Big data et préjudice moral
Depuis 2009, la protection des données personnelles est un droit fondamental dans l’ordre juridique de l’Union européenne, distinct du droit au respect de la vie privée. Ce traitement séparé des deux (droit fondamental et droit au respect de la vie privée) porte en son sein une non-hiérarchisation : il semble indiquer que les conditions actuelles de collecte, d’exploitation et de conservation des données à caractère personnel ne permettent plus de considérer le droit à la protection des données personnelles comme une simple déclinaison du droit au respect de la vie privée. Cela répond à une vision « philosophique » de l’individu et de ses droits : les données personnelles seraient devenues une composante à part entière de l’identité et de la personnalité des individus, qui mérite d’être protégée comme telle, même lorsqu’elle ne touche pas au cœur de l’intimité de leur vie privée.
Le règlement général sur la protection des données (RGPD) est entré en vigueur le 25 mai 2018. Il remplace la la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à « la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données », souvent appelée « la Directive de 1995 », qui reprenait à son tour des principes à la Convention 108 de 1981, aux Lignes directrices de l’OCDE de 1980, et aux Recommandations du Conseil de l’Europe de 1973 et 1974.
Malgré les nécessités de mise à jour qu’entraîne la révolution numérique, la directive de 1995 a pu connaître une remarquable stabilité grâce à une interprétation à la fois large, flexible et précise des types de données personnelles qu’elle recouvre, et des traitements dont elles font l’objet. Les grands principes, et les principales définitions (notamment celle des données à caractère personnel), restent de facto inchangés dans le RGPD. Il est d’abord question des droits de l’individu face aux responsables de traitements de données : droit à l’information sur l’utilisation des données collectées, droit d’opposition pour des motifs légitimes, droits d’accès ou de rectification, droit de connaître et de contester les informations et résultats utilisés dans les traitements automatisés, interdiction, absolue ou relative, de fonder sur un traitement de données une décision, de justice ou autre, impliquant une appréciation sur le comportement d’un individu. En deuxième lieu, il s’agit d’encadrer l’application des normes de façon à ce qu’elle soit adaptée aux cas d’espèce et évolutive, notamment grâce au rôle des régulateurs indépendants (la CNIL en France). Enfin, il s’agit de poser des exigences de proportionnalité et de limitation qui restent d’actualité à l’ère du numérique : obligations de loyauté, de collecte pour des finalités déterminées, explicites et légitimes, proportionnalité de la collecte aux finalités, exactitude des données, limitation de la durée de conservation et sécurité des données.
Certains de ces principes ont pu paraître dépassés à l’ère du big data. Ce dernier, en effet, est fondé par définition, sur la collecte du plus grand nombre de données possible – ce qui se heurte aux principes de finalités déterminées, de proportionnalité et d’exactitude – et des durées de conservation les plus longues possible – en contradiction évidente avec le principe de limitation de la durée de conservation. Cependant, le RGPD cherche à se saisir du défi de repenser la protection de la vie privée et des données à caractère personnel, conçue à une époque où les techniques de collecte et d’exploitation à la disposition des acteurs privés et étatiques n’étaient pas aussi nombreuses et perfectionnées qu’aujourd’hui : la nécessité de protection des individus face aux risques soulevés par les traitements de données personnelles doit s’accompagner du renforcement de leurs capacités d’agir et de maîtriser leurs données. Cette vision entraîne, par ailleurs, une question de taille : sommes-nous passés d’une approche basée sur les droits à une approche basée sur le risque ?
Du risque à la notion de préjudice moral dans le RGPD
Même des données ne contenant pas le nom de la personne peuvent être croisées avec d’autres et permettre de retrouver la personne concernée. En 2006, lorsque la compagnie AOL publia les requêtes de 650 000 utilisateurs de son moteur de recherche en remplaçant les noms d’utilisateur par des séries de chiffres, des journalistes du New York Times ont montré qu’il était malgré tout possible d’identifier les auteurs de ces requêtes à partir de leur historique (Barbaro et Zeller, 2006). L’anonymisation irréversible est en pratique très difficile à atteindre. Bien souvent, il faut faire un choix entre des données utiles et des données anonymes (Ohm, 2010).
