité

À l'instar de ce qui est proposé à d'autres chapitres du texte, le présent article vise à anticiper l'application du futur règlement européen. L'anticipation n'est toutefois que partielle, puisqu'il ne s'agit que d'instaurer le droit à l'oubli pour les mineurs. La volonté du Gouvernement est de protéger dès à présent les plus vulnérables.

Cette ambition est légitime. Les jeunes générations sont nées avec internet et elles en utilisent massivement les services, souvent avec habileté mais sans en mesurer toujours les conséquences ou sans que leurs parents, parfois démunis face à ces nouveaux usages, aient pu leur inculquer les bonnes façons de se comporter, les choses à faire et celles à éviter.

Le droit à l'oubli consacré par le futur règlement européen
sur la protection générale des données

Ce droit, actuellement reconnu à l'article 17 de la proposition de règlement, pourrait s'exercer, à la demande de l'intéressé, dans six cas :

- lorsque les données concernées ne sont plus nécessaires au traitement ;

- en cas de retrait, par l'intéressé, de son consentement au traitement de ses données, à moins que ce traitement soit rendu nécessaire par la loi ;

- en cas d'opposition de l'intéressé à certains types de traitements (traitement à finalité marketing en particulier) ;

- lorsque le traitement est illégal ;

- lorsque cet effacement des données est légalement ordonné par le droit d'un État membre ou celui de l'Union européenne ;

- lorsque les données ont été collectées auprès d'un mineur.

Ce droit à l'oubli oblige non seulement le responsable de traitement à effacer les données en cause, mais aussi, dans la mesure où il a rendu ces données publiques, à prendre toutes les mesures qu'on peut raisonnablement attendre de lui, compte tenu des technologies disponibles et du coût prévisible, pour informer les autres responsables de traitement qui les ont utilisées de la demande d'effacement.

L'exercice du droit à l'oubli peut toutefois être limité, lorsque la conservation des données apparaît nécessaire :

- au respect de la liberté d'expression et d'information ;

- pour ne pas contrevenir à une obligation légale de conservation ;

- pour des motifs d'intérêt général dans le domaine de la santé publique ;

- à des fins d'archivage ou de recherche scientifique ou historique ;

- à la constatation, à l'exercice ou à la défense de droits en justice.

Source : document 15039/15 du Conseil de l'Union européenne,
compromis final entre le Parlement et le Conseil

Le texte proposé par le Gouvernement, qui n'a fait l'objet, à l'Assemblée nationale, que de modifications rédactionnelles, reprend sensiblement le dispositif prévu par le futur règlement européen, en se limitant au cas de mineurs.

Il l'inscrit à l'article 40 de la loi informatique et libertés, dans un nouveau paragraphe.

Toute personne se verrait donc reconnaître le droit d'obtenir d'un responsable de traitement l'effacement des données collectées, « dans le cadre de l'offre de service de la société de l'information », lorsqu'elle était mineure. Ce droit à l'oubli peut donc être exercé par la personne pendant sa minorité ou une fois qu'elle est devenue adulte, sans limitation de durée.

L'intéressé n'aurait pas d'autre preuve à apporter que celle de sa minorité au moment de la collecte des données. À défaut d'exécution par le responsable de traitement dans un délai d'un mois, il pourrait saisir la Cnil qui se prononcerait dans les quinze jours.

La rédaction proposée reprend les cinq exceptions à l'exercice du droit à l'oubli prévues par le futur règlement européen (cf. encadré supra). La Cnil a observé dans son avis sur le projet de loi que ces exceptions sont plus larges que celles actuellement prévues à l'article 67 de la loi informatique et libertés215(*) et donc, plus défavorables à l'intéressé. Il est vrai que viser, indistinctement, la liberté d'expression et d'information, pourrait permettre de refuser la suppression d'une mention relative à un mineur dans un texte publié sur un site internet, puisque cette publication relève de la liberté d'expression. Toutefois, la Cour de justice de l'Union européenne a pris soin de rappeler dans sa décision précitée du 13 mars 2014, que les dispositions de la directive devaient être interprétées à la lumière des articles 7 (droit au respect de la vie privée) et 8 (droit à la protection des données personnelles) de la Charte des droits fondamentaux de l'Union européenne. Il est donc vraisemblable qu'elle exigera, dans l'application du futur règlement, qu'un équilibre soit assuré entre ces exigences et celles relatives à la liberté d'expression et d'information.

Sur un point important, la rédaction proposée et celle du futur règlement européen divergent sensiblement : le droit européen impose non seulement au responsable de traitement d'effacer les données litigieuses dans ses fichiers, mais aussi, s'il a rendu ces données publiques, d'avertir les responsables de traitement qui les auraient reprises de la demande d'effacement formulées par la personne concernée. Cette seconde obligation est une obligation de moyen, l'article 17 du futur règlement précisant qu'elle ne doit être satisfaite que dans la mesure où la mobilisation des moyens nécessaires demeure raisonnable, compte tenu des technologies disponibles et des coûts prévisibles.

· La position de votre commission : une anticipation utile du futur règlement européen

Instaurer un droit à l'oubli en faveur des internautes, sans autre motif justificatif que leur minorité au moment où leurs données personnelles ont été collectées, leur est très favorable : c'est, sinon la garantie d'une page blanche - l'oubli sur internet est une notion très relative -, du moins celle d'un recours pour effacer certaines erreurs.

Il y a tout lieu de souscrire à cette avancée, qui sera confortée par l'entrée en vigueur du règlement européen, puisque d'autres cas justificatifs d'une demande d'effacement s'ajouteront à celui de la minorité de l'intéressé au moment de la collecte.

Votre commission a toutefois été soucieuse de la parfaite adéquation entre le dispositif proposé et celui du futur règlement européen. Pour cette raison, elle a adopté un amendement de son rapporteur (COM-295) imputant à la charge du responsable de traitement la seconde obligation d'information des autres responsables de traitement. Une telle mesure apparaît nécessaire pour garantir l'effectivité du droit à l'oubli, puisque toute la difficulté est que l'information, une fois publiée, est répliquée dans de nombreux sites et qu'elle peut échapper à la vigilance de l'intéressé. Il est donc utile qu'il reçoive, sur ce point, le renfort de celui qui l'a publiée la première fois.

Votre commission a par ailleurs adopté un amendement COM-296 rédactionnel et un amendement COM-300 réglant la difficulté de coordination entre les deux régimes d'exceptions prévus au nouvel article 40 de la loi informatique et libertés et à l'article 67.

2. Le sort des données personnelles après la mort de l'intéressé

· La mort numérique : une question nouvelle et peu traitée

La question du devenir des données personnelles après le décès de l'intéressé est nouvelle. Elle rend compte, à sa manière, du degré de conversion de nos sociétés à la technologie numérique. Les comptes antérieurement ouverts par des personnes décédées ensuite ne peuvent plus être aujourd'hui tenus pour quantité négligeable. La Cnil évalue ainsi à un pour cent le nombre de profils sur Facebook qui seraient ceux d'une personne décédée, ce qui correspond, au total, à près de 13 millions de profils.216(*)

Pourtant, la réflexion sur le sujet ne fait que débuter. Peu d'auteurs se sont penchés sur la question217(*). La Cnil a publié deux fiches techniques recensant les solutions proposées par certains opérateurs de services numériques et décrivant le cadre légal aujourd'hui applicable218(*). Ni le Conseil d'État, ni l'Assemblée nationale n'y ont consacré de développements particuliers dans leurs rapports sur le numérique219(*). Le Conseil supérieur du notariat qui a participé à la consultation organisée par le Gouvernement sur l'avant-projet de loi préfigurant le présent texte, a engagé récemment sa réflexion sur le sujet.

