Village de la Justice www.village-justice.com

Le puissant droit d’accès aux données à caractère personnel. Par Ibrahim Coulibaly, Docteur en droit.
Parution : lundi 18 août 2014
Adresse de l'article original :
https://www.village-justice.com/articles/puissant-droit-acces-aux-donnees,17541.html
Reproduction interdite sans autorisation de l'auteur.

Très souvent ignoré, le droit d’accès aux données à caractère personnel est prévu à l’article 39 de la loi Informatique et libertés. Il s’agit du droit pour tout un chacun d’interroger toute personne collectant et utilisant des données personnelles sur le point de savoir si elle détient des données le concernant et d’avoir communication de ces données sous une forme intelligible.
Véritable droit de contrôle a posteriori de la mise en œuvre d’un traitement, le droit d’accès aux données est une arme puissante aux mains de la personne concernée par le traitement. L’ordonnance rendue le 17 juillet 2014 par le Président du TGI de Paris le prouve bien.
Il s’agissait, en l’occurrence, de l’exercice du droit d’accès à l’historique des logs de connexion – et des adresses IP associées – à deux comptes bancaires en ligne.

L’affaire [1].

Tout comme la solution finalement retenue, les faits de la présente affaire sont eux aussi très intéressants. Qu’en est-il ? Madame M. est cliente de la banque LCL au sein de laquelle elle détient deux comptes. Comme cela est désormais classique, Madame M. a souscrit au service d’accès en ligne à ses comptes bancaires. C’est justement à ce sujet que le litige naîtra car Madame M. recevra un jour de sa banque, un email l’informant de ce que son compte présente une situation débitrice. Or, cet email se trouvait avoir pour destinataire principal Monsieur K. S., collègue du mari de Madame M.  [2] ; l’adresse email de cette dernière ne figurant qu’en copie du message.

Procédure, arguments et prétentions des parties.

Ce faisant, Madame M. sollicitera de sa banque une communication des logs de connexion à ses deux comptes depuis leur ouverture ; cette communication des logs de connexion et des adresses IP associées devant lui permettre de savoir si d’autres personnes avaient pu se connecter à ses comptes en ligne et surtout de savoir qui. En effet, "les données de connexion ou logs sont des données personnelles [qui] permettent de savoir qui vous avez contacté par voie électronique, quand, à quelle heure, quels sites vous avez visité, etc... En accédant à ses données, il est possible de savoir ce que vous lisez, avec qui vous parlez, ce que vous cherchez sur le net" [3].

La demande d’accès exercée par Madame M. était fondée sur l’article 39 de la loi Informatique et libertés. Selon cet article, en principe, « toute personne physique justifiant de son identité a le droit d’interroger le responsable d’un traitement de données à caractère personnel en vue d’obtenir :
1° La confirmation que des données à caractère personnel la concernant font ou ne font pas l’objet de ce traitement ;
2° Des informations relatives aux finalités du traitement, aux catégories de données à caractère personnel traitées et aux destinataires ou aux catégories de destinataires auxquels les données sont communiquées ;
3° Le cas échéant, des informations relatives aux transferts de données à caractère personnel envisagés à destination d’un Etat non membre de la Communauté européenne ;
4° La communication, sous une forme accessible, des données à caractère personnel qui la concernent ainsi que de toute information disponible quant à l’origine de celles-ci ;
5° Les informations permettant de connaître et de contester la logique qui sous-tend le traitement automatisé en cas de décision prise sur le fondement de celui-ci et produisant des effets juridiques à l’égard de l’intéressé
 ».

Comme cela est souvent le cas, la banque LCL refusera de faire droit à la demande d’accès de Madame M. 
Une particularité doit, cependant, être relevée ici. La banque ne déniait pas le principe même d’un droit d’accès à sa cliente mais elle soutenait que les données litigieuses concernaient une autre personne. Il ne s’agissait donc pas des données à personnelles relatives à Madame M. mais à ce tiers. Elle ne pouvait donc pas prétendre à accéder à ces logs de connexion et aux adresses IP associées.
Suite au refus de la banque et compte tenu de l’urgence résultant du court délai de conservation des données, Madame M. saisira le Président du TGI en référé conformément à l’article 808 du Code de procédure civile [4].

Problèmes juridiques.

