Protection des données personnelles

 

Consommation

La protection des données à caractère personnel est régie en droit européen par le règlement relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel, et à la libre circulation de ces données, dit “RGPD”. En droit interne, les textes les plus importants sont la loi Informatique et libertés du 6 janvier 1978, modifiée en 2018 pour être mise en conformité avec le règlement RGPD et transposer la Directive “police-justice”, la loi LCEN du 21 juin 2004 et l'ordonnance 2001-1012 du 24 août 2011. La CNIL veille attentivement au respect de ces textes, et notamment, à l'application combinée du RGPD et de la loi du 6 janvier 1978. Sur de nombreux points (droits des personnes, bases légales des traitements, mesures de sécurité à mettre en œuvre, transferts, etc.), le RGPD remplace la loi nationale. Sur d'autres points (les “marges de manœuvre nationales"), la loi Informatique et libertés reste en vigueur et vient compléter le RGPD : il s'agit par exemple du traitement des données de santé ou des données d'infraction, de la fixation à 15 ans du seuil d'âge du consentement des mineurs aux services en ligne, des dispositions relatives à la mort numérique, etc. Enfin, la loi nationale reste pleinement applicable pour tous les fichiers “répressifs”, qu'il s'agisse de la sphère pénale ou du domaine du renseignement et de la sûreté de l'Etat. La publicité, en particulier lorsqu'elle est personnalisée, c'est-à-dire qu'elle est "[…] choisie en fonction des caractéristiques connues de l'internaute (âge, sexe, coordonnées, etc.) et qu'il a lui-même renseignées, par exemple en s'inscrivant à un service”, est soumise à la réglementation relative à la protection des données personnelles qui, par essence, requiert une identification.

Selon l'article 4, paragraphe 1, du règlement RGPD auquel renvoie l'article 2 de la loi Informatique et libertés, on entend par : “données à caractère personnel, toute information concernant une personne physique identifiée ou identifiable (ci-après dénommée "personne concernée") ; est réputée identifiable une personne qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu'un nom, un numéro d'identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale”. La loi Informatique et libertés révisée pose un certain nombre d'exigences applicables aux données à caractère personnel concernant notamment leur traitement, leur collecte, leur conservation et détermine les conditions dans lesquelles un traitement de données à caractère personnel peut être considéré comme licite, la CNIL étant investie du contrôle de la mise en œuvre des traitements.

L'article 82 de la loi Informatique et libertés révisée prévoit également que tout abonné ou utilisateur d'un service de communications électroniques doit être informé de manière claire et complète, sauf s'il l'a été au préalable, par le responsable du traitement ou son représentant : - de la finalité de toute action tendant à accéder, par voie de transmission électronique, à des informations déjà stockées (cookies) dans son équipement terminal de communications électroniques, ou à inscrire des informations dans cet équipement ; - des moyens dont il dispose pour s'y opposer.

