Données à caractère personnel de l'internaute et ... · troisième baromètre de confiance des...
62
UNIVERSITÉ DE MONTPELLIER I CENTRE DU DROIT DE LA CONSOMMATION ET DU MARCHÉ (UMR 5815 CNRS Dynamique du Droit) MASTER 2 PROFESSIONNEL CONSOMMATION ET CONCURRENCE Données à caractère personnel de l'internaute et conditions générales d'utilisation Par Jordan ROUQUET Mémoire réalisé sous la direction de Madame Agnès ROBIN Maître de conférences à la faculté de droit de Montpellier Année universitaire 2013 / 2014
Transcript of Données à caractère personnel de l'internaute et ... · troisième baromètre de confiance des...
UNIVERSITÉ DE MONTPELLIER I
CENTRE DU DROIT DE LA CONSOMMATION ET DU MARCHÉ
(UMR 5815 CNRS Dynamique du Droit)
MASTER 2 PROFESSIONNEL CONSOMMATION ET
CONCURRENCE
Données à caractère personnel de l'internaute etconditions générales d'utilisation
Par
Jordan ROUQUET
Mémoire réalisé sous la direction de Madame Agnès ROBIN
Maître de conférences à la faculté de droit de Montpellier
Année universitaire 2013 / 2014
Je tiens tout d’abord à remercier Messieurs Malo DEPINCÉ et le professeur Daniel MAINGUY pour cette année riche en enseignements.
Je remercie également Madame Agnès ROBIN pour ses conseils et sa disponibilité.
Une pensée toute particulière à Madame Sophie DELCOURT-VERNAY pour sa patience et son écoute.
Merci à mes camarades avec lesquels j’ai partagé une excellente année.
Merci enfin à Célia pour son soutien indéfectible.
Sommaire
Sommaire.....................................................................................................................................1
Introduction..................................................................................................................................3
Titre 1 – Le cadre juridique de protection de l’internaute en matière de données à caractère per-sonnel...........................................................................................................................................8
Chapitre 1 – L’identification de la donnée à caractère personnel..............................................8
Section 1 – La donnée à caractère personnel : une nomenclature imprécise et évolutive.....8
Section 2 – La profusion des données à caractère personnel sur l’Internet ........................18
Chapitre 2 – Un professionnel responsable de la collecte et du traitement des données........26
Section 1 – Le professionnel qualifié de responsable du traitement des données...............26
Section 2 – L'utilisation des données à caractère personnel par un professionnel..............32
Titre 2 – Les conditions générales d'utilisation comme outil de protection de l'internaute.........34
Chapitre 1 – Un encadrement des relations entre l’internaute et le professionnel...................34
Section 1 – Les modalités de conclusion d'un contrat en ligne par un internaute................34
Section 2 – Le recueil du consentement de l'internaute......................................................37
Chapitre 2 – Un rappel limité des droits de l’internaute par les conditions générales d’utilisa-tion.........................................................................................................................................41
Section 1 – Les droits reconnus aux internautes rarement mobilisés..................................41
Section 2 – Les conditions générales d’utilisation : un outil perfectible.............................45
Conclusion..................................................................................................................................48
Bibliographie..............................................................................................................................49
1
« Si je regarde suffisamment vos messages et votre localisation, et que j'utilise une
intelligence artificielle, je peux prévoir où vous allez vous rendre. Montrez-nous 14
photos de vous et nous pourrons vous identifier. Vous pensez qu'il n'y a pas quatorze
photos différentes de vous sur Internet ? Il y en a plein sur Facebook ! Le monde n'est
pas prêt pour la révolution technologique qui s'annonce, en effet il produit aujourd'hui
autant de données en deux jours qu'entre l'aube de la civilisation et 2003. La seule
manière de gérer ce problème est une vraie transparence, et la fin de l'anonymat. Dans
un monde où les menaces sont asynchrones, il est trop dangereux qu'on ne puisse pas
vous identifier d'une manière ou d'une autre. Nous avons besoin d'un service
d'identification personnel. Les gouvernements le demanderont. »
Eric Schmidt, PDG de Google (2001-2011)
2
Introduction
Par cette déclaration, Eric Schmidt annonçait la fin imminente de l’anonymat sur
Internet. Une inquiétante révélation pour certains, la suite logique des mutations de
notre société du fait de l’abondance des nouvelles technologies pour d’autres, la place
de la vie privée des internautes et plus particulièrement de la protection de leurs données
personnelles est aujourd’hui plus que jamais au cœur de l’actualité. Chaque individu est
en mesure d’apprécier l’impact que les nouvelles technologies ont sur notre quotidien,
aussi bien dans notre manière de communiquer, de travailler et plus largement de
s’épanouir. Courriels, réseaux sociaux, achats en ligne, moteurs de recherche,
smartphones1, sites de rencontre, les journées de millions d’individus sont désormais
rythmées l’utilisation ces nouveaux outils qui n’a cessé de s’accroître au fur et à mesure
que les ordinateurs et Internet s’installaient au sein des foyers. Du fait de leur place
prédominante qu’ils occupent et de leur impact sur les relations entre les individus, ces
nouveaux outils sont souvent décriés et suscitent de nombreuses interrogations : Quelle
est la frontière entre l’espace privé et l’espace public sur Internet ? Est-on surveillé de
chacun de nos faits et gestes ? À qui profitent les informations laissées par l’internaute
lors de ses navigations ?