Le droit applicable est lacunaire. Il se limite aux deux derniers alinéas de l'article 40, qui autorisent les héritiers justifiant de leur identité, si des éléments portés à leur connaissance leur laissent présumer que les données personnelles du défunt n'ont pas été mises à jour, à exiger cette actualisation et la prise en compte du décès.

La portée de ce dispositif est très limitée, puisque les intéressés ne disposent d'aucun droit d'accès particulier aux comptes du défunt et peuvent seulement agir si « un élément est porté à leur connaissance ». Aucune conséquence juridique n'est en outre attachée à la prise en compte du décès : les héritiers ne peuvent à ce titre obtenir la fermeture du compte concerné.

Dans le silence du droit, certains opérateurs numériques se sont emparés du sujet de la mort numérique et proposent leurs propres solutions : beaucoup imposent ainsi dans leurs conditions générales d'utilisation une clause d'intransmissibilité à cause de mort de tous les droits reconnus au titulaire du compte ; certains, à l'instar de Facebook, Google, Twitter ou Instagram ont prévu soit une fonctionnalité d'accès au compte d'une personne décédée soit une fonctionnalité de signalement de ce décès. Facebook permet à ses utilisateurs de décider de la conversion de leur page personnelle en page d'hommage s'ils venaient à décéder.

Le droit européen est quant à lui muet sur la question du sort des données personnelles après la mort de la personne. Le futur règlement européen sur la protection générale des données personnelles n'aborde pas non plus cette question, qui est renvoyée au choix des États membres.

La France et l'Europe accusent ainsi manifestement un retard sur le sujet de la mort numérique, si l'on compare avec les réflexions en cours aux États-Unis220(*). Le présent article est une première tentative pour le combler.

· Le texte proposé

La réforme proposée par le Gouvernement croise deux approches différentes : celle du droit des successions et celle du droit des données personnelles221(*). De la version initiale à celle adoptée par les députés, à l'initiative du Gouvernement, la prévalence donnée à l'une est cependant passée à l'autre.

En effet, le texte initial du Gouvernement reposait sur deux piliers. Celui issu des travaux de l'Assemblée nationale n'a conservé que le premier et adopté, vis-à-vis du second, une position contraire.

Ce premier pilier est la possibilité offerte à chacun de formuler des directives relatives à la conservation, à l'effacement (cette mention a été ajoutée par l'Assemblée nationale) et à la communication de ses données personnelles après sa mort.

Ces directives, révocables ou modifiables à tout moment, peuvent soit avoir une vocation générale et s'appliquer à tous les traitements portant sur les données personnelles de l'intéressé, soit avoir une vocation spéciale et ne concerner que les traitements nommément désignés. Dans le premier cas, elles peuvent être enregistrées auprès d'un tiers de confiance (dans la version des députés) ou de la Cnil (dans la version initiale). Dans le second, elles sont enregistrées auprès de chacun des responsables de traitement qu'elle désigne. Les députés ont précisé, à l'initiative de Mme Marietta Karamanli et de ses collègues du groupe socialiste, républicain et citoyen, que la définition de telles directives ne pourrait résulter de la seule approbation, par l'intéressé, des conditions générales d'utilisation du traitement en cause.

L'auteur des directives pourrait désigner un exécuteur testamentaire, chargé de les mettre en oeuvre. À défaut, cette mission échoirait, dans l'ordre, à ses descendants, son conjoint non divorcé, ses autres héritiers et, enfin, aux légataires universels ou donataires de l'universalité des biens222(*).

Le second pilier sur lequel reposait le texte initial du Gouvernement était la transmission aux héritiers de la charge d'exercer les droits du défunt sur ses données personnelles, s'il n'avait pas rédigé de directive ou s'il ne s'y était pas opposé dans ses directives.

À l'initiative du Gouvernement, les députés, en commission des lois, ont retenu, sur ce point, une solution inverse qui consiste à éteindre, au moment de son décès, les droits du défunt sur ses données personnelles et à interdire, par conséquent, à ses héritiers de les exercer.

Le Gouvernement a justifié ce retournement par les observations formulées par la Cnil dans son avis sur le projet de loi : la transmission automatique aux héritiers des droits du défunt lui est apparue contraire au caractère personnel de ces droits. Ceux-ci auraient vocation à s'éteindre en même temps que l'intéressé.

Deux dérogations sont toutefois prévues.

En premier lieu, les héritiers peuvent accéder aux données contenues dans les fichiers lorsque celles-ci sont nécessaires à la liquidation ou au partage de la succession. Cette disposition vise, par exemple, l'accès au compte internet bancaire du défunt, ou à certains documents essentiels, conservés sur un service de stockage à distance (service de cloud). Le notaire pourrait agir au nom des intéressés.

En second lieu, est reprise la disposition actuelle de l'article 40 qui permet aux héritiers d'actualiser les données dont ils sauraient qu'elles ne sont pas à jour.

Enfin, le présent article impose à tout service de courrier électronique ou de communication au public en ligne d'informer l'utilisateur sur le sort de ses données à son décès et de lui permettre de communiquer, s'il le souhaite, ses données, à sa mort, à un tiers qu'il désigne.

· Un dispositif qui présente des contradictions

Le texte issu des travaux de l'Assemblée pose deux questions de cohérence, l'une de principe, l'autre de pratique.

Tout d'abord, il semble contradictoire de soutenir que les droits sur les données personnelles doivent s'éteindre avec le décès de l'intéressé et de permettre, dans le même temps, leur survie grâce aux directives qu'il a formulées. Pour prendre l'exemple des droits moraux de l'auteur, qui a visiblement servi de modèle au présent article, transmissibilité et pérennité au-delà du décès de l'auteur vont de pair. Ceci prouve, contrairement à ce que laisse entendre la rédaction proposée, qu'on peut tout à fait concevoir un droit qui, bien que personnel et sans valeur patrimoniale, soit aussi transmissible aux héritiers.

Ensuite, la mise en oeuvre concrète de la première dérogation à l'extinction des droits risque soit d'être impossible, soit de contredire le principe de l'extinction de ces droits. En effet, pour savoir qu'un élément d'un traitement de données personnelles contient un document pertinent pour la liquidation de la succession, encore faut-il pouvoir y accéder. Mais, en principe, on ne doit accéder à un tel fichier qu'à la condition qu'un tel document s'y trouve. Or, c'est ce que l'on cherche justement à savoir. Potentiellement, il faudrait pouvoir examiner tous les traitements, afin de s'assurer qu'il ne s'y cache pas un tel document. D'ailleurs, dans une succession physique, les héritiers cherchent dans les papiers du défunt les éléments nécessaires à sa liquidation.

· Des enjeux qui mériteraient d'être mieux pris en compte

Votre rapporteur estime que le texte proposé répond imparfaitement aux enjeux que pose la mort numérique.

En premier lieu, la solution adoptée par l'Assemblée nationale et promue par la Cnil repose sur l'idée qu'il faut continuer, après la mort de la personne, à protéger sa vie privée. Or, si l'article 9 du code civil dispose que « chacun a droit au respect de sa vie privée », une jurisprudence constante considère que ce droit ne concerne que les vivants et qu'il s'éteint avec le décès de l'intéressé223(*), n'étant pas transmissible224(*). En revanche, ses héritiers peuvent agir pour faire respecter sa mémoire ou faire cesser l'atteinte que cause à leur propre intimité l'exploitation qui est faite, par exemple, de son image225(*). Notre droit confie ainsi aux héritiers une mission : celle de veiller au respect dû au mort.

