L’articulation des normes

Focus : L’articulation des normes

Depuis l’entrée en vigueur du nouveau bloc réglementaire relative à la protection des données, l’une des principales difficultés rencontrées par les professionnels est l’articulation des normes. Comment articuler le RGPD et la directive ePrivacy ? Comment articuler le RGPD et la directive Police-Justice ? Maîtriser les limites de chacun des textes est essentiel pour s’assurer d’avoir une interprétation des textes concordant avec la volonté du législateur, mais également l’interprétation des différents organes de décision. Cet article a vocation a vous donner des réponses ou, à défaut, au moins quelques pistes de réflexion.

L’articulation du RGPD, de la LIL et de la directive Police-Justice

Dans cette partie, nous allons nous interroger sur le régime applicable applicable au traitement : le RGPD ou la directive Police-Justice ? En effet, si les deux textes ont de nombreuses similarités, des obligations spécifiques à la directive doivent être respectées: en particulier, le traitement de données sensibles ne doit intervenir qu’en cas de nécessité absolue et selon des conditions très strictes (article 88 de la Loi Informatique et Libertés).
De prime abord, l’articulation du RGPD et de la directive Police-Justice peut relever de l’évidence : la seconde s’appliquerait à tous les traitements relevant de la matière pénale et/ou de la sécurité publique mis en œuvre par les autorités compétentes, le premier étant applicable à toutes les autres situations. En réalité, l’articulation à retenir est un peu plus fine. Cela est particulièrement mis en valeur par les adaptations françaises de ces textes, notamment l’article 31 de la Loi Informatique et Libertés ainsi que les articles 87 et suivants.

Que disent les textes ?

Pour donner des éléments un peu plus précis sur le champ d’application prévu par les textes, il convient de rappeler que selon son article 2, le RGPD est applicable à « tout traitement de données à caractère personnel, automatisé en tout ou en partie, ainsi qu’au traitement non automatisé de données à caractère personnel contenues ou appelées à figurer dans un fichier« .

La directive Police-Justice, quant à elle, est applicable « au traitement de données à caractère personnel effectué par les autorités compétentes aux fins énoncées à l’article 1er, paragraphe 1 » [à savoir les traitements mis en oeuvre à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales, y compris la protection contre les menaces pour la sécurité publique et la prévention de telles menaces] dès lors que celui-ci est mis en œuvre par une autorité compétente.

Le champ d’application du RGPD et de la directive souffre de quelques exceptions (notamment s’agissant des activités ne relevant pas du droit de l’Union) mais, celles-ci n’ayant pas d’impact sur la problématique de l’articulation des deux normes, elles ne seront pas étudiées ici. Dès lors, à ce stade, tout semble être limpide et peut certainement être résumé à la phrase d’introduction.
En revanche, tel n’est plus si limpide dès lors que l’on ajoute l’article 31 de la Loi Informatique et Libertés dans la balance. Celui-ci a été rédigé en les termes suivants :

Sont autorisés par arrêté du ou des ministres compétents, pris après avis motivé et publié de la Commission nationale de l’informatique et des libertés, les traitements de données à caractère personnel mis en œuvre pour le compte de l’Etat et :
1° Qui intéressent la sûreté de l’Etat, la défense ou la sécurité publique ;
2° Ou qui ont pour objet la prévention, la recherche, la constatation ou la poursuite des infractions pénales ou l’exécution des condamnations pénales ou des mesures de sûreté.

Pourquoi l’articulation est-elle délicate ?

La problématique rencontrée est liée à la différence de terminologie employée par la directive et la Loi Informatique et Libertés. Le premier texte fait référence à des finalités pénales et de sécurité publique, alors que le second fait référence à un objet pénal ou qui intéresse la sécurité publique. Or, un traitement peut parfaitement intéresser la matière pénale sans pour autant avoir une finalité directe étant en lien avec la prévention d’infractions: tel va être le cas de traitements publics dès lors que l’administration ouvre un accès permanent aux forces de l’ordre. Il convient de préciser que, dans ce cadre, le régime du tiers autorisé ne s’applique pas: ainsi le secteur public se doit, dans ce cas, de les ajouter en destinataires des données.