L’extension des possibilités d’identification indirecte, engendrée notamment par les évolutions d’un ensemble de techniques regroupées sous le terme de « Big Data » a entraîné de façon mécanique celle de la notion de « donnée à caractère personnel », telle que définie par la Directive 1995. De nombreuses voix, dont celle des autorités de contrôle, se sont donc positionnés dès en amont du processus de négociation sur le RGPD pour réclamer une approche fondée sur une analyse de risques (« risk-based approach ») pour déterminer les obligations de protection pesant sur les données traitées par des entreprises.
L’approche par le risque se traduit entre autres par l’obligation, en cas de « risque élevé » engendré par le traitement de données envisagé, d’évaluer l’impact de leurs traitements de données personnelles sur les personnes concernées (art. 35 RGPD), et par la prise en compte de la gravité et de la portée de l’infraction pour déterminer le montant des sanctions administratives (art. 84 RGPD). Mais des obligations, notamment en matière de loyauté et de transparence des traitements, s’appliquent quel que soit le niveau de risque (Quelle, 2017). Et par ailleurs, comme le rappelle Raphaël Gellert, en pratique, la protection des données s’est toujours traduite par une gestion de risques (Gellert, 2016).
Par contre, le RGPD accorde une place prépondérante, par rapport à la Directive de 1995, à la notion de préjudice moral. S’il était déjà possible de demander la réparation d’un préjudice (en général), devant un tribunal civil, en vertu de l’art. 23 § 1 de la Directive de 1995, l’article 82 du RGPD précise bien que cela vaut autant pour les dommages matériels que les dommages moraux.
Cette question du préjudice moral et de sa réparation réactive la question conceptuelle du rapport entre les articles 7 et 8 de la Charte des droits fondamentaux de l’UE, qui protègent respectivement la vie privée et la protection des données à caractère personnel. Quelle est la relation entre les deux droits (González Fuster, 2014) ? Et est-ce qu’un traitement déloyal de données personnelles qui ne relèvent pas de la vie privée ou de l’intimité de la personne concernée crée, voire devrait créer, un préjudice moral dont il est possible de demander la réparation ?
En outre, certaines personnes craignent que demander de l’argent en réparation d’une violation du droit à la protection des données qui n’a pas entraîné d’autres conséquences préjudiciables, comme par exemple la perte d’un emploi, revient à monnayer son droit à la vie privée. D’autres semblent considérer qu’au contraire, la violation du droit à la protection des données est préjudiciable en soi, même sans autres conséquences négatives, et il doit alors être possible d’exiger un dédommagement.
La réparation du préjudice et l’action de groupe dans le RGPD
En France, l’action de groupe a été introduite par la loi du 17 mars 2014 relative à la consommation afin de renforcer les droits des consommateurs. Cette action a été étendue en matière de données personnelles à travers la loi de modernisation de la justice du XXIe siècle du 18 novembre 2016, qui a créé un article 43 ter dans la loi du 6 janvier 1978 dite « Informatique et Libertés ». Cette action ne permettait alors que de faire cesser le manquement tenant de la violation du droit à la protection des données personnelles, par exemple un traitement illicite, et non de réparer le préjudice subi.
Le RGPD reprend et étend ce droit au niveau européen. L’article 80 du RGPD, qui introduit un mécanisme européen d’action de groupe tendant à la cessation de l’infraction en matière de protection des données, précise en effet que les Etats membres peuvent permettre à des associations d’exercer « le droit d’obtenir réparation visé à l’article 82 lorsque le droit d’un État membre le prévoit » au nom des personnes concernées. Cet article 82 est celui qui, ensemble avec le considérant 146, prévoit que le responsable du traitement ou le sous-traitant doivent réparer tout dommage résultant de la violation du règlement qui leur serait imputable, les personnes concernées devant recevoir « une réparation complète et effective pour le dommage subi », qu’il soit matériel ou moral.
C’est alors aux États membres adaptant leurs lois nationales d’opter ou non pour l’introduction d’un tel droit à réparation. En France, à l’occasion des discussions qui ont accompagné le projet de loi relatif à la protection des données personnelles, dit « CNIL 3 », sous l’impulsion de la société civile et de la Commission des lois de l’Assemblée nationale, le législateur a décidé d’introduire l’action réparatrice. En effet, l’effectivité du droit était limitée par cette impossibilité d’obtenir réparation du préjudice subi et par la longueur de la procédure, auxquelles s’ajoutent la concurrence de l’action pénale, de l’action civile individuelle ou de celle de la CNIL. L’action de groupe respecte le même formalisme avec, à peine d’irrecevabilité, la nécessité de mettre en demeure le défendeur de cesser ou de faire cesser le manquement constaté. C’est après un délai de quatre mois à compter de la mise en demeure que l’action de groupe peut être introduite devant la juridiction compétente. L’action ne peut être portée que par une association régulièrement déclarée depuis au moins cinq ans, « ayant pour objet statutaire la protection de la vie privée et la protection des données à caractère personnel », et si représentatifs, un syndicat ou une association de défense des consommateurs.