Les moteurs de recherche stockant des données personnelles pour accroître leurs performances, la Cour de justice a été saisie de la question de savoir si ce stockage constituait un traitement de données personnelles au sens de l'article 2 de la directive 95/46, repris à l'article 4 du règlement 2016/679. Le juge de l'Union y a répondu positivement en consacrant un droit au déréférencement ("droit à l'oubli") de tout internaute qui en fait la demande auprès des moteurs de recherche. Selon la Cour, les résultats affichés par les moteurs de recherche à la suite d'une requête effectuée sur la base d'un nom, sont des traitements de données à caractère personnel, dont ces moteurs sont responsables. Ces traitements sont soumis au droit de l'Union sur la protection des données dans la mesure où le moteur de recherche dispose d'un établissement sur le territoire de l'Union en charge, notamment, d'assurer la promotion et la vente d'espaces publicitaires. La Cour ajoute que l'organisation et l'agrégation des informations publiées sur Internet effectuées par les moteurs de recherche dans le but de faciliter à leurs utilisateurs l'accès à celles-ci peut conduire, lorsque la recherche de ces derniers est effectuée à partir du nom d'une personne physique, à ce que ceux-ci obtiennent par la liste de résultats un aperçu structuré des informations relatives à cette personne trouvables sur Internet, leur permettant d'établir un profil plus ou moins détaillé de la personne concernée. Il en résulte un droit des personnes à demander le déréférencement d'informations en lien avec leur identité, sous réserve de certaines conditions et en particulier de l'intérêt du public à avoir accès à l'information. En cas de refus du déréférencement sollicité, l'intéressé peut contester cette décision auprès de la CNIL ou de l'autorité judiciaire compétente. Dans la foulée, les autorités européennes de protection des données du G29 ont adopté des lignes directrices pour assurer une application harmonisée de l'arrêt de la Cour. Interprétant strictement cette décision, la CNIL estime que le déréférencement doit être réalisé sur l'ensemble du moteur de recherche, quelle que soit l'extension de celui-ci (.fr ; .uk ; .com ; etc.). Selon la Cour de justice, lorsque l'exploitant d'un moteur de recherche fait droit à une demande de déréférencement, il est tenu d'opérer ce déréférencement sur les versions de celui-ci correspondant à l'ensemble des États membres, et, si nécessaire, de prendre des mesures qui permettent effectivement d'empêcher ou, à tout le moins, de sérieusement décourager les internautes qui effectueraient une recherche sur la base du nom de la personne concernée à partir de l'un des États membres d'avoir accès, par la liste de résultats affichée à la suite de cette recherche, via une version de ce moteur “hors UE”, aux liens qui font l'objet de la demande de déréférencement. Une juridiction d'un État membre peut même enjoindre à un hébergeur de supprimer les informations qu'il stocke et dont le contenu est équivalent à celui d'une information déclarée illicite précédemment ou de bloquer l'accès à celles-ci au niveau mondial, dans le cadre du droit international pertinent. Selon la Cour de cassation et le Conseil d'État, la juridiction saisie d'une demande de déréférencement est tenue de porter une appréciation sur son bien-fondé et de procéder à la mise en balance des intérêts en présence, c'est-à-dire d'une part l'intérêt légitime des internautes potentiellement intéressés à avoir accès à l'information lorsqu'ils effectuent une recherche portant sur le nom du demandeur et d'autre part, les droits au respect de la vie privée et à la protection des données à caractère personnel : une mesure d'injonction d'ordre général conférant un caractère automatique à la suppression de la liste des résultats, affichée à la suite d'une recherche effectuée à partir du nom d'une personne, de liens vers des pages Internet contenant des informations relatives à cette personne ne saurait être adoptée.

Selon la Cour de justice, l'administrateur d'une page fan hébergée sur Facebook qui crée une telle page, offre à ce réseau social la possibilité de placer des cookies sur l'ordinateur ou sur tout autre appareil de la personne ayant visité sa page fan, que cette personne dispose ou non d'un compte Facebook : par son action de paramétrage, en fonction, notamment, de son audience cible ainsi que d'objectifs de gestion ou de promotion de ses activités, il participe à la détermination des finalités et des moyens du traitement des données personnelles des visiteurs de sa page fan. Si un même responsable du traitement est établi sur le territoire de plusieurs États membres, il se doit de prendre les mesures nécessaires pour assurer le respect, par chacun de ses établissements, des obligations prévues par le droit national applicable.

Flèche en arrière
Retour vers tous les termes du glossaire

Vous souhaitez bénéficier d'une démonstration de la plateforme Livv ?

Dans vos bureaux ou en visio, nos équipes s'adaptent à vos besoins. Vous pouvez également nous contacter via notre formulaire de contact.

Prendre RDV pour une démo
Élément décoratif accompagnant un texte descriptif Livv.

Inscrivez-vous à la newsletter Livv

et recevez chaque semaine des informations exclusives en droit des affaires. En savoir plus

Accédez à toute l'intelligence du droit des affaires

Inscrivez-vous gratuitement sur Livv et bénéficiez de notre expertise en droit des affaires.

Essayer gratuitement Livv

Vous souhaitez bénéficier d'une démonstration de la plateforme Livv.eu ?

Dans vos bureaux ou en visio, nos équipes s'adaptent à vos besoins.