Conscients des bouleversements engendrés par la transition numérique et de la place toujours plus importante de la technologie dans nos vies quotidiennes, nous nous posons naturellement la question de l’efficacité et de la pertinence des outils juridiques existants pour garantir cette aspiration humaine fondamentale : protéger ce qui relève du privé contre les ingérences des tiers et garantir à chacun la possibilité d’être « laissé tranquille »¹.

 
En tant qu’avocats spécialisés dans le conseil et la défense d’entreprises technologiques, nous bénéficions d’un intéressant poste d’observation des technologies innovantes utilisées par les entreprises² pour collecter, analyser et traiter des données relatives à la vie économique, sociale et intime d’utilisateurs de plus en plus nombreux.

En tant qu’usagers de smartphones, d’ordinateurs et d’objets connectés (ex : une montre), nous avons conscience de la place grandissante de ces interfaces dans nos vies personnelles, qui deviennent ainsi le principal réceptacle de nos interactions amicales, amoureuses, professionnelles selon des modalités multiples (qu’il s’agisse d’un « like » sur un réseau social, d’un terme de recherche dans une application ou, plus encore, de la conjonction de ces indices qui brossent un portrait de la personne privée que nous sommes et de la « vie privée » que nous menons).

En tant que citoyens, enfin, nous sentons la magnitude des changements causés par le numérique sur nos existences et sociétés, de sorte qu’il est impératif de prendre du recul pour les questionner.

Si la révolution numérique est l’épée qui pourfend notre vie privée (I.), le droit des données personnelles serait-il notre unique bouclier (II.) ?
 

I. La révolution numérique, l’épée qui pourfend notre vie privée

 
Comprendre les bouleversements multiples induits par la transition numérique sur la protection de la vie privée (B.) exige d’abord de rappeler les principes fondamentaux de protection de la vie privée en droit français (A.).
 

A. Les principes fondamentaux de protection de la vie privée

 
Le droit à la vie privée est aujourd’hui un droit fondamental protégé tant au niveau national qu’au niveau international.

En droit français, d’une part, la vie privée bénéficie à la fois d’une protection civile, pénale et constitutionnelle. En matière civile, l’article 9 du Code civil énonce depuis 1970 que « chacun a droit au respect de sa vie privée ». Le droit pénal sanctionne quant à lui certains comportements portant atteinte à la vie privée, tels que la captation, l’enregistrement ou la transmission des paroles, de l’image, ou encore de la localisation d’une personne³. Enfin, bien que la protection de la vie privée ne soit pas explicitement consacrée par la Constitution, le Conseil constitutionnel a depuis longtemps conféré une valeur constitutionnelle à ce droit par l’interprétation de la Déclaration des droits de l’homme et du citoyen de 1789⁴.

En droit international, d’autre part, la vie privée est protégée par plusieurs conventions internationales. L’article 8 de la Convention européenne des droits de l’homme est un de ces textes fondamentaux, à l’origine de nombreuses décisions de la Cour européenne des droits de l’homme (CEDH).

Cette protection de principe s’accompagne d’une définition souple de ce qu’est la vie privée, le juge jouant un rôle particulièrement important dans sa mise en œuvre, tout en étant particulièrement conscient du caractère évolutif de cette notion mouvante, intimement liée à un contexte économique et social⁵. La protection de la vie privée recouvre ainsi des dimensions liées (i) à l’intimité de la personne individuelle, comme la protection du domicile, de l’image, des convictions religieuses, de l’état de santé des personnes ou de la vie familiale et amoureuse mais aussi (ii) des dimensions plus sociales⁶ ou collectives⁷, comme le droit à l’insertion sociale et professionnelle⁸, le droit de choisir son identité⁹, ou encore l’accès à ses origines¹⁰.
 

B. La révolution numérique induit de nouveaux risques d’atteinte à la vie privée des personnes

 
À l’échelle de l’individu, la révolution numérique se traduit en l’usage de plus en plus fréquent d’objets connectés à internet pour la réalisation d’actes de la vie quotidienne, qu’il s’agisse de l’achat de biens de consommation courante, de lecture de la presse, de l’expression d’opinions politiques, ou de l’expression de sentiments amoureux. L’ordinateur et le téléphone deviennent ainsi un réceptacle unique d’informations sur les personnes, qui sont collectées par des acteurs aussi divers que des réseaux sociaux, des marques de grande consommation, des plateformes ou des tiers non autorisés ayant des visées criminelles.

