2. La neutralité technologique de la loi « informatique et libertés »
Ces principes ont irrigué les différents textes nationaux, européens ou étrangers relatifs à la protection des données personnelles.
L'ensemble des personnes entendues par vos rapporteurs a souligné la modernité de ces principes et leur extrême plasticité.
Ils se révèlent applicables et adaptés à l'ensemble des nouvelles technologies numériques qu'elles aient pour effet principal 43 ( * ) ou incident de collecter des données permettant de tracer un individu dans le temps et l'espace.
La CNIL s'est affirmé comme l'interprète vigilant de ces principes . Elle a développé, à mesure que de nouvelles applications apparaissaient, une doctrine exigeante, avec pour souci principal d'éviter que les individus ne se voient imposer, pour des raisons de confort ou d'efficacité, des dispositifs excessivement intrusifs.
Elle s'est également attachée à démontrer que l'éclosion de nouvelles technologies et applications n'ouvrait pas de vides juridiques , la loi du 6 janvier 1978 modifiée et ses grands principes demeurant pertinents.
Vos rapporteurs ont ainsi acquis la conviction que les équilibres de la loi du 6 janvier 1978 devaient être préservés et qu'il serait préjudiciable de s'engager sur la voie de législations spécifiques pour certaines technologies ou applications.
Cette dernière solution qui pourrait apparaître séduisante dans l'instant présente en réalité plusieurs inconvénients :
- elle crée des vides juridiques à mesure que de nouvelles technologies apparaissent, le législateur ayant souvent un temps de retard dans ces domaines ;
- elle sera nécessairement partielle ou lacunaire ;
- elle peut bloquer des évolutions technologiques.
A l'inverse, en s'appuyant sur des principes universels, le législateur se met à l'abri d'être dépassé par la technique. En outre, comme le montre la CNIL, ces principes ménagent un espace de négociation ou d'interaction entre l'autorité compétente, les utilisateurs et les industriels.
Une technologie n'est pas mauvaise en elle-même. Cela dépend de l'usage qui en est fait ainsi que des modalités selon lesquelles elle est mise en oeuvre.
Les industriels rencontrés par vos rapporteurs -Thalès, Sagem, Majority Report, Google, Microsoft, Facebook, My Space- ont fait part de leur dialogue constant et constructif avec la CNIL.
Une technologie ou un service qui pose des problèmes au regard du respect de la vie privée peut ne plus en poser quelques temps après. Le dialogue dynamique que permettent les grands principes pousse ainsi les industriels à développer des solutions techniques nouvelles plus respectueuses de la vie privée. Il évite aussi les réponses toutes faites.
Les exemples ci-après, parfois très récents, illustrent ces conclusions.
a) La géolocalisation
Certaines technologies de localisation posent peu de difficultés au regard du respect de la vie privée. Ainsi, en est-il de l'utilisation d'un navigateur GPS pour indiquer la meilleure route si les données collectées ne sont pas exploitées par un intervenant extérieur et si le navigateur n'est pas relié nominativement à son utilisateur. Dans ces conditions, l'anonymat est préservé.
En revanche, d'autres utilisations ont requis l'intervention de la CNIL qui a considéré que la loi du 6 janvier 1978 modifiée était applicable.
Plusieurs délibérations ont fixé un cadre.
La première fut une délibération du 17 novembre 2005 44 ( * ) par laquelle la CNIL s'est opposée à un projet de personnalisation des primes d'assurance en fonction de l'usage réel d'un véhicule. En l'espèce, l'assureur proposait de réduire le montant de la prime en contrepartie de l'installation d'un système de géolocalisation à bord du véhicule afin de lui permettre de vérifier le cas échéant le respect des engagements contractuels. La géolocalisation devait permettre en particulier de contrôler le respect des vitesses maximales autorisées.
La CNIL s'y est opposée et a rappelé plusieurs principes issus de la loi du 6 janvier 1978 modifiée.
Tout d'abord, l'article 9 de cette loi ne permet pas à une personne de droit privé de mettre en oeuvre un traitement relatif aux violations des limitations de vitesse. Un assureur ne peut donc pas enregistrer les excès de vitesse de ses clients.
Surtout, la délibération rappelle qu'il appartient à la CNIL « d'apprécier, au regard de la loi du 6 janvier 1978 modifiée et notamment de son article 6, la proportionnalité des moyens mis en oeuvre ». Elle a alors considéré que la collecte systématique des données relatives à la localisation des véhicules utilisés à titre privé à des fins de modulation de tarifs d'assurance automobile était de nature « à porter atteinte à la liberté d'aller et venir anonymement dans des proportions injustifiées ».
Ces positions de la CNIL ont conduit les assureurs à repenser leurs offres, illustrant ce dialogue constructif permanent pour concilier des intérêts divergents. Dans son rapport d'activité pour 2008, la CNIL annonce qu'elle devrait adopter de nouvelles recommandations.
D'autres délibérations sont ensuite intervenues, notamment pour répondre à la demande croissante de géolocalisation dans les entreprises.
Le 16 mars 2006, la CNIL a ainsi adopté deux délibérations 45 ( * ) relatives à la géolocalisation des véhicules des employés des organismes publics ou privés.
Elles précisent les finalités possibles de tels traitements. Si le suivi du temps de travail d'un employé peut se faire par ce moyen, encore faut-il que ce soit une finalité accessoire et que ce suivi ne puisse être réalisé par d'autres moyens.
Elles estiment également que le principe de proportionnalité justifie une conservation inférieure à deux mois, sauf exception.
Elles rappellent l'obligation d'information et de consultation des instances représentatives du personnel. Chaque employé doit être informé individuellement.
Enfin, elles recommandent que les employés puissent désactiver la fonction de géolocalisation des véhicules à l'issue de leur temps de travail lorsque ces véhicules peuvent être utilisés à des fins privées. C'est une des conséquences du principe de finalité.
* 43 La géolocalisation par exemple.
* 44 Délibération n° 2005-278 du 17 novembre 2005 portant refus de la mise en oeuvre par MAAF assurances SA d'un traitement automatisé de données à caractère personnel basé sur la géolocalisation des véhicules.
* 45 Délibérations n° 2006-66 et n° 2006-67 portant adoption respectivement d'une recommandation et d'une norme simplifiée. Les traitements remplissant les conditions fixées par une norme simplifiée bénéficient d'un régime de déclaration allégée.