Trois problèmes juridiques, aussi importants les uns que les autres, se posaient ici : des logs de connexion et adresses IP sont-ils des données à caractère personnel ? A qui, de Madame M. ou de K. S. ces données se rapportent-elles ? Et enfin, un droit d’accès pouvait-il être exercé en l’espèce, et par qui, étant précisé que la banque avait par la suite reconnu que c’est par une « erreur de saisie interne à la LCL » que l’incident s’était produit ?

Solution

En guise de solution, l’ordonnance rendue retient qu’ « en sollicitant la communication des logs de connexion de ses comptes en ligne, Mme M. interroge sa banque sur l’accès à ses propres compte et, ainsi, sur les données qui lui sont personnelles, et l’éventualité que cette communication révélerait une situation frauduleuse ne saurait la priver du droit que lui confère l’article 39-1 de la loi du 6 janvier 1978 d’obtenir que lui soient communiquées les données personnelles qu’elle sollicite ».

Analyse de la décision

Le préalable : l’existence de données à caractère personnel
Selon les énonciations mêmes de l’ordonnance, « LCL soutient que les données dont Mme M. demande la communication ne sont pas des données personnelles, mais celles de tiers, de sorte qu’elle n’y a aucun droit d’accès, et que les dispositions de la loi du 6 janvier 1978 n’ont pas vocation à s’appliquer ».
Nous souhaiterions relever ici, d’emblée, un déficit rédactionnel de l’ordonnance [5]. En effet, l’attendu ci-dessus laisse apparaître une incohérence juridique.

De deux choses l’une : soit aucune donnée à caractère personnel n’est en cause auquel cas la loi « Informatique et libertés » ne s’applique pas au cas d’espèce, soit il y avait bien, en l’espèce, un traitement de données à caractère personnel, auquel cas la loi s’applique peu important que ces données n’appartiennent à Mme M. 
L’expression les « données dont Mme M. demande la communication ne sont pas des données personnelles, mais celles de tiers » est incohérente au regard du droit de la protection des données à caractère personnel. Ce n’est pas parce que les données en cause n’appartiendraient pas à Mme M. que pour autant il ne s’agirait pas de données à caractère personnel. La conjonction de coordination « mais » utilisée pour exprimer une opposition ne se justifie pas ici.

Cette incohérence perturbe légèrement l’analyse car on ne sait plus si l’argument de la banque LCL était de dire que les logs de connexes et adresses IP litigieux ne sont pas des données à caractère personnel ou s’il s’agissait bien de données à caractère personnel mais qu’elles ne se rapportent pas à la dame M. Ce faisant, elle ne pouvait y avoir accès.
Cette incohérence a conduit certains commentateurs à considérer que la fortune de l’ordonnance était dans l’admission de ce que des logs de connexion et des adresses IP sont des données à caractère personnel [6].

Nous considérons, pour notre part, qu’il s’agissait moins d’une question de détermination de la présence de données personnelles [7] que de la détermination de la personne à laquelle se rapportent ces données et qui peut y avoir accès.
A cet égard, quelle est la personne concernée les présentes données ?

La personne concernée par les données : Madame M. ou Monsieur K. S. ?

Une distinction doit être faite ici entre les différentes données en cause. A supposer que ce dernier se soit connecté aux comptes de Madame M., l’adresse email, les logs de connexion et les adresses IP litigieux appartiennent manifestement à Monsieur K. S. et sont des données à caractère personnel le concernant.
Dans le même temps, en ceci que ces données aient pu être en relation avec les comptes bancaires de Mme M., dans le cadre d’une connexion, même frauduleuse, ils deviennent un ensemble informationnel auquel elle peut prétendre avoir accès. Une telle affirmation tient en ce que la notion donnée à caractère personnel, souvent utilisée au singulier, vise en réalité, un ensemble plus ou moins vaste d’informations ayant pour caractéristique de se rapporter à une personne physique, laquelle peut être ainsi identifiée directement ou indirectement à travers cet ensemble de données. Cette personne devient juridiquement la "personne concernée" par ces données [8].
Cette conception élargie de la notion de données à caractère personnel a de nécessaires implications sur le droit d’accès aux données personnelles ; lequel est lui-même nécessairement étendu dans son principe. C’est ce qui ressort de la présente ordonnance.

