• La notion de données à caractère personnel : qu’est-ce qu’une donnée à caractère personnel ?
Il est communément admis de définir une donnée à caractère personnel comme « toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, par référence à un numéro d’identification ou à un ou plusieurs éléments qui lui sont propres » [2].
Ainsi définie, la notion même de donnée à caractère personnel peut faire l’objet d’une appréhension simple qui, confrontée à la technique, peut être complexifiée à souhait. Ainsi, si l’identification [3] ou l’ « identifiabilité » des personnes concernées par les données est au cœur de la définition de la notion de données à caractère personnel [4], certains spécialistes de la matière ont considéré que cette identification ou cette identifiabilité était insuffisante et de proposer la « contactabilité » comme critère de définition de la notion de données à caractère personnel [5]. En guise de synthèse de ces deux critères, nous avions nous-mêmes proposé en définitive le critère de la « concernabilité » [6].
En laissant de côté ces aspects théoriques et complexes pour en venir aux aspects plus pratiques et simples de la définition de la notion de données à caractère personnel, nous citerons un arrêt jugement rendu par le tribunal de commerce d’Abidjan pour illustrer les erreurs qui peuvent être commises dans l’appréhension de la notion de donnée personnelle.
- Tribunal de commerce d’Abidjan (Côte d’Ivoire), jugement du 30 janvier 2014
En l’espèce, suspectant une ancienne salariée de « piratage industriel », la société OGILVY avait obtenu l’autorisation du juge de faire procéder à une expertise informatique. Pour l’accomplissement de sa mission, l’expert avait pu accéder au poste informatique de la salariée concernée, à des fichiers portant ses nom et prénom et à sa messagerie électronique personnelle. Les avocats de la défenderesse avaient alors tenté de remettre en cause l’expertise en soutenant qu’il a avait été porté atteinte aux données personnelles de madame C. M. épouse B.
Pour rejeter ce grief, le tribunal considérera que « concernant l’exploitation des données et documents personnels de Mme C. B., le tribunal note que les ordinateurs expertisés sont des ordinateurs appartenant à la société OCEAN OGILVY, mis à la disposition de ses employés dont Madame C. B. Certes l’expert a révélé l’existence de mails litigieux dans la boîte électronique de celle-ci, mais il n’est pas établi qu’il ait forcé sa messagerie, en violation des règles légales. Ce qui a été fait, c’est que l’expert a constaté que les documents produits avaient été sauvegardés par celle-ci sur le disque dur de l’ordinateur à elle remis dans le cadre professionnel par la société OCEAN OGILVY, lequel ordinateur, est-il utile de le rappeler, ne disposait pas de mot de passe. C’est donc à tort qu’il est reproché à l’expert d’avoir exploité les données et documents personnels de Madame C. B. ».
Poursuivant son analyse et reprenant à son compte l’argumentaire de la demanderesse, le tribunal note que celle-ci « précis[e] également que la mission de l’expert ne mettait en cause aucune autre partie que la demanderesse en sorte qu’il n’avait pas à convoquer aucune autre personne. Ainsi même les données personnelles invoquées n’en sont pas puisque c’est lors de l’examen d’un ordinateur de la société portant la mention C. B. accessible sans mot de passe que l’expert a fait les constats critiqués » [7].
Autrement dit, pour le tribunal de commerce d’Abidjan, les fichiers pourtant identifiés par les nom et prénom de la salariée et sa messagerie électronique personnelle ne comportent pas de données à caractère personnel dans la mesure où l’ordinateur utilisé par elle avait été mis à sa disposition par l’employeur.
Nous dirons juste, ici, que le tribunal de commerce se trompe manifestement d’analyse. Que les ordinateurs expertisés soient la propriété de la société OGILVY n’enlève rien au caractère personnel des données auxquelles l’expert a pu avoir accès ! Que la messagerie et l’ordinateur ne soient pas dotés de dispositifs de protection n’est pas non plus un obstacle à l’existence de données personnelles [8] ! Il en est manifestement ainsi de la messagerie électronique de Madame C. M. Il est acquis qu’une adresse électronique est une donnée à caractère personnel si elle permet l’identification directe ou indirecte de la personne à laquelle elle se rapporte [9].