Proclamer, dans le même temps, la survie, à travers les directives, du droit à la vie privée et l'interdiction, pour les héritiers, au nom de ce droit à la vie privée, de veiller aux intérêts du défunt, procède d'une certaine absolutisation du droit au respect de la vie privée. Certes, le numérique offre la possibilité technique de cette absolutisation, puisqu'on peut facilement priver les héritiers du droit d'accéder aux comptes internet du défunt et qu'on peut maintenir ceux-ci de manière pérenne. Toutefois, mesure-t-on bien les conséquences qui en résultent ? Une césure est en effet créée entre le monde numérique et le monde physique.

Comme le relève justement Mme le professeur Cécile Pérès, après avoir constaté que le droit au respect de la vie privée cesse au décès, « nul ne songerait à interdire aux héritiers de lire le journal intime du défunt ou ses lettres missives, de regarder ses albums de photographies ou, plus largement, de conserver ses souvenirs personnels au nom de la vie privée de celui qui n'est plus. Dans le monde physique, il appartient à chacun de prendre la précaution de faire disparaître de son vivant les supports de ses secrets »226(*). Tel est pourtant ce que propose le texte de l'Assemblée nationale. Plutôt que de prévoir, comme l'avait initialement envisagé le Gouvernement, que l'intéressé pourra interdire l'accès de ses comptes à ses héritiers et, qu'en l'absence de toute directive de sa part, ses héritiers veilleront à ses intérêts, le texte qui nous est soumis pose, comme un principe, l'impossibilité pour les héritiers d'accéder aux données numériques du défunt.

Il en résulte de multiples inconvénients. Ainsi, plus personne ne pourra avoir accès aux photos de famille si le défunt les a conservées sur un service de stockage à distance (service de cloud). Or, dans toute succession, le partage des photos de famille est souvent, un moment important, qui permet à chacun de conserver un souvenir du défunt227(*).

Surtout, le paradoxe du dispositif proposé est qu'en interdisant aux héritiers, en l'absence de directives, d'accéder aux données personnelles du défunt, il diminue considérablement le contrôle opéré sur les responsables de traitement. On a d'ailleurs vu précédemment la faiblesse de la dérogation prévue à des fins d'actualisation des comptes du défunt : il faut que les héritiers soient alertés, d'une manière ou d'une autre, de l'absence de mise à jour pour pouvoir, ensuite, exiger cette actualisation. Finalement, les intérêts les mieux protégés ne sont pas forcément ceux du défunt.

Enfin, votre rapporteur observe que le dispositif proposé laisse de côté un aspect important : celui du sort des biens numériques. Comme Mme le professeur Cécile Pérès le rappelle dans son article précité, ce point fait l'objet d'une intense réflexion aux États-Unis : « L'analyse repose d'abord sur le constat que la détermination du sort des "actifs numériques" (digital assets) après la mort échappe largement au pouvoir de la volonté individuelle du défunt en raison de la standardisation des conditions générales rédigées unilatéralement par les professionnels du numérique. Elles contiennent, en effet, très souvent une clause qui exclut expressément toute transmissibilité à cause de mort ou qui soumet le sort de ces éléments à l'appréciation arbitraire du cocontractant professionnel. [...] Aux États-Unis, la critique ne porte pas tant sur la contractualisation de la définition des suites de la mort [...] que sur l'impossibilité dans laquelle se trouve le futur défunt de pouvoir effectivement définir lui-même le sort de ses digital assets après sa mort en raison du mode de conclusion du contrat. La maîtrise unilatérale exercée par le rédacteur du contrat d'adhésion est interprétée comme une atteinte inadmissible à la liberté testamentaire, alors que celle-ci, de valeur constitutionnelle, joue un rôle essentiel dans le droit américain. »

Or, la réponse que nous apporterons à la protection des données personnelles après la mort déterminera, aussi, celle qui sera apportée à la question du devenir des biens numériques après la mort. Il conviendrait, selon Mme le professeur Cécile Pérès « que le sort des biens numériques du défunt soit, dans la mesure du possible, exactement calqué sur celui qui est traditionnellement réservé à ses autres biens. Or la lecture personnaliste des données, qui ne relèvent pas toutes de la sphère personnelle de l'intime, empêche d'appréhender la question de façon plus globale ».

· La position de votre commission : rétablir une continuité entre les successions physiques et les successions numériques

Les observations précédentes ont conduit votre rapporteur à proposer à votre commission, qui l'a suivi, un amendement COM-299 rétablissant le dispositif initial du Gouvernement qui présente le mérite de ne pas créer de césure entre la succession physique et la succession numérique. Nos vies sont certes de plus en plus numérisées. Mais il n'y a pas de sens à traiter différemment le sort des données personnelles selon qu'elles sont numérisées ou pas : les lettres du défunt passent aux héritiers, sauf à ce que l'intéressé l'ait interdit.

D'ailleurs, votre rapporteur observe que cette solution est sans doute la plus raisonnable. L'expérience commune enseigne que les gens ne rédigent des testaments ou des directives que lorsqu'ils veulent s'assurer du sort de ce qui leur paraît important. Il est donc probable que celui qui souhaitera cacher son intimité prendra ses dispositions, ce que le texte adopté par votre commission prévoit expressément. À l'inverse celui qui ne le souhaite pas s'en remettra au régime légal. Or, dans ce cas, le texte de l'Assemblée nationale privera ses héritiers de l'accès à ses souvenirs de famille, simplement parce qu'il n'aura pas pris la peine de rédiger des directives contraires.

Un second amendement COM-298 adopté par votre commission répute nulle et non avenue toute clause contractuelle interdisant la transmissibilité des comptes d'utilisateurs : de telles clauses feraient en effet perdre toute portée aux directives formulées par la personne concernée. Par ailleurs, l'amendement COM-297 isole dans un nouvel article 40-1 de la loi informatique et libertés le dispositif étudié qui ne se confond pas avec le seul droit de rectification et d'effacement prévu à l'article 40 mais engage aussi ceux d'accès ou d'opposition. Il mentionne en outre ce nouveau droit à l'article 32, qui énumère ceux dont l'existence est portée à la connaissance de chacun, lors de la collecte de ses données personnelles. Ainsi, chacun sera informé de la possibilité de décider, pour chaque traitement, d'en fermer l'accès ou non à ses héritiers. La solution la plus pertinente serait, d'ailleurs, que les responsables de traitement interrogent l'intéressé sur ce point, lors de la souscription de son compte d'utilisateur.

Un amendement COM-168 rectifié de nos collègues Jean-Pierre Sueur, Jean-Yves Leconte et Yves Rome précise que les références des directives générales et celles du tiers de confiance auprès duquel elles sont enregistrées sont rassemblées au sein d'un registre unique défini par décret en Conseil d'État pris après avis motivé et publié de la Cnil. Il s'agira d'un dispositif semblable à celui du fichier central des dispositions des dernières volontés, qui rassemble les références des testaments déposés chez les notaires.

Votre rapporteur souligne que le dispositif général proposé par le présent article n'épuise pas les questions que soulève le sort des données personnelles numériques d'un individu après sa mort. Ainsi, les directives du défunt peuvent-elles imposer le maintien sans limite de temps des pages internet qui lui sont dédiées ou la survie indéfinie de ses droits au profit de ses héritiers ou de l'exécuteur testamentaire ? Que se passe-t-il en cas de décès consécutifs de ceux qui ont été chargés d'exercer lesdits droits ? La poursuite de la navette parlementaire doit être l'occasion d'approfondir ces interrogations.

Votre commission a adopté l'article 32 ainsi modifié.