Une véritable prise de conscience des internautes face aux enjeux et
conséquences d’un monde toujours plus connecté semble émergée. Ainsi, selon une
étude menée par la société Ipsos pour la Commission nationale informatique et libertés
(CNIL) en octobre 20082, 71% des sondés jugeaient que le niveau de protection de leur
vie privée sur Internet était insuffisante. La Caisse des dépôts et consignations (CDC) et
l’Association de l’économie numérique (ACSEL) publiaient quant à elles en 2013 leur
1 Que l’on traduit par « téléphones intelligents » ou « ordiphone », ils désignent une catégorie de téléphones possédant des fonctions similaires à celles des ordinateurs.2 http://www.ipsos.fr/ipsos-public-affairs/actualites/2008-10-14-protection-donnees-privees-francais-s-inquietent
3
troisième baromètre de confiance des Français dans le numérique3. Il est ressorti de
cette étude que 92% des sondés jugeaient que la conservation des données personnelles
devait être limitée dans le temps et 40% percevaient l’utilisation abusive de leurs
données comme un risque.
Une législation abondante
Les problématiques et enjeux entourant la protection des données à caractère
personnel sont apparues concomitamment au développement croissant des systèmes
informatiques et de l’Internet grand public. C’est à partir des années 1970 que certaines
institutions ont débuté leurs travaux sur ces questions. L’Organisation de coopération et
de développement économique (OCDE) rendait ainsi une recommandation le 23
septembre 19804 tandis que le Conseil de l’Europe établissait la Convention 1085 le 28
janvier 1981. Ces deux initiatives étaient ainsi la preuve d’une prise de conscience de
l’importance grandissante des enjeux relatifs aux données personnelles des individus,
cependant leur portée restait néanmoins limitée de par leur nature, la recommandation
de l’OCDE n’ayant pas de valeur contraignante et la Convention 108 du Conseil de
l’Europe étant facultative. Ces textes ont néanmoins joué un rôle primordial en
établissant certains grands principes6 qui constituent, aujourd’hui encore, le socle
inamovible de la protection des internautes face à l’utilisation de leurs données
personnelles : une collecte et un traitement loyal et licite, une finalité déterminée et
légitime, une durée de conservation limitée, une sécurité accrue.