Ce faisant, dans le cadre d’une expertise, l’expert est tenu de faire la distinction entre les données consultables et celles qui ne seraient pas car relevant de la vie privée des personnes concernées. Comme l’explique Monsieur Serge Migayron, expert judiciaire en matière informatique : « nous ne pouvons accéder qu’aux informations professionnelles et exclure de nos recherches les courriels présentés comme personnels » [10].
• Les traitements automatisés, ou non automatisés de données contenues ou appelées à figurer dans un fichier : à quels traitements s’appliquent la loi Informatique et libertés ?
De façon générale, les législations « Informatique et libertés » s’appliquent aujourd’hui aux traitements automatisés, ou non automatisés de données à caractère personnel contenues ou destinées à figurer dans un fichier. « La présente loi s’applique aux traitements automatisés de données à caractère personnel, ainsi qu’aux traitements non automatisés des données à caractère personnel contenues ou appelées à figurer dans des fichiers… ». [11].
Si cette formulation peut paraître simple d’appréhension, la pratique jurisprudentielle et législative montre le contraire.
- Tribunal de Grande Instance de Paris, 12 juin 2013 (O. R. c/Google) [12]
Le présent jugement a été rendu au sujet d’une action en responsabilité engagée par Monsieur O. R. [13] contre les sociétés Google Inc. et Google France au sujet des fonctionnalités « Saisie Semi-automatique » (ou Autocomplete en anglais) et « Recherches Associées » (ou Related Searches en anglais).
La fonctionnalité Saisie Semi-automatique permet à chaque utilisateur du moteur de recherche Google, lorsqu’il effectue une recherche à partir de la page d’accueil, de voir apparaître directement sous la barre de recherche et au moment où il saisit sa requête, plusieurs mots-clefs ou combinaisons de mots-clefs appelés « prédiction de requêtes » qui correspondent aux premières lettres ou aux mots de la requête qu’il vient de saisir dans une fenêtre prévue à cet effet.
Quant à la fonctionnalité Recherches Associées, elle permet l’affichage, à la suite d’une requête qui vient d’être lancée, en bas de page de résultats, d’une liste complémentaire de mots-clefs ou de combinaisons de mots-clefs supplémentaires liés à la thématique de la première requête, et susceptibles d’être utilisés pour une seconde recherche dans l’hypothèse où les résultats initialement obtenus ne seraient pas satisfaisants.
Dans les faits de la présente affaire, Monsieur O. R. se plaignait de l’affichage, à la suite de la saisie de ses nom et prénom dans les moteurs de recherche Google.fr, google.be, google.ca et google.ch, des associations « O.R escroc » ; « O. R. presse citron » et « O. R. mongolien » ; Ces différents affichages et suggestions de recherche étant imputables aux outils Autocomplete et Related Searches.
Plusieurs fondements juridiques étaient invoqués [14] dont une méconnaissance de la loi du 6 janvier 1978 relative à la protection des données à caractère personnel.
S’agissant de ce dernier fondement, Monsieur O. R. soutenait que les fonctionnalités litigieuses étaient constitutives d’un traitement automatisé de données à caractère personnel soumis aux dispositions de la loi Informatique et libertés.
Quant à la société Google, elle soutenait au contraire que cette loi n’était pas applicable en l’absence de la notion cardinale de « fichier » au sens de cette loi. Pour elle, en effet, la loi s’applique aux traitements automatisés et non automatisés de données à caractère personnel contenues ou appelées à figurer dans un fichier. Autrement dit, même un traitement automatisé de données n’est soumis à la loi dès lors qu’il y a pas de constitution d’un fichier.