Article 33 (art. 45 et 46 de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés ; art. 226-16 du code pénal) - Pouvoirs de sanction de la Cnil

Le présent article vise à renforcer l'efficacité des procédures de sanctions de la commission nationale de l'informatique et des libertés, par la refonte des articles 45 et 46 de la loi du 6 janvier 1978.

Trois procédures de sanctions graduées

Art. 45

Gravité du manquement

Sanctions encourues

I

Manquement « simple » aux obligations de la loi de 1978

- Avertissement
- Mise en demeure de faire cesser le manquement (délai de 5 jours en cas d'urgence)

Non-conformité à la mise en demeure

- Sanction pécuniaire
- Injonction de cesser le traitement ou retrait de l'autorisation

II

Violation des droits et libertés de l'article 1er de la loi de 1978

- Interruption de la mise en oeuvre du traitement pour une durée maximale de 3 mois
- Avertissement
- Verrouillage de certaines données personnelles pendant un délai de 3 mois
- Information du Premier ministre (fichiers sensibles de l'État)

III

Atteinte grave et immédiate aux droits et libertés de l'article 1er de la loi de 1978

- Demande du président de la Cnil par référé à la juridiction compétente pour ordonner « sous astreinte, toute mesure de sécurité nécessaire à la sauvegarde de ces droits et libertés ».

L'ensemble des sanctions encourues par le I et le II de l'article 45 sont prononcées par la formation restreinte de la Cnil, après une procédure contradictoire, définie par l'article 46228(*). Les sanctions peuvent ne pas s'appliquer lorsque les manquements concernent un traitement mis en oeuvre par l'État ou qu'il s'agit de fichiers « sensibles » de l'État.

· La modification de la procédure de sanction en cas de manquement « simple » aux obligations de la loi de 1978

Le 1° du I du présent article vise à renforcer la procédure de sanction en cas de « non-respect » des obligations de la loi du 6 janvier 1978.

En effet, dans ce cas et contrairement à l'hypothèse d'une « violation des droits et libertés », la formation restreinte ne peut sanctionner pécuniairement le responsable de traitement qu'après une étape préalable de mise en demeure. Actuellement, seul l'avertissement, qui ne s'avère pas suffisamment dissuasif, peut être prononcé immédiatement.

Le présent article vise, d'une part, à renforcer les droits des responsables de traitement en imposant une mise en demeure préalable avant toute sanction, y compris un avertissement, d'autre part, à renforcer la protection des données personnelles en permettant à la formation restreinte de prononcer sans mise en demeure préalable toute sanction prévue au I, si « le manquement constaté ne peut faire l'objet d'une mise en conformité dans le cadre d'une mise en demeure ».

Modifications des sanctions du I proposées par le présent article
(Sens de lecture de gauche à droite)

Manquement aux obligations de la loi de 1978

Possibilité d'une mise en conformité dans le cadre d'une mise en demeure

Mise en demeure de faire cesser le manquement (délai de 24 h en cas d'extrême urgence)

- Avertissement
- Sanction pécuniaire
- Injonction de cesser le traitement ou retrait de l'autorisation

Impossibilité d'une mise en conformité dans le cadre d'une mise en demeure

- Avertissement
- Sanction pécuniaire
- Injonction de cesser le traitement ou retrait de l'autorisation

Par ailleurs, le délai de la mise en demeure pourrait être abaissé jusqu'à 24 heures en cas « d'extrême urgence » afin de permettre une régularisation rapide des manquements aux obligations de la loi de 1978.

· L'élargissement du champ du référé judiciaire lors d'une atteinte grave et immédiate aux droits et libertés

Le 2° du I du présent article vise à élargir le champ du référé judiciaire en cas d'atteinte grave et immédiate aux droits et libertés de l'article 1er de la loi de 1978, en supprimant la précision que peuvent être ordonnées « toute mesure de sécurité ». La suppression du mot « sécurité » permettrait d'ordonner toutes les mesures nécessaires à la sauvegarde des droits et libertés, telle la suspension de la mise en oeuvre d'un traitement.

· Le renforcement de la publicité des sanctions

Le II du présent article reprend par ailleurs une proposition issue de la consultation citoyenne permettant à la formation restreinte d'ordonner aux personnes sanctionnées « d'informer individuellement [de ces sanctions] à leurs frais, chacune des personnes concernées ».

Enfin, à la suite de l'avis de la Cnil, la commission des lois de l'Assemblée nationale a clarifié, sans modification du champ d'application, la procédure de sanction de la formation restreinte en prévoyant que celle-ci est saisie par le président de la commission et que la procédure contradictoire ne s'applique que préalablement au prononcé de la sanction et non avant l'engagement de la procédure de sanctions.

Votre commission salue l'équilibre porté par le présent article qui renforce la proportionnalité et la gradation des sanctions par l'affirmation d'une mise en demeure préalable obligatoire tout en tenant compte des préjudices causés par des violations des droits et libertés de la loi de 1978 qui nécessitent des sanctions rapides.

Votre commission a adopté l'article 33 sans modification.

Article 33 bis A (supprimé) (art. 43 ter de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés) - Action collective en cessation du manquement en matière de données personnelles

Cet article a été introduit en séance publique à l'Assemblée nationale, à l'initiative de Mme Marie Le Vern et les membres du groupe socialiste, républicain et citoyen, sans que la commission ou le Gouvernement ne délivrent leur avis.

Il vise à autoriser certaines associations spécialisées, des syndicats ainsi que toute association ad hoc constituée à cette seule fin, à agir devant le juge civil pour obtenir la cessation d'une violation de la loi informatique et libertés.

Ce dispositif ne paraît ni légalement assuré ni opportun.

En effet, l'action pourrait être engagée par toute association spécialement créée à cette fin, ce qui ne constitue pas une garantie suffisante pour éviter les procédures abusives.

Surtout, l'action serait recevable pour tout manquement, que celui-ci soit individuel ou collectif. Or, une action collective ne devrait être acceptée que lorsqu'il est porté atteinte à un intérêt collectif.

On doit aussi s'interroger sur l'intérêt d'une telle action dans le champ de la protection des données personnelles alors qu'échoit à la Cnil une mission générale de contrôle de la bonne application de la loi informatique et libertés. Il sera toujours plus efficace de s'adresser à l'autorité de régulation pour faire cesser le trouble, que de s'adresser au juge civil.

Enfin, la question des actions collectives est débattue dans un autre texte229(*), en cours d'examen à l'Assemblée nationale : il ne serait pas de bonne méthode législative de traiter cette question indépendamment de ce dernier.

Pour l'ensemble de ces raisons, votre commission a supprimé l'article 33 bis A (amendement COM-301).

Article 33 bis B (art. 47 de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés) - Proportionnalité de la sanction pécuniaire infligée par la Cnil

Le présent article résulte de l'adoption par l'Assemblée nationale en séance publique d'un amendement de Mme Karine Berger, visant à augmenter le montant des sanctions pécuniaires que peut prononcer la Cnil et les critères sur lesquels elle doit prononcer sa sanction.

Ces dispositions anticipent la transposition de l'article 79 du projet de règlement européen relatif à la protection des données personnelles, qui ne devrait entrer en vigueur qu'en 2018.

Alors qu'actuellement le montant de la sanction pécuniaire, qui doit être proportionné à la gravité des manquements commis et aux avantages tirés de ce manquement, ne peut excéder 150 000 euros lors du premier manquement ou en cas de réitération230(*), 300 000 euros ou 5 % du chiffre d'affaires hors taxes, le présent article propose de porter les sanctions encourues jusqu'à 20 millions d'euros ou 4 % du chiffre d'affaires annuel total si ce montant est plus élevé. Pour la méconnaissance des obligations de vigilance ou des formalités préalables, les sanctions encourues seraient de 10 millions d'euros ou de 2 % du chiffre d'affaires annuel total si ce montant est plus élevé.