La France n’a pas été en reste face à ce mouvement puisque, dès 1978, était
adoptée la loi Informatique et Libertés7 en réponse à l’opposition de l’opinion publique
3 http://www.cnil.fr/linstitution/actualite/article/article/la-protection-des-donnees-personnelles-une-source-de-preoccupation-des-internautes-selon-le-3e/4 Recommandation du Conseil concernant les lignes directrices régissant la protection de la vie privée et les flux transfrontières de données de caractère personnel5 Convention pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel6 Convention 108 du Conseil de l’Europe, article 5 intitulé « Qualité des données »,7 Loi n°78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés
4
au projet SAFARI8 initié par le gouvernement de l’époque. Ce projet du ministère de
l’Intérieur avait pour objectif de centraliser les près de « 100 millions de fiches réparties
dans 400 fichiers »9, recueillant et traitant ainsi une quantité immense d’informations
sur près de 52 millions de français. La loi Informatique et Libertés, votée à l’heure où
l’Internet grand public n’en était encore qu’à ses balbutiements, avait donc comme
objectif principal d’encadrer l’appropriation et le traitement des données dites
« nominatives » par les administrations publiques. Pour autant le législateur, très
certainement prévoyant quant aux évolutions des systèmes informatiques, incluait déjà
dans le champ d’application de cette loi les personnes morales de droit privé. Par
ailleurs, la rédaction de cette loi comportait déjà les grandes lignes et principes qui
encadrent toujours aujourd’hui la collecte des données à caractère personnel avec
notamment un mécanisme de déclaration et d’autorisation auprès de la Commission
Nationale de l’Informatique et des Libertés (CNIL), une interdiction des collectes
frauduleuses, déloyales ou illicites des données10 ainsi que la reconnaissance de droits
mobilisables par les individus. C’est également par cette loi que la Commission
Nationale de l’Informatique et des Libertés (CNIL) fut créée et dont les pouvoirs ont été
élargis au fur et à mesure des réformes engagées en la matière.
Il faut attendre 1995 pour que la Communauté Européenne adopte une directive11
en matière de protection des données personnelles des individus. Les propos
préliminaires de la directive précisaient ainsi que les « systèmes de traitement de
données sont au service de l'homme; qu'ils doivent, quelle que soit la nationalité ou la
résidence des personnes physiques, respecter les libertés et droits fondamentaux de ces
personnes, notamment la vie privée, et contribuer au progrès économique et social, au
développement des échanges ainsi qu'au bien-être des individus ». Au même titre que
les travaux supranationaux et nationaux évoqués précédemment, la Communauté
Européenne s’est alors attachée, à travers cette directive, à imposer un cadre restrictif
8 Système Automatisé pour les Fichiers Administratifs et le Répertoire des Individus9 Le Monde, 21 mars 1974, « Safari ou la chasse aux français », Philippe Boucher10 Loi n°78-17 du 6 janvier 1978, article 2511 Directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection despersonnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation deces données
5
aux responsables de traitement de ces données et à reconnaître certains droits aux
individus quant à la collecte et l’utilisation de leurs données. En tant que directive,
l’objectif de la Communauté Européenne était ainsi d’établir un socle commun de
protection des individus face au traitement de leurs données à caractère personnel pour
l’ensemble des Etats membres de l’Union Européenne12. Tardivement transposée en
droit français par une loi du 6 août 200413, la loi Informatique et Libertés du 6 janvier
1978 se voyait ainsi modifiée afin de prendre notamment en compte les évolutions des
réseaux de communication.
La Charte des droits fondamentaux de l’Union européenne14, adoptée le 7
décembre 2000, est également venue consacrer un article 8 intitulé « Protection des
données à caractère personnel ». Ce texte a une importance particulière depuis
l’adoption du Traité sur l’Union européenne depuis 2009 puisque son article 6 a reconnu
à la Charte des droits fondamentaux de l’Union européenne une valeur juridique
identique à celle des traités. Loin d’être ancrée, la législation en matière de donnée à
caractère personnel évolue régulièrement et se voit agrémentée de nouveaux textes,
parfois sur des points plus spécifiques15. Au cœur de l’actualité, le Parlement
européenne étudie actuellement une proposition de règlement relatif à la protection des
personnes physiques à l’égard du traitement de leurs données à caractère personnel.
Bien que l’adoption de ce règlement ait plusieurs fois été repoussée, son existence
témoigne d’une préoccupation grandissante autour des questions relatives aux données
personnelles des individus.
12Anciennement Communauté Européenne avant l’entrée en vigueur du traité de Lisbonne le 1er décembre2009.13 Loi n°2004-801 du 6 août 2004 relative à la protection des personnes physiques à l’égard des traitements de données à caractère personnel14 2000/C 364/0115 Il est possible de citer comme exemple le « Paquet Télécom » qui comprend deux directives (2009/136/CE et 2009/140/CE) ainsi que le règlement n°1211/2009 et dont le but était de réformer les textes existants en matière de communications électroniques.