Comment résoudre cette problématique ?

Cette problématique d’articulation a reçu une réponse du Conseil d’Etat dès le 19 juillet 2019, dans son arrêt « Association des américains accidentels » (n°424216). D’après les conseillers, à propos d’un traitement créé par un arrêté ayant pour finalité de lutter contre la fraude et l’évasion fiscales, il est nécessaire de bien distinguer « l’objet pénal » de la « finalité pénale ». En effet, un traitement peut parfaitement avoir un objet pénal, comme tel était le cas en l’espace, sans pour autant avoir une finalité pénale. Autrement dit, un traitement n’est soumis au régime de la directive Police-Justice que dès lors que l’une de ses raisons d’être, l’une de ses finalités, est en lien direct avec la matière pénale. Si le traitement a un lien indirect avec la matière pénale, il n’aura alors qu’un objet pénal et sera soumis au régime du RGPD.

Pour citer le Conseil d’Etat :

Un traitement de données à caractère personnel relève, selon sa finalité, du champ d’application du règlement du 27 avril 2016 ou de celui de la directive du même jour. Alors même qu’ainsi qu’il a été dit au point 8, le traitement litigieux a plusieurs objets, au nombre desquels figurent la prévention, la détection et la répression des infractions pénales, sa finalité est de permettre, en luttant contre la fraude et l’évasion fiscales, l’amélioration du respect de leurs obligations fiscales par les contribuables français et américains. Il s’ensuit qu’il relève du champ d’application du règlement du 27 avril 2016 et non de celui de la directive du même jour.

Pour approfondir …

> CE, Association des américains accidentels, n°424216

19 juillet 2019

L’articulation du RGPD avec l’Open Data

Dans cette partie, nous allons nous interroger sur la manière dont le RGPD vient (ou non) entrer en conflit avec les règles concernant l’ouverture des données de l’administration telles qu’issues des articles L. 311-1 et suivants du Code des relations entre le public et l’administration (partie réglementaire incluse), le régime ayant grandement évolué avec la loi du 7 octobre 2016 pour une République numérique. En effet, d’un côté, un régime assez strict visant à encadrer le traitement de données à caractère personnel a été mis en place au niveau de l’Union Européenne comme au niveau français. De l’autre, des règles ont été prises afin d’obliger les administrations à publier les documents administratifs qu’elles détiennent. Dès lors, que se passe-t-il si ces documents contiennent des données à caractère personnel ?

Que disent les textes ?

Le RGPD, tout d’abord, définit la donnée à caractère personnel comme « toute information se rapportant à une personne physique identifiée ou identifiable« . Dès lors que de telles données sont traitées, il est nécessaire de respecter un certain nombre de principes tels que prévus par l’article 5 (dont le principe de licéité ou le principe de transparence). Par ailleurs, le responsable du traitement doit permettre aux personnes concernées d’exercer leurs droits (et en particulier les droits d’opposition et à la suppression). La publication de données personnelles étant, en soi, un traitement, il sera nécessaire de respecter les règles du RGPD depuis le stade de la collecte jusqu’à cette diffusion.

Le régime de l’Open Data est, quant à lui, assez complexe mais peut globalement être scindé en deux : il existe des règles pour la communication de documents administratifs (sur demande d’un administré), mais également des règles pour la diffusion de documents administratifs. Cela suppose, en amont, que le document administratif soit (notamment) achevé (article L 311-2), et qu’il ne soit pas écarté de toute communication ou publication par les articles L 311-5 et L 311-6 du CRPA.

