Le blog juridique de Jean Michel Portail

La CNIL et les sites internet ou blogs personnels

Le 07/10/2010, par Jean Michel Portail, dans Technologies / Droit de l'internet.

Vos réactions...

   

Au siècle précédent, l'arrivée de l'informatique a conduit le législateur français a créer une loi devenue célèbre : la loi (n°78-17) du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés. L'article premier de cette loi est une déclaration solennelle : "L'informatique doit être au service de chaque citoyen. Son développement doit s'opérer dans le cadre de la coopération internationale. Elle ne doit porter atteinte ni à l'identité humaine, ni aux droits de l'homme, ni à la vie privée, ni aux libertés individuelles ou publiques."

L'article 2 de cette loi énonçait alors très clairement la volonté du législateur d'empêcher la dérive suivante: la possibilité de fonder une décision de justice, mais également une décision administrative ou privée, impliquant une "appréciation sur un comportement humain" ayant pour fondement "un traitement automatisé d'informations donnant une définition du profil ou de la personnalité de l'intéressé."

Evidemment, quand internet "infiltre" l'informatique quelques années plus tard, on s'est plus que jamais inquiété de la possibilité, par ce vecteur, de collecter des données personnelles.

Nous sommes en 1997 et la CNIL (Commission Nationale Informatique et Libertés) décide qu'un formulaire spécifique de déclaration des sites web devra être établi par toute personne se lançant dans l'aventure web. Près de 75.000 sites ont ainsi été déclarés à la CNIL. Gardien de la loi de 1978, la CNIL considère que tout site internet doit être déclaré; il est donc considéré a priori comme pouvant poser problème. Le mouvement prenant de l'ampleur (c'est un euphémisme ; la CNIL parle dans certains de ses avis de "banalisation" d'internet), la CNIL va renoncer à la procédure de déclaration pour les sites personnels. Une délibération n°2005-284 du 22 novembre 2005 intervient en ce sens.

En 2004, une loi vient considérablement modifier et compléter la loi de 1978 (loi n°2004-801 du 6 août 2004). Ainsi l'article 2 de la loi de 1978 est totalement modifié à cette occasion. Son analyse devient fondamentale pour saisir la lettre et l'esprit de la loi, dans sa version de 2004.

Cet article précise désormais que la loi s'applique aux traitements automatisés, "ainsi qu'aux traitements non automatisés" de données à caractère personnel contenus ou appelés à figurer dans des fichiers. Il s'agit donc d'une extension du domaine de la loi.

En outre, il n'est plus question à ce moment-là de limiter l'action de la loi au seul contrôle de décisions judiciaires, administratives ou privées qui auraient impliqué une "appréciation sur un comportement humain" ayant pour fondement "un traitement automatisé d'informations donnant une définition du profil ou de la personnalité de l'intéressé." Dans la version de 2004, la loi peut s'appliquer du moment qu'il existe un traitement automatisé (ou non) de données à caractère personnel. Les problèmes pouvant éventuellement encore découler des décisions judiciaires précitées sont abordés à l'article 10 de la loi et la référence aux décisions administratives ou privées est désormais remplacée par un très générique " autre décision".

Il s'agit donc d'une extension du domaine de la loi. Internet en est une des causes.

La donnée à caractère personnel

Ce même article 2 s'attache à définir la fameuse donnée à caractère personnel : "Constitue une donnée à caractère personnel toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, par référence à un numéro d'identification ou à un ou plusieurs éléments qui lui sont propres. Pour déterminer si une personne est identifiable, il convient de considérer l'ensemble des moyens en vue de permettre son identification dont dispose ou auxquels peut avoir accès le responsable du traitement ou toute autre personne."

Il est important de comprendre que la définition de la donnée personnelle implique le constat de la récolte d'une information pouvant permettre d'identifier une personne, quels que soient les moyens mis en place. A ce sujet, on peut se poser quelques questions en ce qui concerne la définition de l'identification d'une personne. Sur ce point, la loi évoque la possibilité de considérer comme suffisant la détention d'une information comprenant "un numéro d'identification", ou la détention "d'un ou plusieurs éléments qui sont propres" à cette personne. On doit donc considérer que la définition de l'identification d'une personne au sens de cette loi est large, puisque l'on peut estimer que lorsque l'information concerne certains éléments appartenant en propre à une personne, celle-ci est identifiée ou identifiable. En conséquence, si un traitement de données obtient une photographie (non floutée...), le débat tourne court: la personne est identifiable. S'il s'agit de recueillir des informations concernant l'âge, le sexe, la profession et la ville de résidence d'une personne, celle-ci semble également identifiable.