La portée du droit d’accès aux données à caractère personnel

Même si le contentieux relatif au droit d’accès aux données personnelles est rare, quelques exemples existent à travers lesquels il est possible de saisir sa portée.
En restant dans le domaine bancaire, on peut noter qu’il a été admis, depuis longtemps, que les informations résultant de la segmentation comportementale [9] peuvent faire l’objet d’un droit d’accès. Cela a été admis par la CNIL et jugé le Conseil d’Etat [10]. Dans la lignée d’une décision du Conseil d’Etat du 7 juin 1995, la CNIL retiendra que « le droit d’accès prévu aux articles 34 et suivants de la loi … s’applique à l’ensemble des informations se rapportant à un client identifié ou identifiable, que ces informations constituent des informations de base ou soient déduites à partir de calculs statistiques ou de probabilités » [11].

Déjà en 1975, le Rapport Tricot [12] soulignait la nécessité d’une appréhension extensive du droit d’accès aux données à caractère personnel ; lequel ne saurait être limité aux éléments d’identité ou aux informations fournies par la personne elle-même.
Selon le rapport, « dans le cas des fichiers complexes ou des banques de données, il se peut que les informations de base soient triées, traitées et assemblées de manière à produire une information-résultat dans laquelle ne se retrouvent plus les éléments constitutifs initiaux du traitement. Un droit d’accès efficace doit s’étendre, non seulement aux données originelles de l’information de base, mais à l’information-résultat produit par combinaison, voire par interprétation des premières » [13].

C’est cette conception élargie, conforme au principe même du droit d’accès, que l’ordonnance fait ressortir. En effet, selon l’ordonnance, « en sollicitant la communication des logs de connexion de ses comptes en ligne, Mme M. interroge sa banque sur l’accès à ses propres compte et, ainsi, sur les données qui lui sont personnelles, et l’éventualité que cette communication révélerait une situation frauduleuse ne saurait la priver du droit que lui confère l’article 39-1 de la loi du 6 janvier 1978 d’obtenir que lui soient communiquées les données personnelles qu’elle sollicite ».

En d’autres termes, dès lors que les deux comptes bancaires en question appartiennent à Mme M., elle a le droit d’accéder à toutes les informations relatives à ces comptes qui la concernent nécessairement. Il en est ainsi manifestement des connexions à ce compte, peu importe que ces connexions soient frauduleuses. Si ces connexions émanent de tiers et si le message adressé par la banque était à destination d’un tiers ; lequel tiers est concerné par ces données personnelles [14], les informations relatives aux connexions au compte de Mme M. sont des informations qui la concernent et auxquelles elle peut avoir accès. L’exercice du droit d’accès était particulièrement utile, en l’espèce, en ceci qu’il pourrait permettre de révéler des connexions frauduleuses au compte de Madame M.
C’est là toute la fortune du droit d’accès aux données à caractère personnel qui est un droit de l’homme [15], un droit de savoir, un « droit naturel à l’information » [16] et dont le Président du TGI de Paris nous livre ici une très belle application.

Cette application jurisprudentielle laisse apparaître que le droit d’accès est un droit pratique et utile. Pour reprendre la belle formule d’un auteur, le droit d’accès, droit à la connaissance se rapporte à « l’information que l’on cherche quand on sait qu’on ne l’a pas et dont on ne peut avoir connaissance qu’à travers sa communication par autrui ; c’est le cas chaque fois qu’un tiers est à la source d’une information mise en forme et détenue par lui » [17].

Avec le recours massif à l’informatique aujourd’hui et dans tous les secteurs d’activité, le droit d’accès se présente comme un moyen efficace permettant d’obtenir la communication d’informations souvent inaccessibles détenues par d’autres. Ce droit est d’autant plus efficace que les données doivent être communiquées sous une forme intelligible.

Un droit d’accès aux données sous une forme intelligible.