S’agissant de la communication, l’article L 311-6 prévoit notamment que « ne sont communicables qu’à l’intéressé, les documents administratifs dont la communication porterait atteinte à la vie privée et au secret médical […]« . A contrario, dès lors qu’il n’y a pas d’atteinte à la vie privée et que la communication n’est pas écartée par un autre texte, un document administratif est communicable à tout personne (article L 311-1).
S’agissant de la diffusion, l’article L 312-1-2 du CPRA prévoit, tout d’abord, que les documents qui ne sont pas communicables ne sont pas non plus diffusables, sauf à retirer préalablement les mentions concernées. Il ajoute ensuite que « sauf dispositions législatives contraires ou si les personnes intéressées ont donné leur accord, lorsque les documents et les données mentionnés aux articles L. 312-1 ou L. 312-1-1 comportent des données à caractère personnel, ils ne peuvent être rendus publics qu’après avoir fait l’objet d’un traitement permettant de rendre impossible l’identification de ces personnes »

Notez que des exceptions à l’interdiction de diffusion (donc de communication) existent, et permettent d’esquiver quelques problématiques :

Une disposition législative prévoit expressément la publication d’un document malgré la présence de données à caractère personnel ou pouvant relever de la vie privée, ce document doit être publié en l’état ;

Les personnes intéressées ont donné leur accord à la publication [ce qui n’est pas la même chose que de consentir au traitement dans sa globalité] ;

Une exception de celles prévues à l’article D 312-1-3 du CRPA est applicable.

Pourquoi l’articulation est-elle délicate ?

Les difficultés d’articulation des deux régimes est, tout d’abord, liée à l’absence d’harmonisation de la terminologie employée dans les textes relatifs à la communication et à la diffusion. Doit-on considérer que les deux termes « donnée relevant de la vie privée » et « donnée à caractère personnel » renvoient à la même notion ? Dans l’hypothèse où tel ne serait pas le cas, le législateur voulait-il réellement séparer les deux notions ou entendait-il les employer de manière indifférenciée ?

Ensuite, cette difficulté d’articulation soulève une autre problématique tout à fait classique : la différence entre ce qui relève de la vie privée et ce qui relève de données à caractère personnel. Une donnée personnelle est-elle nécessairement une information relative à la vie privée ? Quid de l’inverse ? Est-ce peut-être la même chose, en substance ? Cette question, qui semble à première vue particulièrement délicate, est pourtant particulièrement déterminante dans la problématique qui nous occupe, dans la mesure où le CRPA vise les données relevant de la vie privée dans un cas, et les données à caractère personnel dans l’autre.

Enfin, des questions liées à l’application des principes du RGPD sont susceptibles de se poser : combien de temps un document doit-il être publié ? Comment gérer les demandes d’exercice des droits ?

Comment résoudre cette problématique ?

Pour résoudre la première problématique, et le guide pratique CADA-CNIL le montre très bien, il faut considérer que les notions de « donnée à caractère personnel » et de « donnée relevant de la vie privée » n’ont pas la même signification ni la même portée. En conséquence, les termes auront des implications juridiques différentes. Ainsi, un document administratif contenant une donnée à caractère personnel ne relevant pas de la vie privée pourra être communiqué à toute personne en faisant la demande, mais ne pourra être diffusé qu’après occultation de ces informations (et, dans le cas où cela serait impossible, ne sera pas diffusé).

S’agissant de la différenciation entre ce qui relève de la vie privée, sans aller jusqu’à prendre le risque de donner définir une distinction basée sur des critères, le guide CADA-CNIL fournit tout de même aux intéressés quelques exemples. En particulier, le nom et le prénom d’une personne ne relèveraient pas de la vie privée : telle est la décision du Conseil d’Etat (CE. 30/03/1990, Mme D.). Selon les situations, il est précisé que d’autres informations peuvent ne pas relever de la vie privée : tel est le cas du nom et de l’adresse d’un bénéficiaire d’une autorisation d’urbanisme. En revanche, constituent bien des données protégées par le secret de la vie privée : la date de naissance, l’âge, les coordonnées personnelles, la situation patrimoniale et financière.