Le présent article a l'avantage de définir précisément les critères permettant à la Cnil de prononcer une sanction pécuniaire :

- le caractère intentionnel ou de négligence du manquement ;

- les mesures prises par le responsable du traitement pour atténuer les dommages subis par les personnes concernées ;

- le degré de coopération avec la commission afin de remédier au manquement et d'atténuer ses effets négatifs éventuels ;

- les catégories de données à caractère personnel concernées ;

- la manière dont le manquement a été porté à la connaissance de la Cnil.

Néanmoins, il anticipe considérablement l'entrée en vigueur du règlement en augmentant immédiatement les sanctions encourues. Or le montant maximal défini par le texte européen n'a pas pour objet de sanctionner les seuls manquements concernant le territoire français mais bien la sanction maximale pouvant être prononcée par la Cnil, au nom de ses homologues européens.

Aussi, votre rapporteur a-t-il souhaité ne pas transposer prématurément le règlement. Il a toutefois semblé nécessaire d'envoyer un signal politique aux responsables de traitement afin d'accélérer leur mise en conformité avec le projet de règlement en augmentant dès à présent les sanctions de la Cnil qui apparaissent bien faibles au regard des enjeux financiers tirés du non-respect de la règlementation informatique et libertés.

Votre commission a adopté l'amendement COM-302 de son rapporteur visant à substituer à la transposition de l'article 79 du projet de règlement une augmentation du montant des amendes pécuniaires pouvant être prononcées par la Cnil, à hauteur de 1,5 million d'euros.

Votre commission a adopté l'article 33 bis B ainsi modifié.

Article 33 bis (art. 49 bis [nouveau] de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés) - Coopération de la Cnil avec ses homologues d'États non membres de l'Union européenne

Le présent article résulte de l'adoption par la commission des lois de l'Assemblée nationale d'un amendement de M. Sergio Coronado et vise à prévoir un nouveau mécanisme de coopération entre la Cnil et ses homologues relevant d'un État non membre de l'Union européenne, dès lors que cet État offre un niveau de protection adéquat des données à caractère personnel.

En application de l'article 28 de la directive 95/46/CE du 24 octobre 1995, l'article 49 de la loi du 6 janvier 1978 permet à la Cnil d'échanger des informations confidentielles, de procéder à des vérifications et à des contrôles dans le cadre d'actions de coopération avec ses homologues européens, sauf si le traitement de données relève de la souveraineté de l'État.

Le présent article vise à permettre de telles actions de coopération de la Cnil avec ses homologues situés en dehors de l'Union européenne231(*) dès lors que ceux-ci offrent un « niveau de protection adéquat des données à caractère personnel », conformément à l'article 25 de la directive 95/46/CE et que ces actions sont organisées selon une convention publiée au Journal officiel.

Alors que l'autorité des marchés financiers, l'autorité de contrôle prudentiel et l'autorité de la concurrence disposent d'ores et déjà de mécanismes similaires, il semble pertinent de renforcer la coopération internationale de la Cnil qui contribue à une meilleure efficacité de son action.

Votre commission a adopté l'article 33 bis sans modification.

Article 33 ter A (supprimé) (art. L. 36-14 du code des postes et des communications électroniques) - Habilitation des agents de l'Arcep à constater des infractions à la loi Informatique et libertés

Le présent article est issu de l'adoption, en séance publique, par l'Assemblée nationale d'un amendement de M. Sergio Coronado.

Il vise à habiliter les agents de l'autorité de régulation des communications électroniques et des postes (Arcep) afin qu'ils puissent constater les infractions mentionnées dans la loi du 6 janvier 1978 et les communiquer à la Commission nationale de l'informatique et des libertés.

Ce dispositif s'inspire de la possibilité offerte par la loi du 17 mars 2014 relative à la consommation qui permet aux agents de l'autorité de la concurrence de constater les infractions à la loi de 1978.

Votre rapporteur s'est toutefois interrogé sur la pertinence et la portée d'un tel dispositif au regard de l'article 40 du code de procédure pénale232(*).

En effet, l'Arcep ne dispose pas d'une compétence particulière permettant de constater les manquements à la loi informatique et libertés. De plus, l'autorité relève que ces agents ne sont pas formés à la technicité de cette matière et cette habilitation ne serait pas sans générer un important contentieux sur le déroulement de ces investigations.

Considérant que les dispositions de l'article 40 suffisaient à organiser le dialogue entre la Cnil et l'Arcep sur les manquements à la loi de 1978, votre commission a adopté l'amendement COM-303 de son rapporteur visant à supprimer l'article 33 ter A.

Article 33 ter (supprimé) (art. L. 2-24 du code de procédure pénale) - Habilitation pour les associations de protection des données personnelles ou de la vie privée de se constituer partie civile en matière d'atteintes aux droits de la personne résultant des fichiers ou des traitements informatiques

Le présent article résulte de l'adoption par la commission des lois de l'Assemblée nationale d'un amendement de M. Sergio Coronado et vise à habiliter les associations déclarées depuis au moins deux ans, proposant par leurs statuts de protéger les données personnelles ou la vie privée, afin qu'elles puissent exercer les droits reconnus à la partie civile pour les infractions prévues aux articles 226-16 à 226-24 du code pénal. Lorsque les infractions auraient été commises envers des personnes individuelles, la recevabilité de l'action de l'association serait conditionnée à l'accord de celles-là.

Les atteintes aux droits de la personne résultant des fichiers
ou des traitements informatiques

226-16 du code pénal

Fait de procéder à un traitement de données à caractère personnel sans respecter les formalités préalables à leur mise en oeuvre

226-16-1-A du code pénal

Fait de ne pas respecter les normes simplifiées ou d'exonérations établies par la Cnil

226-16-1 du code pénal

Fait de procéder à un traitement de données à caractère personnel portant sur le numéro d'inscription au répertoire (NIR), sans autorisation

226-17 du code pénal

Fait de procéder à un traitement de données à caractère personnel sans prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu'elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès

226-17-1 du code pénal

Fait pour un fournisseur de services de communications électroniques de ne pas procéder à la notification d'une violation de données à caractère personnel à la Commission nationale de l'informatique et des libertés ou à l'intéressé

226-18 du code pénal

Fait de collecter des données à caractère personnel par un moyen frauduleux, déloyal ou illicite

226-18-1 du code pénal

Fait de procéder à un traitement de données à caractère personnel concernant une personne physique malgré l'opposition de cette personne, lorsque ce traitement répond à des fins de prospection, notamment commerciale

226-19 du code pénal

Fait de collecter des données à caractère personnel dites « sensibles233(*) »

226-19-1 du code pénal

Fait de procéder à un traitement de données à caractère personnel dans le domaine de la santé sans information préalable de l'individu ou malgré son opposition

226-20 du code pénal

Fait de conserver des données à caractère personnel au-delà de la durée prévue

226-21 du code pénal

Fait de détourner des informations à caractère personnel de leur finalité

226-22 du code pénal

Fait de divulguer intentionnellement des données personnelles portant atteinte à la considération de l'intéressé ou à l'intimité de sa vie privée

226-22-1 du code pénal

Fait de procéder à un transfert de données à caractère personnel en dehors de l'Union européenne en violation des normes européennes ou françaises

Les dispositions pénales visées, qui résultent de la loi du 6 janvier 1978, modifiées par la loi du 6 août 2004, ont pour finalité de protéger la vie privée des personnes « fichées », volontairement ou involontairement.

Dès lors, selon les règles traditionnelles de la mise en mouvement de l'action publique, les poursuites pénales sur ces infractions peuvent être engagées tant par le ministère public, notamment sur signalement de la Cnil, que par les victimes.