6
Quels sont les modalités de la protection dont bénéficie l'internaute face à
l'utilisation de ses données personnelles ? Les conditions générales d'utilisation
assurent-elles à cette protection une pleine efficacité ?
Indéniablement, l'internaute bénéficie d'un cadre juridique protecteur quant à
l'utilisation de ses données personnelles par des professionnels (Titre 1) mais les
conditions générales d'utilisation ne semblent pas être un outil suffisamment adapté
pour lui assurer une pleine efficacité (Titre 2).
7
Titre 1 – Le cadre juridique de protection de l’internaute en
matière de données à caractère personnel
Les pouvoirs publics, conscients des dangers encourus par les individus face à
une utilisation déraisonnée de leurs données personnelles, ont rapidement tenté d’en
encadrer la collecte et le traitement. Cependant, pour que l’internaute soit protégé,
plusieurs conditions doivent être réunies. La donnée doit tout d’abord recouvrir un
caractère personnel (chapitre 1) et, bien que cette identification soit loin d’être aisée sur
Internet, conditionne les obligations mises à la charge du professionnel responsable du
traitement (chapitre 2).
Chapitre 1 – L’identification de la donnée à caractère personnel
Du fait de l’évolution croissante des nouvelles technologies et des outils de
communication, l’internaute est devenu le principal concerné par la collecte de ses
données par différents acteurs. A ce titre, toute un cadre législatif a été mis en place pour
encadrer ces pratiques mais son champ d’application est limité. Pour bénéficier d’une
telle protection, la donnée de l’internaute doit présenter un caractère personnel (section
1), notion particulièrement imprécise et d’autant plus polysémique lorsqu’elle est
appliquée aux supports électroniques (section 2).
Section 1 – La donnée à caractère personnel : une nomenclature imprécise et évolutive
Face à l’imprécision de textes en la matière, tant au niveau national qu’européen,
il est utile de tenter de délimiter les contours de la notion aussi bien vis à vis de sa
nature (§1) que de son titulaire (§2).
8
§1. Une protection non limitée aux données de l’internaute
Si les textes n’ont pas toujours admis une définition commune, faute d’avoir eu
pour objectif de s’appliquer aux mêmes données, la donnée à caractère personnel
semble aujourd'hui être appréhendée de la même manière tant par les autorités
nationales qu’européennes (A). Pour autant, ses contours restent imprécis et sources de
difficultés (B).
A – Une définition commune des données à caractère personnel
La loi Informatique et Libertés de 1978, telle qu’initialement rédigée,
mentionnait les données « nominatives16 » et les définissait comme les « informations
qui permettent, sous quelque forme que ce soit, directement ou non, l’identification des
personnes physiques auxquelles elles s’appliquent, que le traitement soit effectué par
une personne physique ou par une personne morale ». Suite à la transposition de la
directive de 1995 en droit français par la loi du 6 août 2004, et dans un souci de
cohérence des textes et d’harmonisation à l’échelle de l’Union Européenne, la donnée
nominative fut remplacée par celle de donnée à « caractère personnel ». On retrouve
ainsi les termes employés à la fois par la recommandation de l’OCDE du 23 septembre
1980, par la Convention 108 du Conseil de l’Europe du 28 janvier 1981 et par la
directive européenne de 1995. Cette directive vient quant à elle définir la donnée à
caractère personnel comme « toute information concernant une personne physique
identifiée ou identifiable (personne concernée); est réputée identifiable une personne
qui peut être identifiée, directement ou indirectement, notamment par référence à un
numéro d'identification ou à un ou plusieurs éléments spécifiques, propres à son
identité physique, physiologique, psychique, économique, culturelle ou sociale »17. Suite
à la transposition de cette directive par la loi du 6 août 2004, la nouvelle rédaction de
16 Loi n°78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, article 417 Directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection despersonnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation deces données, article 2
9
l'article 2 de la loi Informatique et libertés reprend une définition quasi identique. Une
précision supplémentaire a cependant été ajoutée : « Pour déterminer si une personne
est identifiable, il convient de considérer l’ensemble des moyens en vue de permettre
son identification dont dispose ou auxquels peut avoir accès le responsable du
traitement ou toute autre personne ». Nous le verrons par la suite, cet ajout est loin
d'être anecdotique.