Pour le reste, il suffira de suivre les grands principes de la réglementation de manière rigoureuse : ainsi, un document dont la publication ne présente plus d’intérêt devra être retiré dès lors que ce document comprend des données à caractère personnel, quand bien même celles-ci ne relèveraient pas de la vie privée. Il en va de même pour l’exercice des droits, à une exception près : dès lors qu’une personne s’oppose à la publication en justifiant d’un risque pour sa sécurité, le document concerné doit être dépublié sans qu’il soit nécessaire de procéder à la classique mise en balance des intérêts. En effet, l’article L 311-5 prévoit que dans un tel cas, le document n’est pas communicable (et, par extension, pas diffusable).

Pour approfondir …

> Guide pratique CADA CNIL

17 octobre 2019

L’articulation du RGPD et du droit de la concurrence

A première vue, l’on pourrait avoir l’impression que les règles en matière de protection des données et le droit de la concurrence n’ont absolument rien à voir, n’ont rien en commun : il faut dire qu’elles ne régissent absolument pas les mêmes situations. Dès lors, l’on peut penser que les autorités gardiennes du respect de ces règlent n’ont pas beaucoup en commun. Malgré tout … il existe bel et bien quelques passerelles.

Que disent les textes ?

D’un côté, le RGPD encadre les traitements de données à caractère personnel de manière à protéger au maximum les personnes concernées. Le règlement pose un certain nombre de principes qu’il convient de respecter pour être conforme et ainsi éviter les sanctions, tels que les principes de licéité, de transparence, ou encore de minimisation. De l’autre, le droit de la concurrence encadre les relations entre professionnels (généralement intervenant sur un marché identique) dans le double objectif de protéger le consommateur et les entreprises contre les pratiques abusives d’autres acteurs. Comme mentionné en introduction : à priori, rien à voir. C’est d’ailleurs en ce sens que les tribunaux ont tranché pendant longtemps. A ce titre, le tribunal judiciaire estimait encore en 2019 que (TJ Paris, 10 Janvier 2020, Lafuma, n° 18/00171) que « s’agissant d’une réglementation ayant pour objet la protection des personnes physiques, [elles seules] se prévaloir d’un manquement à leurs droits« .

Mais, en réalité, il y a bien un pont. Un, en particulier, bâti par la chambre commerciale de la Cour de Cassation qui considère depuis 2020 que « ’s’affranchir d’une réglementation, dont le respect a nécessairement un coût, [fait partie des] actes qui, en ce qu’ils permettent à l’auteur des pratiques de s’épargner une dépense en principe obligatoire, induisent un avantage concurrentiel indu » . L’année d’après, la Cour précise sa pensée en qualifiant « d’acte de concurrence déloyale le non-respect d’une réglementation dans l’exercice d’une activité commerciale, qui induit nécessairement un avantage concurrentiel indu pour son auteur « .

Très vite, les juridictions du fond se sont saisies de cette nouvelle position et les condamnations en concurrence déloyale justifiées par un ou plusieurs manquements au RGPD sont apparues. Celle qui a couler le plus d’encre, pour avoir « officialisé » cette nouvelle position, est sans doute la décision du Tribunal judiciaire de Paris en date du 15 avril 2022 (n°19/12628), qui a condamné en concurrence déloyale au visa de manquements à la réglementation en matière de protection des données à caractère personnel.

Pourquoi l’articulation est-elle délicate ?

A ce stade, aucune difficulté en vue : certains considéreront que ce régime est sévère mais il a l’avantage d’être clair. Mais des points d’accrochage apparaissent lorsque l’on s’interroge sur les pouvoirs respectifs des autorités de la concurrence et pour la protection des données (CNIL). L’autorité de la concurrence ne serait-elle pas en train de sortir de son champ de compétences en enquêtant sur la conformité au RGPD d’une structure, pour empiéter sur celui de la CNIL ? Que se passe-t-il en cas de désaccord entre les deux autorités concernant la qualification (ou non) d’un manquement au RGPD ? Comment assurer cette cohérence si importante entre les deux autorités ?

Comment résoudre cette problématique ?