Chaque utilisateur d’interfaces numériques fait ainsi l’objet de collectes d’informations de plus en plus spécifiques et nombreuses le concernant. Cette massification des informations collectées, couplée à leur dispersion parmi une diversité d’acteurs, augmente automatiquement le risque d’atteintes à la vie privée. Cet univers de risque s’accroît d’autant plus que la collecte d’informations sur les personnes dans le monde numérique obéit à des caractéristiques bien spécifiques :

• -D’une part, elle se fait dans le cadre de stratégies sophistiquées d’entreprises pour rendre cette collecte aisée et fluide, en s’appuyant sur les sciences cognitives, ce qui aboutit régulièrement à un niveau de conscience réduit, chez la personne, quant à l’ampleur et la finalité de la collecte de données les concernant.
• -D’autre part, elle alimente des systèmes de traitement de l’information intelligents, qui organisent les données traitées, en déduisent d’autres caractéristiques supposées et/ou probables et construisent des profils précis de personnes, qui peuvent être ensuite ciblées par des opérations publicitaires.
• -Enfin, elle augmente les risques liés à l’utilisation illégale de ces données, qu’il s’agisse de pratiques de cyberharcèlement, de revenge porn ou d’usurpation d’identité¹¹.

Comment les outils juridiques peuvent-ils s’adapter à cet univers de risque évolutif et vertigineux ? La réponse la plus naturelle et à première vue évidente se situe du côté du régime juridique de protection des données personnelles.

II. Le droit des données personnelles, unique bouclier de protection de la vie privée ?

 
Le droit des données personnelles s’est imposé comme l’outil-clé de protection de la vie privée à l’ère numérique (A.). Cependant, son efficacité est encore incertaine et fait l’objet de remises en question (B.).
 

A. Le droit des données personnelles : locomotive de la protection de la vie privée dans le monde numérique

 
Les principes fondamentaux du droit des données personnelles sont des outils de protection de la vie privée. C’est ainsi qu’ils sont aujourd’hui perçus par les parties prenantes de l’économie numérique et mis en œuvre par les autorités. Dans un univers numérique où la collecte de données personnelles constitue l’étape indispensable qui précède une violation de la vie privée, ce sont les principes fondamentaux de droit des données personnelles qui font aujourd’hui figure de bouclier essentiel contre les abus.

Qu’il s’agisse de la loi Informatique et Libertés, dont l’article premier exige que « l’informatique » ne porte pas atteinte à « la vie privée »¹², ou du RGPD, qui se définit par référence au « respect de la vie privée et familiale »¹³, les textes fondateurs du droit des données personnelles placent la protection de la vie privée des personnes au cœur du régime juridique qu’ils définissent, dont les caractéristiques-clés sont les suivantes :

• -Les traitements de données personnelles doivent être loyaux, licites et transparents, en imposant aux responsables de traitement une obligation d’information quant à la nature des données collectées et aux objectifs poursuivis par ces collectes, afin de permettre aux personnes de faire un choix éclairé avant que cette collecte ait lieu¹⁴.
• -En vertu du « principe de minimisation », la collecte de données doit être proportionnée à l’objectif poursuivi et concerner uniquement des données nécessaires à cette finalité¹⁵.
• -Les données collectées doivent être exactes, conservées pour une durée déterminée et gérées d’une manière qui protège leur intégrité et leur confidentialité¹⁶.
• -Les responsables de traitement sont tenus de concevoir leurs produits et services afin qu’ils respectent les principes de protection de la vie privée des personnes : c’est la privacy by design, ou protection de la vie privée dès la conception¹⁷.