1) La distinction entre données nominatives et données à caractère personnel
Une partie de la doctrine18 déplore la confusion généralement commise entre la
notion de donnée à caractère personnel et celle de donnée nominative. Les données dites
nominatives, c’est-à-dire celles qui concernent directement le patronyme d’un individu,
restent des éléments majeurs en la matière, cependant nul doute que de nouvelles formes
de données à caractère personnel se sont multipliées (données de géolocalisation,
données de santé, etc.) et que le régime de protection trouve également à s’appliquer. La
modification de l'article 2 de la loi Informatique et libertés doit s'expliquer par les
évolutions techniques et technologiques en matière de collecte de données. A ce titre, la
directive de 1995 écartait une limitation aux seules données nominatives puisque étaient
mentionnées comme exemples les données relatives à l’identité physique,
physiologique, psychique, économique, culturelle ou sociale de l’individu.
2) L a vie privée et les données à caractère personnel
Les notions de « données à caractère personnel », de « vie privée » ou
« d’intimité » sont trop souvent utilisées de manière indifférenciée19, il paraît pourtant
nécessaire de réaffirmer leur caractère distinct même si elles s'avèrent parfois
complémentaire. Les contours de la notion de vie privée sont fluctuants, récents et
parfois sujets à débat. Le droit français a consacré le droit au respect de la vie privée par
18Jessica EYNARD dans son ouvrage « Les données personnelles : Quelle définition pour un régime de protection efficace ? », Michalon19 L’une des raisons de cette confusion s'explique par la traduction du terme anglais « privacy » qui est à la fois traduit en français par « vie privée » et « intimité ».
10
une loi de 197020 venant insérer dans l’article 9 du Code civil le principe ainsi énoncé :
« Chacun a droit au respect de sa vie privée ». Le champ d’application de ce texte n’a
jamais été précisément défini ou limité, ce qui permet en pratique aux juges de le
modeler en fonction des évolutions de la société21 et des intérêts en balance. Il est
également fait mention de la vie privée dans plusieurs textes à valeur nationale ou
supranationale : l’article 12 de la Déclaration universelle des droits de l’homme,
l’article 8 de la Convention européenne de sauvegarde des droits de l’homme et des
libertés fondamentales, l’article 7 de la Charte des droits fondamentaux de l’Union
européenne. Face à l’accroissement des problématiques spécifiques aux données à
caractère personnel, la nécessité d’établir un cadre juridique précis s'est faite sentir.
3) Le cas particulier des données sensibles
Bien que ne figurant pas expressément dans la loi Informatique et libertés, son
article 8 est venu consacrer une protection accrue pour les données à caractère personnel
dites sensibles. Cet article pose ainsi l’interdiction de collecter ou de traiter des données
faisant apparaître directement ou indirectement « les origines raciales ou ethniques, les
opinions politiques, philosophiques ou religieuses ou l’appartenance syndicale des
personnes, ou qui sont relatives à la santé ou à la vie sexuelle de celles-ci »22. Il s’agit
donc ici de données dont la divulgation est susceptible d’avoir un impact important sur
la vie privée des personnes concernées, c’est la raison pour laquelle leur traitement est
encadré de manière plus strict même s’il existe certaines dérogations précisées par
l’article 8 de la loi Informatique et libertés. Une de ces dérogations à l'interdiction de
collecter ces données doit être soulignée du fait de son importance particulière, elle
concerne « les traitements pour lesquels la personne concernée a donné son
consentement exprès »23. Cette dérogation, appliquée à Internet, représente très
certainement un danger pour l’internaute et ce pour deux raisons. La première concerne
20 Loi n°70-643 du 17 juillet 1970 tendant à renforcer la garantie des droits individuels des citoyens21 A titre d’exemple, le droit à la vie privée a été mobilisé en matière de secret médical (Cour d'appel de Paris 13 mai 1996 ; Cour de cassation 1ère chambre civile, 16 juillet 1997, Bull n°249), de protection de l’image ou encore du domicile.22 Loi n°78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, article 8-I23 Loi n°78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, article 8-II-1°
11
certaines informations dévoilées de leur plein gré par les internautes sur les différents
réseaux sociaux, sans pourtant y être invités par des professionnels, et qui constituent
des données dites « sensibles ». En ne faisant pas attention et en ne contrôlant pas les
critères de diffusion des informations qu'ils publient, les internautes peuvent rendre
publiques certaines données sensibles les concernant. Ces données ainsi renseignées
directement par l’internaute, et même s’il n’a pas conscience de leur degré de visibilité,
peuvent être considérées comme ayant été divulguées avec son consentement exprès et
donc pouvant faire l’objet d’une collecte et d’un traitement par un professionnel.