La communication des données à caractère personnel en vertu du droit d’accès doit être, précise l’article 39. I. 4° de la loi, « sous une forme accessible ». Initialement, la loi Informatique et libertés prévoyait que la communication devait être faite « en langage clair » [18]. Quant à la directive communautaire du 24 octobre 1995, elle exige une « communication sous une forme intelligible, des données faisant l’objet des traitements » [19].
Pour que le droit d’accès soit effectif, l’information communiquée doit être aisément compréhensible pour son destinataire. Cette accessibilité de l’information, son intelligibilité ou sa lisibilité doit être directe c’est-à-dire que l’information doit être compréhensible en elle-même par la personne sans besoin de l’aide d’un spécialiste pour l’interpréter. Comme ont pu le considérer certains auteurs, « même écrite en français, la réponse doit être compréhensible  » [20]. De là découle, en principe, le bannissement de tout code [21]. En effet, selon la CNIL, « le droit d’accès s’exerce… sur l’ensemble des informations enregistrées et celles-ci doivent être communiquées en langage claire et non sous la forme elliptique d’un code » [22].

Application du droit d’accès dans le domaine bancaire.

Les exemples ci-dessus mentionnés montrent que le droit d’accès est parfaitement et utilement applicable dans le domaine bancaire. L’on ajoutera juste ici l’accès au Fichier national des comptes bancaires et assimilés (FICOBA). Alors que l’Administration fiscale, qui gère ce fichier, en limitait souvent l’accès, le Conseil d’Etat [23] a jugé que les héritiers d’une personne décédée avaient droit d’y accéder en qualité "d’ayant droit du solde des comptes détenus". Selon les données concernées, l’accès sera exercé directement auprès de l’Administration fiscale ou indirectement par le biais de la CNIL. [24].

Application du droit d’accès dans le domaine du travail.

A l’image du domaine bancaire, le domaine du travail est aussi un secteur où le droit d’accès se révélera être d’une particulière utilité. En effet, les Nouvelles Technologies de l’Information et de la Communication (NTIC) ayant envahi le monde du travail [25], de nombreux traitements de données sont mis en œuvre et auxquels les salariés peuvent légitimement avoir accès pour rapporter la preuve de certains faits. Cela concerne particulièrement les dispositifs de géolocalisation. Ici, l’on signalera que la CNIL a condamné à 10 000 euros un employeur qui refusait de faire droit à une demande d’accès de son salarié. Celui-ci souhaitait accéder aux données issues du dispositif de géolocalisation embarqué sur son véhicule pour prouver en justice le caractère professionnel d’un accident de la circulation dont il avait été victime [26].

Ajoutons que la CNIL a considéré que le droit d’accès devait s’appliquer aux résultats de tests de sélection passés par les candidats à un emploi et aux différentes évaluations professionnelles auxquelles les salariés sont soumis. En ce sens, la CNIL a adopté une recommandation sur la collecte et traitements d’informations nominatives lors d’opérations de recrutement. La CNIL rappelle qu’en application des dispositions de la loi Informatique et libertés et du code du travail « tout candidat peut obtenir communication des informations le concernant  » et recommande que « tout candidat soit clairement informé des modalités d’exercice du droit d’accès et puisse obtenir sur sa demande toutes les informations le concernant y compris les résultats des analyses et des tests ou évaluations professionnelles éventuellement pratiqués » [27].

Application du droit d’accès en matière de recherche scientifique (recherche médicale).

Alors même qu’aucun texte de droit positif ne consacre un droit au retour individuel d’information sur les résultats d’une recherche scientifique (médicale notamment) impliquant un traitement de données à caractère personnel, nous avons soutenu que le droit d’accès aux données à caractère personnel permet un accès aux résultats de la recherche concernant individuellement une personne. [28] Le droit au retour individuel d’informations sur les résultats de la recherche est le droit pour les personnes y ayant participé d’être informées des résultats de cette recherche les concernant individuellement lorsque cette information présente un intérêt pour elles.

Tout ceci confirme que la loi relative à la protection des données à caractère personnel est bien une loi fondamentale [29], une loi aux trésors juridiques insoupçonnés.

Coulibaly Ibrahim, Docteur en droit, Elève avocat

[1L’ordonnance est consultable sur le site legalis.net.

[2Avec lequel elle n’entretient plus de bons rapports.

[4"Dans tous les cas d’urgence, le président du tribunal de grande instance peut ordonner en référé toutes les mesures qui ne se heurtent à aucune contestation sérieuse ou que justifie l’existence d’un différend".

[5Il nous est difficile de dire si cela incombe au rédacteur de l’ordonnance ou si l’argument de la LCL était ainsi rédigé.