L'article 2 du code de procédure pénale pose pour principe que « l'action civile en réparation du dommage causé par un crime, un délit ou une contravention appartient à tous ceux qui ont personnellement souffert du dommage directement causé par l'infraction ».

Les droits reconnus à la partie civile

La constitution de partie civile permet à la personne qui en bénéficie d'avoir accès au dossier de la procédure. Comme le soulignent Frédéric Desportes et Laurence Lazerges-Cousquer234(*), la partie civile dispose « de droits importants qui lui permettent d'orienter l'instruction ». À cet égard, la partie civile peut :

- demander « à ce qu'il soit procédé à tous actes qui [lui] paraissent nécessaires à la manifestation de la vérité » (article 82-1 du code de procédure pénale) ;

- lorsqu'elle demande que soit ordonnée une expertise, préciser dans sa demande les questions qu'elle voudrait voir poser à l'expert (article 156 du code de procédure pénale) ;

- demander une contre-expertise (article 167 du code de procédure pénale), qui est de droit lorsque les conclusions de l'expertise sont de nature à conduire le juge d'instruction à déclarer la personne mise en examen irresponsable pénalement en raison d'un trouble mental (article 167-1 du code de procédure pénale) ;

- demander que certains actes soient effectués en présence de son avocat (article 82-2 du code de procédure pénale).

En outre, comme l'indiquent les mêmes auteurs, la partie civile dispose également de « la possibilité de contrôler le déroulement de l'instruction. Elle bénéficie ainsi du droit de former appel, notamment des ordonnances de refus d'informer, de non-lieu, rejetant sa demande d'un acte d'instruction ou, plus généralement, de toute ordonnance portant atteinte à ses intérêts. Elle peut, sous certaines conditions, saisir la chambre de l'instruction de requêtes en annulation de la procédure. Elle peut, enfin, demander au juge de se prononcer sur la suite à donner au dossier, en demandant par exemple à l'expiration du délai prévisible d'achèvement de la procédure, qui lui a été notifiée en début d'information, qu'une personne mise en examen soit renvoyée devant un tribunal correctionnel (article 175-1 du code de procédure pénale) ».

Source : Rapport n° 491 (2015-2016) de M. Michel Mercier, au nom de la commission des lois,
sur le projet de loi renforçant la lutte contre le crime organisé, le terrorisme et leur financement,
et améliorant l'efficacité et les garanties de la procédure pénale

En outre, accorder à une association, d'une existence de seulement deux ans, la faculté d'exercer les droits de l'action civile reviendrait à affaiblir le principe d'opportunité des poursuites du ministère public.

En conséquence, votre commission a adopté un amendement COM-304 de son rapporteur visant à supprimer cette disposition.

Votre commission a supprimé l'article 33 ter.

Article 33 quater (art. 226-1 du code pénal) - Répression pénale de la diffusion d'images ou de vidéos à caractère sexuel sans le consentement de la personne

Le présent article est issu de l'adoption par la commission des lois de l'Assemblée nationale d'un amendement de M. Sergio Conorado, contre l'avis du rapporteur et du Gouvernement, puis de l'adoption en séance publique d'un amendement de Mme Catherine Coutelle, avec l'avis favorable du Gouvernement. Il vise à créer une circonstance aggravante à la diffusion d'images, sans le consentement de la personne, lorsque celles-ci, prises dans un lieu public ou privé, sont de caractère sexuel.

Cet article répond aux phénomènes dits de « revenge porn » où des personnes diffusent sur internet des photos ou vidéos intimes de leur ancien partenaire. Ces comportements sont appréhendés par l'article 226-1 du code pénal qui punit d'un an d'emprisonnement et de 45 000 euros d'amende la captation, l'enregistrement et la transmission, sans le consentement de celle-ci, d'image d'une personne se trouvant dans un lieu privé.

La rédaction actuelle de l'article 226-1 du code pénal ne répond cependant qu'imparfaitement au phénomène en cause : d'une part, les photos peuvent avoir été prises dans un lieu public235(*), d'autre part, la jurisprudence retient une présomption de consentement à la diffusion de ces photos lorsque les personnes ont consenti à la prise des photos.

En effet, le dernier alinéa de l'article 226-1 prévoit une présomption de consentement lorsque les actes de captation, d'enregistrement, de transmission « ont été accomplis au vu et au su des intéressés sans qu'ils s'y soient opposés, alors qu'ils étaient en mesure de le faire ». Si les tribunaux ont souvent condamné les personnes qui avaient conservé et diffusé, sans le consentement de la personne, une image prise en revanche avec le consentement de celle-ci236(*), la chambre criminelle de la Cour de cassation a censuré, dans un arrêt récent du 16 mars 2016, la cour d'appel de Nîmes qui avait considéré que le consentement à être photographié ne signifiait pas le consentement de la personne à la diffusion de cette image. Une telle interprétation méconnait, selon la Cour de cassation, le principe d'interprétation stricte de la loi pénale énoncé à l'article 111-4 du code pénal.

Au regard de cette décision, votre commission estime nécessaire de clarifier la rédaction de l'article 226-1 du code pénal afin de faire porter la présomption de consentement sur la seule captation de paroles ou la fixation d'images. En effet, il apparaît impossible de s'opposer pendant la transmission de ces éléments, qui portent atteinte à l'intimité de la vie privée d'autrui, à leur diffusion. De fait, la présomption de consentement devient très difficile à renverser.

La répression des atteintes à la vie privée


· Article 226-1

Est puni d'un an d'emprisonnement et de 45 000 euros d'amende le fait, au moyen d'un procédé quelconque, volontairement de porter atteinte à l'intimité de la vie privée d'autrui :

1° en captant, enregistrant ou transmettant, sans le consentement de leur auteur, des paroles prononcées à titre privé ou confidentiel ;

2° en fixant, enregistrant ou transmettant, sans le consentement de celle-ci, l'image d'une personne se trouvant dans un lieu privé.

Lorsque les actes mentionnés au présent article ont été accomplis au vu et au su des intéressés sans qu'ils s'y soient opposés, alors qu'ils étaient en mesure de le faire, le consentement de ceux-ci est présumé.


· Article 226-2

Est puni des mêmes peines le fait de conserver, porter ou laisser porter à la connaissance du public ou d'un tiers ou d'utiliser de quelque manière que ce soit tout enregistrement ou document obtenu à l'aide de l'un des actes prévus par l'article 226-1.

Lorsque le délit prévu par l'alinéa précédent est commis par la voie de la presse écrite ou audiovisuelle, les dispositions particulières des lois qui régissent ces matières sont applicables en ce qui concerne la détermination des personnes responsables.

Au-delà du phénomène de « revenge porn », il convient de renforcer la répression contre toute atteinte à la vie privée, réalisée sans le consentement des intéressés. Aussi, votre commission a-t-elle adopté l'amendement COM-305 de son rapporteur visant à limiter la présomption de consentement aux seuls actes de captation, fixation et enregistrement de paroles ou d'une image, seuls comportements qui peuvent être accomplis « au vu et au su » des intéressés.

Elle a également adopté la circonstance aggravante votée par l'Assemblée nationale, punissant de deux ans d'emprisonnement et de 60 000 euros d'amende la transmission d'images, prises dans un lieu privé ou public, présentant un caractère sexuel. Resterait punie des mêmes peines la diffusion de ces images, en vertu de l'article 226-2 du code pénal.

Votre commission a adopté l'article 33 quater ainsi modifié.