Pour sa part, le TGI de Paris jugera que « l’article 2 de la loi invoquée prévoit son application ‘‘aux traitements automatisés de données à caractère personnel, ainsi qu’aux traitements non automatisés de données à caractère personnel contenues ou appelés à figurer dans des fichiers, à l’exception des traitements mis en œuvre pour l’exercice d’activités exclusivement personnelles, lorsque leur responsable remplit les conditions prévues à l’article 5.’’ ; que, comme le soutiennent à bon droit les défendeurs, le système de suggestion incriminé mis en place sur les moteurs de recherche des sites internet Google, ne répond pas à la définition que donne ladite loi du traitement du fichier, soit ‘‘tout ensemble structuré et stable de données à caractère personnel accessibles selon des critères déterminés’’, dès lors que les mots qui sont suggérés ne présentent pas le caractère de stabilité et de structure imposés par le texte visé ; ».
Le tribunal reprend donc ici à son compte l’argumentaire qui était celui de la société Google [15]. Toutefois, cette interprétation est-elle exacte ? La loi Informatique et libertés ne s’appliquerait-elle qu’aux traitements automatisés et non automatisés de données contenues ou appelées à figurer dans un fichier ?
A cet égard, la structure grammaticale de l’alinéa 1 de l’article 2 de la loi Informatique et libertés permet de se rendre à l’évidence que l’interprétation du TGI de Paris et celle de la société Google est erronée. En effet, la ponctuation de l’article 2 indique clairement, par la présence des virgules, que seul le traitement manuel exige la présence d’un fichier.
Ce caractère alternatif et non cumulatif du critère de la présence ou de la constitution d’un fichier est confirmé notamment par le considérant 27 de la Directive 95/46 relative à la protection des données à caractère personnel [16]. Selon ce considérant, « la protection des personnes doit s’appliquer aussi bien au traitement de données automatisé qu’au traitement manuel […] que, toutefois, s’agissant du traitement manuel, la présente directive ne couvre que les fichiers et ne s’applique pas aux dossiers non structurés ».
En d’autres termes, dès l’instant où les données font l’objet d’un traitement automatisé, la loi s’applique. Il en est manifestement ainsi du recours à l’Internet. L’utilisation de l’Internet pour l’accomplissement de l’une quelconque des opérations constitutives d’un traitement de données à caractère personnel doit être considérée comme un traitement automatisé. Ainsi en a conclu la Cour de Justice des Communautés Européennes (CJCE) en réponse à une question préjudicielle posée par une juridiction suédoise s’agissant de l’application de la directive communautaire de 1995. En l’espèce, une personne avait mis en ligne sur son site Internet diverses informations la concernant ainsi ses collègues de travail. Condamnée pour infraction à la législation suédoise de protection des données, elle contestera les sanctions infligées en soutenant n’avoir commis aucun manquement. L’une des sept questions préjudicielles portait sur le point de savoir s’il y avait eu, en l’espèce, mise en œuvre d’un traitement automatisé ? La CJCE, dans son arrêt du 6 novembre 2003 [17], déclare que l’opération consistant à faire figurer, sur une page Internet, des données à caractère personnel est à considérer comme un traitement automatisé. Le raisonnement tenu par la Cour est que l’utilisation d’Internet implique en elle-même la mise en œuvre de procédures devant être regardées comme automatiques. En effet, selon elle, « faire apparaître des informations sur une page Internet implique, selon les procédures techniques et informatiques appliquées actuellement, de réaliser une opération de chargement de cette page sur un serveur ainsi que les opérations nécessaires pour rendre cette page accessible aux personnes qui se sont connectées à Internet. Ces opérations sont effectuées, au moins en partie, de manière automatisée » [18].
Précisons, pour finir, qu’au regard de la définition de la notion même de traitement de donnée à caractère personnel, la constitution d’un fichier n’est pas toujours nécessaire à l’application de la loi. En effet l’une quelconque des nombreuses opérations visées par le texte [19] est en elle-même constitutive d’un traitement [20].