[6Les logs de connexion dont les adresses IP sont des données personnelles. http://www.legalis.net/spip.php?page=breves-article&id_article=4237

[7La CNIL comme l’ensemble des autorités européennes de protection des données personnelles considère l’adresse IP comme une donnée personnelle. Groupe de l’article 29, Avis sur le concept de donnée à caractère personnel, adopté le 20 juin 2007, p. 18

[8Selon l’alinéa 4 de l’article 2 de la loi Informatique et libertés, "la personne concernée par un traitement de données à caractère personnel est celle à laquelle se rapportent les données qui font l’objet du traitement".

[9Classification qu’opère une banque entre ses clients en fonction des informations qu’elle dispose sur eux. Le segment ou la catégorie dans laquelle est classé un client une donnée à caractère personnel à laquelle il peut accéder

[10CE, 7 juin 1995, Caisse régionale de Crédit mutuel agricole de Dordogne, Caisse nationale de Crédit agricole, CNIL, 16ème Rapport d’activité 1995, p. 31 et p. 458

[11CNIL, 16ème Rapport d’activité 1995, p. 32

[12Du nom du rapporteur de la commission dite Informatique et liberté, chargée de proposer une réglementation sur l’utilisation des moyens informatiques.

[13Commission informatique et libertés, Rapport Tricot, 1975, p. 41

[14Logs de connexions et adresses IP

[15Dans une affaire opposant le sieur Gaskin au Royaume-Uni, la Commission européenne des droits de l’homme avait considéré que « le respect de la vie privée exige de quiconque qu’il soit en mesure d’établir les détails de son identité en tant qu’être humain et qu’en principe les autorités ne l’empêchent pas d’obtenir ces informations fondamentales sans justification précise  » (Commission européenne des droits de l’homme, 13 novembre 1987, Gaskin c. Royaume-Uni, req. n° 10454/86, § 89). En l’espèce, le requérant souhaitait accéder aux dossiers retraçant l’historique de sa prise en charge par l’assistance publique. Sur la décision de la Cour européenne (7 juillet 1989), voir notamment, V. Berger, Jurisprudence de la Cour européenne des droits de l’homme, Editions Dalloz, 11ème édition, 2009, pp. 455-457

[16P. Kayser, La protection de la vie privée. Protection du secret de la vie privée, Economica/PUAM, Tome 1, 1984, p. 316

[17F. Lesaulnier, L’information nominative, Thèse de doctorat en droit, Paris II, 4 juillet 2005, p. 306

[18Article 35 ancien de la loi Informatique et libertés

[19Article 12. a, 2°

[20J.-H. Robert, Informatique, liberté et intelligibilité, note sous Cass. crim. 6 mai 2008, n° 07-82.000, JurisData n° 2008-044107, Droit pénal, n° 7-8, juillet-août 2008, pp. 34-35

[21Ayant exercé un droit d’accès auprès d’un établissement bancaire pour savoir les informations détenues à son compte, le segment auquel elle appartient ainsi que les commentaires associés à la gestion de son compte, une cliente a reçu une réponse comportant de nombreux codes et sigles incompréhensibles tels que « origine : PAC DIST », « MAJ 10/200 », « CLT PR RA 05/09 : 1569,28 », « A C/05OU0696333 ». CNIL, 23ème Rapport d’activité 2002, p. 104

[22CNIL, 19ème Rapport d’activité 1998, p. 117

[23Conseil d’Etat n° 339147 – 29 juin 2011 – 9ème et 10ème sous-section réunies – Ministère du budget, des comptes publics et de la réforme de l’Etat contre consorts A

[25Sur cette question, Voir notamment, Mathieu Dumoulin, Nouvelles technologies et droit des relations de travail. Essai sur une évolution des relations de travail, Editions Panthéon Assas, 2012

[26Cnil, Délibération n° 2012-213 du 22 juin 2012

[27CNIL, 24ème Rapport d’activité 2003, p. 224

[28Coulibaly Ibrahim, La protection des données à caractère personnel dans le domaine de la recherche scientifique, Thèse de doctorat en droit privé, Université de Grenoble, 25 novembre 2011. Accessible à l’adresse : http://tel.archives-ouvertes.fr/tel-00798112.

[29Y. Poullet, La loi des données à caractère personnel : un enjeu fondamental pour nos sociétés et démocraties ? in La régulation des données personnelles, LEGICOM, n° 42 – 2009/1, pp. 47-69