Cette problématique a… en partie été résolue très récemment par la Cour de Justice de l’UE, par un arrêt du 4 juillet 2023 (C-252/21). Une autorité de la concurrence peut, sous certaines conditions cumulatives qui se dégagent de la décision de la CJUE, enquêter sur la conformité au RGPD d’une entreprise :

Cela ne concerne que les abus de position dominante ;

Il faut que cette enquête soit nécessaire pour établir l’abus ;

Il faut que cette enquête soit réalisée en concertation et en coopération avec l’autorité de protection des données.

La question de la répartition des compétences trouve donc des éléments de réponse : une autorité peut enquêter sur cette thématique, mais pas seule (sauf si l’autorité de protection des données ne répond pas). Par ailleurs, s’agissant de la conformité, c’est la décision de l’autorité de protection des données qui prime et elle ne peut s’en écarter. Cela n’exclut pas le dialogue entre les deux autorités au cas où il y aurait un désaccord concernant une situation.

Néanmoins, cette décision apporte également une nouvelle question, et pas des moindres. Bien qu’il n’est pas juridiquement contraignant, lee communiqué de presse attaché à l’arrêt met très bien en valeur la position de la Cour en le présentant de la manière suivante :

L’appréciation du respect du RGPD [par une autorité de la concurrence] se limite aux seules fins de constater un abus de position dominante et d’imposer des mesures visant à cesser cet abus selon les règles du droit de la concurrence.

Vous l’aurez noté, la position française ne se limite pas à l’abus de position dominante, puisque l’autorité de la concurrence s’est appuyée sur des manquements au RGPD afin de constater des faits de concurrence déloyale (et non d’abus de position dominante). Cette approche serait-elle remise en cause par cette décision ? Comment les tribunaux français vont-ils interpréter cette décision ? Il s’agit assurément d’une affaire à suivre !

Pour approfondir …

> Cass. com., n° 17-31.614 (sur Légifrance)

12 février 2020

> Cass. com. , n°19-10.414 (sur Légifrance)

17 mars 2021

> CJUE, Meta v Bundeskartellamt, C-252/21

4 juillet 2023

L’articulation du RGPD avec le droit à l’image

Dans cette nouvelle partie, il est question de l’articulation des règles en matière de protection des données à caractère personnel avec les règles liées au droit à l’image, ces dernières découlant de l’article 9 du Code civil ainsi que de la Déclaration des Droits de l’Homme et du Citoyen (DDHC) de 1789 tels qu’interprétés par les juridictions ainsi que par le Conseil Constitutionnel. En effet, à première vue, il semble que le régime du droit à l’image et celui du RGPD sont si différents qu’il pourrait y avoir des conflits, des contradictions. Le RGPD est plutôt ouvert, et permet le traitement de données à caractère personnel sous certaines conditions qui ne sont franchement pas insurmontables. A contrario, le droit à l’image est assez fermé, et n’est pas aussi souple quant à l’utilisation de l’image d’autrui : c’est même tout le contraire ! Quelle mise en balance faut-il donc observer ?

Que disent les textes ?

Tout d’abord, selon son article 2, le RGPD est applicable à "tout traitement de données à caractère personnel, automatisé en tout ou en partie, ainsi qu’au traitement non automatisé de données à caractère personnel contenues ou appelées à figurer dans un fichier« . S’agissant du droit à l’image, l’article 9 du Code civil prévoit assez sobrement que « chacun a droit au respect de sa vie privée« . Le régime a été construit sur cette base, et est à bien différencier du régime relatif à la vie privée qui est rapidement évoqué dans l’étude de l’articulation entre le RGPD et l’Open Data des documents administratifs. Le principe est clair : toute personne a sur son image et l’utilisation qui en est faite un droit exclusif et peut s’opposer à sa diffusion sans son autorisation (ex: Cass. civ., 16/07/1996, n°96-15.610).

Comme toujours, quelques exceptions existent :

La personne n’est pas identifiable ni reconnaissable ;

L’image représente un groupe de personnes dans lieu public et n’est pas centrée sur l’une d’elles ;

L’image illustre un évènement d’actualité, une manifestation publique ou un sujet historique;

L’image représente une personnalité publique dans le cadre de l’exercice de ses fonctions.