Dès lors, « un traitement automatisé de données s’entend de toute opération ou de tout ensemble d’opérations, réalisés par des moyens automatiques, qui portent sur des données : collecte, enregistrement, organisation, conservation, adaptation, modification, extraction, utilisation, diffusion, rapprochement, interconnexion, etc. » [21].
En l’occurrence, au sens strict, le simple affichage de « prédictions de recherche » permis par les fonctionnalités « Saisie Semi-automatique » et « Recherches Associées » est constitutif d’un traitement automatisé.
Monsieur O. R. a fait appel du jugement du TGI de Paris. L’arrêt à rendre par la Cour d’Appel est donc attendu et sera particulièrement intéressant car, outre l’applicabilité de la loi aux traitements automatisés, la question se posait, en amont, de savoir si la combinaison les résultats de recherche, apparaissant automatiquement à l’issue des requêtes effectuées à partir des nom et prénom de Monsieur O. R., comportent des données à caractère personnel et s’il y avait mise en œuvre d’un traitement de données à caractère personnel [22].
Affaire à suivre donc !
Pour en revenir sur le point de savoir quels traitements de données à caractère personnel – entre les traitements automatisés et non automatisés – sont soumis aux lois « Informatique et libertés », nous évoquerons les lois adoptées au Burkina Faso et en Côte d’Ivoire [23].
Pour finir, il faudra faire cas de l’Acte additionnel relatif à la protection des données à caractère personnel adopté par la Communauté Economique Des Etats de l’Afrique de l’Ouest (CEDEAO).
- La loi burkinabés relative à la protection des données à caractère personnel
Le Burkina Faso est l’un des premiers pays africains à s’être doté d’une loi relative à la protection des données à caractère personnel [24]. Cette loi est fortement inspirée de la loi française.
Aux termes de l’article 8 déterminant le champ d’application de cette loi, « la présente loi s’applique aux traitements automatisés ou non de données à caractère personnel contenues ou appelées à figurer dans les fichiers ».
Cette formulation qui est, en apparence, identique à celle retenue par le législateur français ne manque de susciter quelques difficultés d’interprétations. Il faut, tout d’abord, remarquer que la ponctuation n’est pas la même d’un texte à l’autre. Là où le législateur avait mis des virgules, le législateur burkinabé s’en est dispensé.
Cela n’est pas sans accentuer la controverse que nous évoquions précédemment s’agissant de l’interprétation à faire de l’article 2 alinéa 1 de la loi française. Si s’agissant de la loi française, il y a tout lieu d’admettre une erreur d’interprétation de la part du TGI de Paris et de la société Google, la rédaction du texte burkinabé ne laisser planer aucun doute.
En effet, pris à lettre, la loi burkinabé ne s’applique aux traitements automatisés ou non automatisés que pour autant que les données sont contenues ou appelées à figurer dans un fichier. Dès lors, en l’absence de constitution d’un fichier, la loi ne s’applique pas y compris lorsqu’il s’agit de traitements automatisés.
Une question cruciale se pose alors : cette rédaction résulte-t-elle d’un parti-pris ou s’agit-il d’une erreur ?
La piste de l’erreur peut être soutenue à plusieurs égards. D’une part, la loi burkinabé, pour l’élaboration de laquelle le Burkina Faso a bénéficié du soutien de la France à travers la CNIL, est fortement inspirée de cette loi. Par ailleurs, outre la circonstance présente, la loi burkinabé, qui a été adoptée dans l’urgence comporte de nombreuses incohérences [25]. C’est la raison pour laquelle il avait été proposé d’adapter la loi burkinabé [26].
A supposer que la rédaction de l’article 8 de la loi burkinabé relève d’un parti-pris, alors il faudrait considérer que nombres de traitements automatisés de données échapperont aux prévisions de la loi. Or, historiquement, ce sont les traitements automatisés de données qui ont été perçus comme présentant les plus de dangers pour les personnes physiques.