L'article de la loi précitée dans sa version de 2004 va également définir ce qu'elle entend par traitement de données : "constitue un traitement de données à caractère personnel toute opération ou tout ensemble d'opérations portant sur de telles données, quel que soit le procédé utilisé, et notamment la collecte, l'enregistrement, l'organisation, la conservation, l'adaptation ou la modification, l'extraction, la consultation, l'utilisation, la communication par transmission, diffusion ou toute autre forme de mise à disposition, le rapprochement ou l'interconnexion, ainsi que le verrouillage, l'effacement ou la destruction."

On remarquera le caractère très extensif de cette définition permettant quasiment de considérer qu'il existe toujours un traitement de données, du point de vue de la forme...

Le traitement des données

Enfin, l'article définit le fichier : "Constitue un fichier de données à caractère personnel tout ensemble structuré et stable de données à caractère personnel accessibles selon des critères déterminés."

Dans sa version de 2004, la loi précise une première limite à son domaine d'application: elle exclut de son champ "les traitements mis en oeuvre pour l'exercice d'activités exclusivement personnelles".

En outre, les exceptions d'application, ou les application édulcorées de cette loi sont en réalité nombreuses. Citons ici quelques exemples remarquables : les traitements de données à caractère personnel ayant pour fin la recherche dans le domaine de la santé (application modérée), les traitements réalisés à des fins d'évaluation ou d'analyse des pratiques ou des activités de soins et de prévention, les traitements aux fins de journalisme et d'expression littéraire et artistique.

Pour revenir à la première limite affichée au domaine d'application de la loi, c'est-à-dire "les traitements mis en oeuvre pour l'exercice d'activités exclusivement personnelles", il faut se poser la question de savoir si un site Web personnel (non marchand), un blog seraient, du fait de cette limite expresse, exclus du champ de la loi. En réalité, non.

La Commission a affirmé, dans une délibération n°2005-284 du 22 novembre 2005, que l'utilisation par les particuliers, à titre privé, de sites web est susceptible de permettre, "d'une part, la collecte de données à caractère personnel de personnes qui s'y connectent et, d'autre part, la diffusion de données à caractère personnel (nom, images de personnes ou tout autre élément permettant d'identifier une personne physique)."

La loi de 1978 est donc censée s'appliquer à tous les sites et tous les blogs personnels.

Incidences de l'application de la loi de 1978 aux sites et blogs

Nous nous intéresserons ici uniquement aux questions juridiques principales, parfois omises par beaucoup de détenteurs de sites personnels.

Il convient tout d'abord de rappeler l'interdiction générale suivante :

"Il est interdit de collecter ou de traiter des données à caractère personnel qui font apparaître, directement ou indirectement, les origines raciales ou ethniques, les opinions politiques, philosophiques ou religieuses ou l'appartenance syndicale des personnes, ou qui sont relatives à la santé ou à la vie sexuelle de celles-ci."

Par ailleurs, un traitement de données à caractère personnel doit avoir reçu le consentement de la personne concernée, à moins de satisfaire à certaines conditions énumérées dans la loi, qui intéressent fort peu, en règle générale, les personnes détentrices de sites ou de blogs (respect d'une obligation légale, sauvegarde de la vie de la personne concernée...)

En outre, un traitement ne peut porter que sur des données à caractère personnel qui satisfont aux conditions suivantes :

  1. Les données sont collectées et traitées de manière loyale et licite ;
  2. Elles sont collectées pour des finalités déterminées, explicites et légitimes et ne sont pas traitées ultérieurement de manière incompatible avec ces finalités ;
  3. Elles sont adéquates, pertinentes et non excessives au regard des finalités pour lesquelles elles sont collectées et de leurs traitements ultérieurs ;
  4. Elles sont exactes, complètes et, si nécessaire, mises à jour, effacées ou rectifiées ;
  5. Elles sont conservées sous une forme permettant l'identification des personnes concernées pendant une durée qui n'excède pas celle nécessaire aux finalités poursuivies.

Par ailleurs, vous devrez, en tant que responsable du site, sécuriser la conservation des informations ainsi recueillies et ne pas les conserver au-delà du temps nécessaire à la finalité strictement poursuivie.

Enfin, par application de l'article 32 de la loi informatique et libertés, la personne auprès de laquelle sont recueillies des données à caractère personnel la concernant est informée, sauf si elle l'a été au préalable, par le responsable du traitement ou son représentant :

  1. De l'identité du responsable du traitement et, le cas échéant, de celle de son représentant ;
  2. De la finalité poursuivie par le traitement auquel les données sont destinées ;
  3. Du caractère obligatoire ou facultatif des réponses ;
  4. Des conséquences éventuelles, à son égard, d'un défaut de réponse ;
  5. Des destinataires ou catégories de destinataires des données ;
  6. Des droits qu'elle détient ; le cas échéant, des transferts de données à caractère personnel envisagés à destination d'un Etat non membre de la Communauté européenne.