Si la personne concernée est mineure, ces exceptions ne s’appliquent pas : le droit à l’image est alors quasi-absolu. Il en va de même si l’utilisation de l’image d’un majeur est anormale, par exemple si elle porte atteinte à la dignité du sujet ou si elle est utilisée dans un but commercial.
Enfin, s’il est préférable que cet accord soit écrit afin de pouvoir en garder un trace (en particulier dans l’hypothèse où une contrepartie serait donnée), cela n’est pas un critère conditionnant sa validité. A l’inverse, les critères de validité du consentement donné au titre du RGPD sont très rigoureux, puisqu’il doit être : exprès, libre, spécifique et éclairé.

Pourquoi l’articulation est-elle délicate ?

Les difficultés d’articulation pouvant exister sont, comme souvent, liées à la superposition des régimes. Cette fois, ce chevauchement ne concerne qu’une seule et unique donnée, à savoir l’image d’une personne (sous quelque forme que ce soit : photo, vidéo, etc.). De cette dualité peut résulter des difficultés dans l’application des principes du RGPD, mais également dans l’exercice des droits des personnes. Par exemple : le consentement qui peut être requis pour l’utilisation de l’image du personne est-il suffisant à fonder le traitement ? Que se passe-t-il dans le cas où la personne concernée ne voudrait plus partager son image ? Comment gérer l’exercice des droits RGPD ? Autant de problématiques à bien avoir en tête afin d’éviter les tracas le jour venu.

Comment résoudre cette problématique ?

Le premier élément consiste à appliquer un principal général du droit : lorsque la loi spéciale déroge à la loi générale, la loi spéciale prime. En l’occurrence, afin d’utiliser l’image d’une personne, sauf à ce qu’une exception s’applique, il est obligatoire de requérir l’accord de la personne concernée. Le point véritablement essentiel est le suivant : cet accord de la personne à l’utilisation de son image est à dissocier du consentement au traitement de données à caractère personnel. Ainsi, si le fondement légal du traitement envisagé est également le consentement, le responsable de traitement devra s’assurer :

Soit de demander deux consentements distincts à la personne concernée ;

Soit de recueillir (le cas échéant) son consentement selon les critères de validité les plus contraignants (à savoir ceux prévus par le RGPD) après l’avoir (très) clairement informée des conséquences de son choix.

En cas de manifestation d’une volonté de retrait de cet accord ou du consentement, plusieurs situations sont possibles :

Un contrat de cession de l’image a été signé : il faudra a priori en suivre les termes, et notamment la durée établie. Il est à noter que la fin de l’accord n’entraine pas automatiquement la suppression des données dans la mesure où une période d’archivage intermédiaire peut avoir été mise en place par le responsable de traitement. Par ailleurs, les droits de la personne concernée restent applicables mais leur exercice pourrait s’en trouver limité.

Aucun contrat écrit de cession n’a été établi : en l’absence de durée écrite, il sera considéré qu’un à durée indéterminée a été pris par les parties. En application du code civil, il peut y mettre mis fin à tout moment (sous réserve d’un éventuel délai de préavis) et le retrait de la diffusion peut être demandé. Dans ce cas, une demande de suppression, d’opposition ou un retrait du consentement RGPD pourrait permettre d’aboutir au même résultat si le responsable de traitement n’est pas trop formaliste, étant précisé que ces demandes auraient un périmètre plus large que la simple demande du retrait de l’image.

En toute situation, le traitement d’une donnée telle que l’image de personnes identifiable devra respecter les grands principes de la réglementation de manière rigoureuse : ainsi, pour respecter le principe de minimisation, une image dont la publication ne présente pas ou plus d’intérêt devrait être retirée et non oubliée au fond d’une base de données même si un contrat de cession a été signé. Par exemple, cela pourrait être le cas si l’évènement ayant justifié la diffusion d’une image n’en est plus un depuis un moment.

Pour approfondir …

> Cass. civ., arrêt n°96-15.610 (sur Légifrance)

16 juillet 1996