Section 2 - Confidentialité des correspondances électroniques privées
Article 34 (art. L. 32 et L. 32-3 du code des postes et des communications électroniques) - Respect du secret des correspondances par les opérateurs et les éditeurs de services de communication au public en ligne

Le présent article vise à préciser l'obligation de respecter le secret des correspondances, imposée aux opérateurs de communications électroniques et aux personnes qui éditent un service de communication au public en ligne.

Le code des postes et des communications électroniques comporte d'ores et déjà plusieurs obligations237(*) relatives au secret des correspondances, s'appliquant soit aux prestataires de services postaux (article L. 3-2), soit aux opérateurs de communications électroniques (article L. 32-3).

Il semble aujourd'hui légitime d'étendre cette même obligation, de portée constitutionnelle238(*), aux fournisseurs de service de messagerie électronique.

Seraient couverts par le secret tant le contenu de la correspondance, l'identité des correspondants, mais également l'intitulé du message et les documents joints, selon les précisions apportées par la commission des lois de l'Assemblée nationale.

Cette précision et cette extension ont pour conséquence de définir comme une atteinte à ce secret des correspondances tout « traitement automatisé d'analyse du contenu de la correspondance ». Selon la Cnil, cette modification serait de nature à « permettre aux opérateurs économiques assurant la fourniture d'un service de messagerie ou le stockage des données correspondantes de mesurer l'étendue de leur responsabilité, spécialement lorsque ceux-ci envisagent de recourir à des outils automatiques destinés à contextualiser ou personnaliser des messages publicitaires à destination de leurs clients ».

Dans le projet de loi initial, le présent article précisait que lorsque ces traitements avaient pour fonction « l'affichage, le tri ou l'acheminement des correspondances, la fourniture d'un service bénéficiant à l'utilisateur ou à la détection des contenus non sollicités ou de programmes malveillants », ils ne constituaient pas une atteinte au secret des correspondances.

Toutefois, l'Assemblée nationale a adopté, en séance publique, un amendement de Mme Corine Erhel, rapporteure pour avis de la commission des affaires économiques, afin d'interdire tout traitement automatisé d'analyse de la correspondance « à des fins publicitaires ou statistiques », sans le consentement de l'utilisateur recueilli périodiquement, dans la limite d'une année.

Cette rédaction consacre ainsi le principe d'un consentement nécessaire à tout « scan » du contenu des correspondances. Votre rapporteur a approuvé ce dispositif tout en supprimant le renvoi au règlement pour fixer la périodicité du consentement.

Enfin, votre rapporteur a souhaité clarifié le champ d'application de cette disposition. En effet, le présent article applique le secret des correspondances aux personnes « qui éditent » un service de communication au public en ligne, au sens du II de l'article 6 de la loi n° 2004-575 du 21 juin 2004 pour la confiance dans l'économie numérique. Or l'article 1er de cette loi exclut du champ de la « communication au public en ligne », tout échange d'informations ayant le caractère d'une correspondance privée.

Selon l'étude d'impact, « l'objectif est de lever la controverse en édictant clairement que l'ensemble des services de communication au public en ligne qui permettent d'échanger une correspondance privée sont astreints au respect du secret des correspondances. »

Votre rapporteur considère que pour lever toute controverse il appartient au législateur de viser explicitement tout éditeur, mais également tout fournisseur de services de communication au public en ligne par l'obligation de respecter le secret des correspondances.

Dès lors, il semble également nécessaire de définir la notion de fournisseur de services de communication au public en ligne, afin de ne pas l'opposer à la notion d'éditeur, ni la réduire à celle d'hébergeur, pour lesquels est organisé un régime de responsabilité limitée.

À ces fins, votre commission a adopté l'amendement COM-306 de son rapporteur qui propose dans le code des postes et des communications électroniques, une définition de la notion de fournisseur de services de communication au public en ligne.

Serait désormais considéré comme fournisseur de services de communication au public en ligne « toute personne assurant la mise à disposition de contenus, services ou applications relevant de la communication au public en ligne au sens de l'article 1er de la loi n° 2004-575 du 21 juin 2004 pour la confiance dans l'économie numérique » ainsi que « les personnes qui éditent un service de communication au public en ligne, mentionnées au deuxième alinéa du II de l'article 6 de la loi n° 2004-575 du 21 juin 2004 pour la confiance dans l'économie numérique, ou qui assurent le stockage de signaux, d'écrits, d'images, de sons ou de messages de toute nature ».

Votre commission a adopté l'article 34 ainsi modifié.


* 190 L'article 1 dispose que « La dignité de l'être humain est intangible. Tous les pouvoirs publics ont l'obligation de la respecter et de la protéger » et l'article 2 affirme que « Chacun a droit au libre épanouissement de sa personnalité pourvu qu'il ne viole pas les droits d'autrui ni n'enfreigne l'ordre constitutionnel ou la loi morale. »

* 191 Conseil d'État, Le numérique et les droits fondamentaux, 2014.

* 192 Rapport d'information n° 441 (2008-2009) de M. Yves Déraigne et Mme Anne-Marie Escoffier, « La vie privée à l'heure des mémoires numériques. Pour une confiance renforcée entre citoyens et société de l'information ». Voir le lien : http://www.senat.fr/rap/r08-441/r08-441_mono.html

* 193 Nicolas Ochoa, « Pour en finir avec l'idée d'un droit de propriété sur ses données personnelles : ce que cache véritablement le principe de libre disposition », RFDA 2015, page 1157.

* 194 Muriel Fabre-Magnan, « Le domaine de l'autonomie personnelle, indisponibilité du corps humain et justice sociale », Dalloz, 2008.

* 195 Ces dispositions sont introduites par l'article 32 du présent projet de loi.

* 196 À l'exception de certains traitements automatisés de données qui intéressent la sûreté de l'État, la défense ou la sécurité publique, ou qui ont pour objet la prévention, la recherche, la constatation ou la poursuite des infractions pénales ou l'exécution des condamnations pénales ou des mesures de sûreté, qui peuvent être dispensés de publication (article 26 de la loi du 6 janvier 1978).

* 197 Rapport du Conseil d'État, pages 285-286.

* 198 Proposition de loi n° 93 (2009-2010), présentée par Mme Anne-Marie Escoffier et M. Yves Détraigne, tendant à mieux garantir le droit à la vie privée à l'heure du numérique.

Voir le dossier législatif : http://www.senat.fr/dossier-legislatif/ppl09-093.html

* 199 Délibération n° 2015-414 du 19 novembre 2015 portant avis sur un projet de loi pour une République numérique.

* 200 Propositions de la Cnil sur les évolutions de la loi informatique et libertés dans le cadre du projet de loi numérique, 13 janvier 2015, page 3.

* 201 Ces dispositions avaient été retirées du projet de loi déposé à l'Assemblée nationale, à la suite de l'avis du Conseil d'État, qui avait souligné qu'elles relevaient de la procédure parlementaire et donc d'une loi organique.

* 202 Il faut saluer la mise en place par l'alliance Allistene d'une commission de réflexion sur l'éthique de la recherche en sciences et technologies du numérique (CERNA). Néanmoins, cette commission ne traite pas de la réflexion de l'éthique des usages.

De même, la création à l'Assemblée nationale de la commission de réflexion et de propositions sur le droit et les libertés à l'âge du numérique révèle ce besoin de questionnement sur ces enjeux.

* 203 La Cnil exerce en effet d'ores et déjà une mission de veille et de prospective sur certaines questions, depuis 2011.

* 204 En particulier le paragraphe 52-(aa) qui assigne à l'autorité régulatrice des missions d'éducation au numérique et à la protection des données, notamment ses risques et les moyens de la protéger ; le paragraphe 52-(e), qui détermine notamment une mission de veille des technologies de l'information ayant un impact sur la protection des données personnelles ; le paragraphe 52-(gb), de promotion de mécanismes de protection et de certification.