 
Régulateur des données personnelles en France, la Commission Nationale Informatique et Libertés (CNIL) assume depuis plusieurs années un rôle de précurseur et de pionnier sur la réflexion liée à l’émergence des sociétés numériques, notamment par le biais de son Laboratoire d’Innovation Numérique (LINC), dont les publications assument la place fondamentale prise par la protection des données pour la protection de la vie privée¹⁸, ou du « Privacy Research Day », dont l’objectif est de réunir les milieux académiques réfléchissant aux thématiques liées à la vie privée afin d’éclairer l’action régulatrice de la CNIL¹⁹.

B. Les défis de l’approche « par les données personnelles » pour garantir la protection de la vie privée dans nos sociétés numériques

 
Les difficultés entourant l’adoption du règlement ePrivacy constituent un bon exemple des défis actuels et des difficultés qu’il faut surmonter afin d’espérer approfondir la protection des personnes dans l’espace numérique. Issu d’une directive européenne de 2002²⁰, ce projet de règlement adopté en février 2021 a pour objet d’établir des règles concernant la protection des libertés et droits fondamentaux des personnes physiques et morales dans la fourniture et l’utilisation des services de communications électroniques²¹. Il n’a pas encore été adopté à l’échelle européenne, malgré l’entrée en application du RGPD qu’il est censé compléter.

Le règlement ePrivacy devrait ainsi unifier les règles relatives à la protection des communications électroniques, en particulier en édictant un principe de confidentialité des données de communication électroniques, auxquelles l’accès devait par principe être interdit²² et conditionné à des critères de nécessité, de proportionnalité ou de consentement des personnes²³. L’objectif du législateur européen est de protéger tant le contenu des données échangées lors d’une communication électronique que les métadonnées générées à cette occasion, comme les traceurs et informations relatives au terminal physique utilisé lors de la collecte de ces données.

Objet d’intenses négociations, notamment en ce qui concerne les règles applicables aux traceurs, aussi appelés « cookies », le règlement fait désormais figure d’un serpent de mer, tant le consensus au sujet des règles qui doivent s’imposer aux acteurs qui s’appuient sur les traceurs pour développer leur activité font l’objet de points de vue si divergents qu’ils empêchent l’adoption du texte. Cette difficulté ponctuelle dans l’adoption de règles contraignantes pour les entreprises qui accèdent aux communications électroniques des utilisateurs témoigne de la tension inhérente entre liberté d’entreprendre et protection des personnes dans l’espace numérique.

Plus fondamentalement encore, plusieurs courants de pensée critiquent la capacité du régime de protection des données personnelles à protéger efficacement le droit à la vie privée des personnes.

C’est par exemple le cas de certains auteurs qui critiquent le postulat d’une libre circulation des données personnelles, qui serait fondée sur l’exploitation des données des personnes sans véritable contrepartie tout en engendrant une forme d’aliénation de la personne par la commercialisation de ses données. Dans une perspective distincte, l’autrice Elizabeth Renieris, considère que les lois fondées sur la régulation des données ne sont pas efficaces pour protéger les personnes à l’ère numérique²⁴. En effet, selon elle, dans la mesure où les données ont une signification variable et mouvante selon le contexte dans lequel elles sont utilisées, elles ne peuvent pas servir de fondement à la construction d’un régime de protection des personnes, qui devrait s’appuyer sur la notion de droits fondamentaux applicables à toute situation²⁵.

Les prochaines années s’annoncent passionnantes pour le droit de la vie privée à l’ère numérique car les règles en construction et les litiges actuellement en cours vont participer à une consolidation bienvenue du régime juridique. C’est la capacité du législateur européen à créer des règles suffisamment souples pour s’adapter à l’innovation permanente des entreprises technologiques qui sera décisive pour construire un régime vertueux et durable de protection des personnes à l’ère numérique.

Il va aussi sans dire que les efforts des régulateurs seront vains si les individus ne prennent pas conscience, à la fois individuellement et collectivement, qu’il est temps de se soucier davantage de la vie privée et de la chérir au même titre que nos autres libertés fondamentales. Ce sursaut individuel et collectif doit être le complément indispensable de la protection effective de la vie privée à l’ère numérique. Mais, comme le dit bien l’adage, « on ne fait pas boire un âne qui n’a pas soif ».