- La loi ivoirienne relative à la protection des données à caractère personnel
La Côte d’Ivoire n’a adopté sa loi relative à la protection des données à caractère personnel que le 19 juin 2013 [27]. Il y a un an à peine.
Comme la loi burkinabé, la loi ivoirienne est fortement inspirée de la loi française et de la directive européenne du 25 octobre 1995. En avance sur son temps, la loi ivoirienne s’inspire même du projet règlement européen sur la protection des données [28] alors même que ce dernier n’a pas encore été définitivement adopté [29].
Comme la loi burkinabé, l’article 3 de la loi ivoirienne dispose que « sont soumis aux dispositions de la présente loi […] tout traitement automatisé ou non automatisé de données contenues ou appelées à figurer dans un fichier ».
Il faudra rependre ici les réflexions faites au sujet de la loi du Burkina Faso s’agissant de savoir si cette rédaction relève d’une erreur ou d’un parti-pris. Cette question prend de l’ampleur lorsqu’il faut observer que les mêmes énonciations existent au niveau sous-régional africain.
- CEDEAO, Acte additionnel relatif à la protection des données à caractère personnel, 16 février 2010
Cette interrogation sur le point de savoir si le champ d’application retenu par les lois burkinabé et ivoirienne relève d’une erreur ou d’un parti-pris doit se poursuive au niveau des instances régionales africaines. En effet, la Communauté Economique Des Etats de l’Afrique de l’Ouest (CEDEAO) a adopté, le 16 février 2010, un Acte additionnel relatif à la protection des données à caractère personnel dans l’espace de la CEDEAO [30]. Ce texte, qui sert de référence au niveau de l’Afrique de l’Ouest, prévoit en son article 3 relatif au champ d’application, qu’il s’applique à « tout traitement automatisé ou non automatisé de données contenues ou appelées à figurer dans un fichier ».
S’il devait s’agir d’un parti-pris, ce dont nous doutons, il faudrait alors considérer la protection des données à caractère personnel est bien moindre dans le ressort de la CEDEAO. En effet, il faudrait considérer, par exemple, qu’une personne qui aspirerait par un logiciel espion les adresses électroniques d’internautes, pour leur adresser des messages non sollicités, ne manquerait pas aux dispositions de l’Acte additionnel dès lors qu’il ne constituerait pas de fichier avec les données personnelles aspirées [31].
L’infraction de collecte des données par un moyen frauduleux, déloyal ou illicite ne pourrait ici pas s’appliquer alors qu’elle vise « le seul fait de collecter les données et non les faits qui peuvent être liés comme la mémorisation, le traitement […] la diffusion » [32].
Ce faisant, c’est une partie substantielle de l’activité des moteurs de recherche qui échapperait à l’application de la loi « Informatique et libertés » telle qu’adoptée en Afrique de l’Ouest. Or, les lois relatives à la protection des données personnelles ont récemment dû être adaptées pour tenir compte des Nouvelles Technologies de l’Information et de la Communication dont l’Internet.
S’agissant des moteurs de recherche, la CJUE vient de rendre un arrêt fondamental [33]. La Cour a jugé « que l’activité d’un moteur de recherche qui consiste « à trouver des informations publiées ou placées sur Internet par des tiers, à les indexer de manière automatique, à les stocker temporairement et, enfin, à les mettre à disposition des internautes selon un ordre de préférence donné doit être qualifiée de « traitement de données à caractère personnel » au sens de la directive « lorsque ces informations contiennent des données à caractère personnel ».
Dès lors, une révision de l’Acte additionnel relatif à la protection des données à caractère personnel dans l’espace de la CEDEAO, ainsi que des lois adoptées par les Etats membres sur son fondement, semble s’imposer pour une meilleure protection des personnes.