Ainsi étendue, l’action de groupe joue un rôle d’incitation, faisant peser à la fois un risque financier, et un risque en termes d’image aux contrevenants. Reste à identifier et à évaluer le préjudice. Pour être réparable, le préjudice doit être certain, personnel et licite. Et par nature le préjudice moral est évanescent, du pretium doloris, prix de la douleur, à tous les préjudices extrapatrimoniaux, ainsi de l’atteinte aux droits de la personnalité. On indemnise l’intégralité du dommage mais rien que le dommage, et demeure la question de la difficulté de son évaluation : que représente le traitement illicite de nos données, l’inscription à tort dans un fichier ou une fuite de données ?
C’est aussi, la possibilité pour les personnes concernées de reprendre la main sur leurs données. Plusieurs actions ont ainsi été initiées. L’avocat autrichien Max Schrems, à la tête de l’ONG None Of Your Business, NYOB, a ainsi introduit une action de groupe au 25 mai contre Google, Instagram, WhatsApp et Facebook. En France, l’association La Quadrature du Net a initié une telle action contre Google, Amazon, Facebook, Apple et Microsoft en prenant le parti de ne pas demander réparation du préjudice, considérant que par nature la protection des données personnelles est un droit non monnayable. C’est également en France l’initiative e-Bastille qui porte un projet d’action de groupe autant que de sensibilisation. Cette dernière a initié une consultation en ligne pour collecter des doléances qui doivent permettre de déterminer auprès de quels responsables de traitement devra se focaliser l’action. La demande de réparation du préjudice vise à responsabiliser les acteurs et à permettre aux personnes concernées de reprendre la main sur leurs données.
Protéger les données plutôt que les personnes
Les droits au respect de la vie privée et à la protection des données personnelles s’apparentent de plus en plus, à l’ère du numérique, à un désir d’autonomie individuelle et une exigence de libre épanouissement de la personnalité. Il ne s’agit plus seulement d’une attente à voir sa vie privée préservée de toute ingérence extérieure ; l’individu revendique également la liberté de choisir et de contrôler les conditions dans lesquelles ses données personnelles peuvent être collectées et utilisées. Si la philosophie générale à la base de la législation européenne en matière de vie privée est fondée sur la protection de la personne, et non celle de ses données, le RGPD cherche à y apporter des intégrations en cherchant à réparer l’asymétrie informationnelle et décisionnelle qui existe actuellement entre les individus et les responsables de traitements.
C’est dans ce cadre que s’inscrivent les droits créés par les articles 80 et 82 du RGPD. Plus qu’une démarche fondée sur le risque, le RGPD accentue l’importance de la prise en compte des préjudices, tant matériel que moral, qui peuvent naître d’une violation des droits fondamentaux à la vie privée et à la protection des données. Même sans préjudice démontrable, une infraction au RGPD pourra faire l’objet d’une sanction. Mais que ce soit le niveau de protection, adapté au risque de préjudice, ou le montant des sanctions administratives, qui doit en tenir compte, ou encore les actions de groupe, qui peuvent dans certains pays permettre de demander sa réparation, le préjudice est devenu une nouvelle notion fondamentale du droit à la protection des données personnelles en Europe.
Déterminer comment chiffrer ce préjudice, surtout s’il s’agit de préjudice moral, n’est cependant pas une chose aisée. La nature de ce préjudice est sujet de discussions. Une infraction au droit à la vie protection des données est-elle forcément une atteinte à la vie privée ? Dans un cas comme dans l’autre, crée-t-elle automatiquement un préjudice moral réparable, ou bien faut-il plutôt chercher à réparer les conséquences de l’infraction plutôt que l’infraction elle-même ? Ces questions font débat et expliquent en partie des stratégies différentes de la part d’associations de défense des libertés numériques.