1 | Nous faisons ici référence à la conception du droit à la vie privée comme un droit « d’être laissé tranquille » (right to be let alone) tel que formulé par les américains Samuel Warren et Louis Brandies. S. Warren, and L. Brandeis. Harvard Law Review 4 (5): 193-220 (1890). (Retour au texte 1)
2 | Nous n’aborderons pas ici les enjeux des atteintes à la vie privée commises par des entités publiques, car le sujet est si vaste qu’il mérite d’être traité de manière distincte. (Retour au texte 2)
3 | Art. 226-1 et suivants du Code pénal. (Retour au texte 3)
4 | La vie privée est ainsi protégée au titre de la « liberté », qualifiée de « droit naturel et imprescriptible de l’Homme » (art. 2 de la Déclaration des droits de l’homme et du citoyen – Cons. const., 23 juillet 1999, n° 99-416 DC, Loi portant création d’une couverture maladie universelle, cons. 45). (Retour au texte 4)
5 | Emmanuel DERIEUX, Vie privée et données personnelles – Droit à la protection et « droit à l’oubli » face à la liberté d’expression, Nouveaux cahiers du Conseil constitutionnel N° 48 (dossier : vie privée), juin 2015. (Retour au texte 5)
6 | CEDH, 4e section, 29 avril 2002, Pretty c. Royaume-Uni, n° 2346/02. (Retour au texte 6)
7 | Pour une analyse détaillée de ce qu’est la dimension collective de la vie privée, voir l’article de Elsa Haïm figurant dans ce numéro. (Retour au texte 7)
8 | CEDH, 27 juillet 2004, Sidabras c. Lituanie, n° 55480/00 : en réduisant les chances de requérant d’exercer certaines professions car ils ont travaillé pour le KGB, la Lituanie a porté atteinte à leur droit à la vie privée. (Retour au texte 8)
9 | CEDH, 22 février 1994, Burghartz c. Suisse, n° 16213/90 : en interdisant à un époux de faire précéder son nom de famille par le nom de son épouse, la Suisse a porté atteinte à son droit à la vie privée. (Retour au texte 9)
10 | CEDH, 25 septembre 2012, Godelli c. Italie, n° 33783/09 : en ne permettant pas à un enfant abandonné par sa mère biologique d’obtenir des informations, même non identifiantes, sur les circonstances de sa naissance, l’Italie a porté atteinte à son droit à la vie privée. (Retour au texte 10)
11 | Vivek Nair, Gonzalo Munilla Garrido, Dawn Song, « Exploring the Unprecedented Privacy Risks of the Metaverse ». (Retour au texte 11)
12 | Loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, article 1. (Retour au texte 12)
13 | Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (RGPD), considérant n°4. (Retour au texte 13)
14 | RGPD, article 5. (Retour au texte 14)
15 | RGPD, article 5. (Retour au texte 15)
16 | RGPD, article 5. (Retour au texte 16)
17 | RGPD, article 25. (Retour au texte 17)
18 | « Scènes de la vie numérique », Cahier IP n°8, LINC, page 9. (Retour au texte 18)
19 | CNIL, Rapport d’activité 2021, page 112. (Retour au texte 19)
20 | Directive 2002/58/CE du Parlement européen et du Conseil du 12 juillet 2002 concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques (directive vie privée et communications électroniques). (Retour au texte 20)
21 | Proposal for a Regulation of the European Parliament and of the Council concerning the respect for private life and the protection of personal data in electronic communications and repealing Directive 2002/58/EC, article 1. (Retour au texte 21)
22 | Proposal for a Regulation of the European Parliament and of the Council concerning the respect for private life and the protection of personal data in electronic communications and repealing Directive 2002/58/EC, article 5. (Retour au texte 22)
23 | Proposal for a Regulation of the European Parliament and of the Council concerning the respect for private life and the protection of personal data in electronic communications and repealing Directive 2002/58/EC, article 6. (Retour au texte 23)
24 | https://sloanreview.mit.edu/audio/starting-now-on-technology-ethics-elizabeth-renieris/ (Retour au texte 24)
25 | Elizabeth RENIERIS, Beyond data – reclaiming human rights at the dawn of the metaverse, MIT Press, à paraître en février 2023. (Retour au texte 25)