* 205 La certification désigne l'activité par laquelle un organisme tiers atteste de la conformité d'une procédure, d'un produit ou d'un service proposé par une personne donnée, à des exigences préalablement définies.

* 206 Proposition de règlement du Parlement européen et du Conseil relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données (règlement général sur la protection des données)- 2012/0011 (COD).

* 207 La protection des données personnelles dans l'open data : une exigence et une opportunité, rapport d'information n° 469 (2013-2014) de MM. Gaëtan Gorce et François Pillet, fait au nom de la commission des lois du Sénat, 16 avril 2014. Ce rapport est disponible à l'adresse suivante : http://www.senat.fr/notice-rapport/2013/r13-469-notice.html.

* 208 Consentement de l'intéressé à la diffusion de ses données, anonymisation ou exigence légale de diffusion.

* 209 Association française de normalisation.

* 210 Notion développée par Marie-Anne Frison-Roche, reprise par le rapport de la commission des lois de l'Assemblée nationale sur le projet de loi relatif à la République numérique.

* 211 Toutefois, comme on le verra infra, les dispositions sur la mort numérique engagent aussi le droit d'opposition ou d'accès des articles 38 et 39 de la même loi.

* 212 La vie privée à l'heure des mémoires numériques. Pour une confiance renforcée entre citoyens et société de l'information, Rapport d'information n° 441 (2008-2009) de M. Yves Détraigne et Mme Anne-Marie Escoffier, fait au nom de la commission des lois, 27 mai 2009, p. 109. Le rapport est consultable à l'adresse suivante :

http://www.senat.fr/notice-rapport/2008/r08-441-notice.html.

* 213 Défenseur des droits, Enfants et écrans : grandir dans le monde numérique, Rapport 2012 consacré aux droits de l'enfant, pp. 96-97.

* 214 Délibération de la formation restreinte de la Cnil, n° 2016-054 du 10 mars 2016 prononçant une sanction pécuniaire à l'encontre de la société Google Inc.

* 215 Les droits d'accès, de rectification et d'effacement ne peuvent s'exercer contre des traitements de données mis en oeuvre aux fins d'expression littéraire ou artistique ou d'exercice, à titre professionnel, de l'activité de journaliste.

* 216 Cf. https://www.cnil.fr/fr/mort-numerique-peut-demander-leffacement-des-informations-dune-personne-decedee-0.

* 217 On peut citer, toutefois, les travaux récents suivants : Cécile Pérès, « Les données à caractère personnel et la mort. Observations relatives au projet de loi pour une République numérique », Rec. Dalloz, 2016.90 ; Julie Groffe, « La mort numérique », Rec. Dalloz, 2015.1609 et Amélie Favreau, « Mort numérique : quel sort juridique pour nos informations personnelles », Revue Lamy Droit civil, 2015.66.

* 218 Disponible aux adresses suivantes : https://www.cnil.fr/fr/mort-numerique-ou-eternite-virtuelle-que-deviennent-vos-donnees-apres-la-mort-0 et  https://www.cnil.fr/fr/mort-numerique-peut-demander-leffacement-des-informations-dune-personne-decedee-0.

* 219 Conseil d'État, Étude annuelle 2014 - Le numérique et les droits fondamentaux, préc. et Numérique et liberté : un nouvel âge démocratique, rapport n° 3119 (AN-XIVe législature), préc.

* 220 Cf., sur ce point, Cécile Pérès, art. cit.

* 221 Notre droit civil distingue les droits personnels, attachés à la personne, qui disparaissent avec elle et les droits patrimoniaux, valorisables et attachés au patrimoine de l'intéressé, qui lui survit et se transmet à ses héritiers.

* 222 L'ordre retenu est en fait calqué sur celui applicable à la transmission du droit de divulgation d'une oeuvre de l'esprit (article L. 121-2 du code de la propriété intellectuelle).

* 223 Première chambre civile de la Cour de cassation, 14 décembre 1999, Bull. civ. I, n° 345 : « le droit d'agir pour le respect de la vie privée s'éteint au décès de la personne concernée, seule titulaire de ce droit ».

* 224 Deuxième chambre civile de la Cour de cassation, 8 juillet 2004, Bull. civ. II, n° 390.

* 225 Première chambre civile de la Cour de cassation, 22 octobre 2009, Bull. civ. I, n° 211.

* 226 Cécile Pérès, art. cit.

* 227 Ces photos, ainsi que les autres souvenirs de famille, font d'ailleurs l'objet d'une jurisprudence particulière : les biens ne sont pas remis privativement à un héritier, mais font l'objet d'une copropriété indivise entre les membres de la famille (Première chambre civile de la Cour de cassation, 21 févr. 1978, Bull. civ. I, n° 71)

* 228 Dans une décision du 19 février 2008, le Conseil d'État considère que la formation restreinte de la Cnil répond aux exigences de procès équitable, d'impartialité et d'indépendance du tribunal prévu à l'article 6 de la CEDH. L'instruction du dossier est confiée à un rapporteur, n'appartenant pas à la formation restreinte de la CNIL et ne participant pas aux délibérations. De plus, la poursuite est exercée par le président de la CNIL et la sanction par la formation restreinte, qui peut procéder à l'audition de toute personne utile. Les décisions de la formation restreinte, motivées et notifiées, sont susceptibles de recours devant le Conseil d'État.

* 229 Projet de loi n° 3204 (XIVe législature - AN) relatif à l'action de groupe et à l'organisation judiciaire, adopté par le Sénat 5 novembre 2015.

* 230 C'est-à-dire en cas de manquement réitéré dans les cinq années à compter de la date à laquelle la sanction pécuniaire précédemment prononcée est devenue définitive.

* 231 Comme le permet le (c) de l'article 52 du projet de règlement européen relatif à la protection des données à caractère personnel.

* 232 Selon l'article 40, « toute autorité constituée, tout officier public ou fonctionnaire qui, dans l'exercice de ses fonctions, acquiert la connaissance d'un crime ou d'un délit est tenu d'en donner avis sans délai au procureur de la République et de transmettre à ce magistrat tous les renseignements, procès-verbaux et actes qui y sont relatifs. »

* 233 Soit des données qui, directement ou indirectement, font apparaître les origines raciales ou ethniques, les opinions politiques, philosophiques ou religieuses, ou les appartenances syndicales des personnes, ou qui sont relatives à la santé ou à l'orientation ou identité sexuelle de celles-ci.

* 234 Frédéric Desportes et Laurence Lazerges-Cousquer, Traité de procédure pénale, Troisième édition (ouvrage à jour au 1er septembre 2013), Economica.

* 235 Dans un arrêt du 25 octobre 2011, la chambre criminelle de la Cour de cassation a établi que la prise, sans le consentement de celles-ci, de photographies de personnes se trouvant dans un lieu public ne constitue pas le délit d'atteinte à la vie privée prévu par l'article 226-1 du code pénal.

* 236 CA Metz, 4 février 1988 ; TGI 17e chambre de Paris, 6 juin 1997.

* 237 Celles-ci sont sanctionnées par les dispositions 226-1 à 226-3 et 226-15 du code pénal.

* 238 Les articles 2 et 4 de la Déclaration des droits de l'homme et du citoyen de 1789 protègent le droit au respect du secret des correspondances comme l'a rappelé le Conseil constitutionnel dans une décision du 24 juillet 2015 « le respect de la vie privée, dans toutes ses composantes, notamment le secret des correspondances, la protection des données personnelles et l'inviolabilité du domicile, est garanti par la loi ».