En application de l'article 38, "toute personne physique a le droit de s'opposer, pour des motifs légitimes, à ce que des données à caractère personnel la concernant fassent l'objet d'un traitement. Elle a le droit de s'opposer, sans frais, à ce que les données la concernant soient utilisées à des fins de prospection, notamment commerciale, par le responsable actuel du traitement ou celui d'un traitement ultérieur", sauf si le traitement répond à une obligation légale ou lorsque l'application de ces dispositions a été écartée par une disposition expresse de l'acte autorisant le traitement.

Par ailleurs, toute personne physique justifiant de son identité a le droit d'interroger le responsable d'un traitement de données à caractère personnel en vue d'obtenir, principalement:

  1. La confirmation que des données à caractère personnel la concernant font ou ne font pas l'objet de ce traitement ;
  2. Des informations relatives aux finalités du traitement, aux catégories de données à caractère personnel traitées et aux destinataires auxquels les données sont communiquées ;
  3. La communication des données à caractère personnel qui la concernent, ainsi que de toute information disponible quant à l'origine de celles-ci.

En conclusion, pour tout responsable d'un site Internet personnel, le plus simple semblerait, par rapport à la loi, de ne pas chercher à recueillir des informations permettant l'identification des personnes (nom, adresse, etc., etc.) et de s'engager préalablement à ne conserver, ni traiter, ni céder aucunes données éventuellement recueillies, cette récolte n'étant faite qu'à des fins purement statistiques... Dans un cas contraire, la loi informatique et liberté a pleine vocation à s'appliquer, théoriquement s'entend, ce qui ne sera pas toujours aisé pour les détenteurs de sites personnels recueillant des informations.

A propos du droit à l'image

Enfin, abordons rapidement la question du droit à l'image. En effet, l'image est une donnée à caractère personnel. Ainsi, la diffusion à partir d'un site web de l'image ou de la vidéo d'une personne doit se faire, notamment, dans le respect des principes de la loi du 6 janvier 1978, mais aussi de l'article 9 du Code Civil.

Le droit à l'image sous-entend notamment le droit reconnu à toute personne de s'opposer à la diffusion, sans son autorisation expresse, de son image. Cette autorisation (de la captation et de la diffusion) doit être expresse et précise. Pour les images prises dans des lieux publics, seule l'autorisation des personnes qui apparaissent isolées et reconnaissables est nécessaire. Le non-respect de cette obligation, par la diffusion d'images ou de vidéo sur internet est susceptible d'être sanctionné par l'article 226-1 du code pénal (45.000 euros d'amende...)

Mais vous pourrez toujours faire valoir que votre capture de l'image d'une personne fut accomplie alors que celle-ci était parfaitement informée et qu'elle ne s'y est pas opposée alors qu'elle pouvait le faire... dans ce cas, son consentement est présumé.

N'ayez pas peur de montrer des images de vos parents et amis en diffusant celles-ci de façon limitée, par exemple au moyen de MMS, ou sur un blog à accès restreint. De la même façon, la photographie et la publication de photographies de personnes identifiables aux seules fins de journalisme ou d'expression artistique ne sont pas soumises aux principales dispositions de la loi du 6 janvier 1978 modifiée, dans la seule mesure où ces exceptions s'avèrent nécessaires pour concilier le droit à la vie privée avec les règles régissant la liberté d'expression.

Mais la loi informatique et libertés s'appliquera sinon, dans tous les autres cas, notamment en cas de diffusion de l'image d'une personne sur un site web ouvert. Cela doit conduire le responsable du traitement à informer les personnes dont les images sont utilisées de toutes les informations précitées: identité du responsable, finalité du traitement, personnes destinataires, droit d'accès et de rectification; enfin, droit de s'opposer, pour des motifs légitimes (donc des motifs devant être justifiés), au traitement des données à caractère personnel.

En conséquence, ne traitez jamais à la légère toute demande reçue, par mail sur votre blog, d'enlever toute ancienne photographie de vacances dévoilant les charmes d'une précédente liaison; liaison perdue de vue depuis, dans le cours des événements agités de votre vie sentimentale, professionnelle et numérique. Il pourrait vous en coûter de devoir apprendre, par le menu, les dispositions légales en vigueur dans notre pays.

Par Jean Michel PORTAIL
Avocat au Barreau de Bayonne

© 2010 Net-iris & Jean Michel Portail

   

Commentaires et réactions :


 Fiche de Jean Michel Portail

Profession : Avocat
Société : Cabinet Portail
Site web : Portail-avocat.com/

Blog ouvert le : 07/10/2010
Nombre d'articles publiés : 3

Ses dernières publications au 08/12/2016:

-