Le réseau social Facebook, très souvent critiqué pour sa politique de gestion de
la vie privée de ses utilisateurs, semble avoir fait un pas vers une plus grande protection
des données à caractère personnel. Depuis le 22 mai 2014, les paramètres par défaut
pour la confidentialité des publications des nouveaux inscrits a évolué, ils sont
désormais réglés de manière à ce que la première publication de l’utilisateur ne soit
visible que par ses « amis »24 et non plus publiquement. De plus, une note explicative
apparaît désormais à l’écran pour que ces nouveaux utilisateurs soient informés des
différents degrés de visibilité de leurs publications.
Cette dérogation pose également la question de la nature du consentement de
l’internaute. Si l’article 8 de la loi Informatique et Libertés indique que la personne
concernée doit donner son « consentement exprès » pour que la dérogation s’applique, il
n’indique cependant pas quelles sont les formes valables pour recueillir ce
consentement. Cette question doit en réalité s’apprécier plus globalement et concerne
l’existence ou non d’un droit au consentement de l’internaute quant à la collecte et le
traitement de ses données ainsi que ses modalités25.
24 Les « amis » sont les membres qu’un utilisateur de Facebook accepte d’ajouter à son réseau.25 Point sur lequel des développements sont consacrés dans la deuxième partie de cette étude.
12
B – Des imprécisions sources de difficultés
Si les textes précédemment cités s’attachent à définir assez largement les
contours de la notion de donnée à caractère personnel, son périmètre n’est pas
clairement défini. En effet, les législations ne donnent pas d’exemples précis, ni même
de liste indicative des données à caractère personnel appréhendées, mais se limitent
plutôt à établir un cadre général englobant la notion. On peut ainsi retenir que la
définition de la donnée à caractère personnel s’articule autour de deux points : la donnée
à caractère personnel est une information relative à une personne physique et cette
personne doit être identifiée ou identifiable. Il convient une nouvelle fois de replacer
l’adoption de la loi Informatique et Libertés dans un contexte où le fichage de données à
caractère personnel était principalement mené par des administrations publiques.
L’absence de précision dans la lettre des textes en vigueur est par conséquent
tout autant profitable que source de difficultés aussi bien pour l’internaute que pour les
professionnels de l’Internet. Si elle permet en effet de ne pas limiter le champ
d’application de cette protection à des exemples énumérés qui, du fait des évolutions
croissantes en matière de nouvelles technologies, seraient rapidement obsolètes, elle
entraîne néanmoins un certain manque de lisibilité.
1) Une donnée relative à une personne physique
Une donnée est donc considérée comme ayant un caractère personnel si elle est
relative à un individu, identifié ou identifiable. L’une des difficultés tient tout d’abord
dans la détermination du lien entre l’information et l’individu auquel elle se rattache. En
réalité, ce lien s’apprécie en fonction de l’utilisation qui sera faite de la donnée. A titre
d’exemple, en matière de contrats conclus en ligne, on peut considérer qu’un site
internet recueillant de manière indifférenciée les habitudes de paiement en ligne de ses
cocontractants dans un but d’améliorer ses services ne constituera pas une donnée à
caractère personnel tant le lien entre l’internaute et la donnée est distendu. En revanche,
13
si le responsable de ce site internet recueille ces mêmes informations dans le but
d’adapter des offres particulières à destination des internautes ayant auparavant déjà
réalisé un achat, le lien entre l’information et l’individu semble alors bien plus strict. Il
faut donc bien comprendre que l’étude de la nature même de la donnée est loin d’être
anecdotique puisque l’identification d’une donnée à caractère personnel conditionne
l’application d’un régime contraignant pour le professionnel notamment en termes
d’obligations et de formalités déclaratives.
2) Un individu identifié ou identifiable
L’article 2 de la loi Informatique et libertés précédemment cité, et tel que
modifié par la loi du 6 août 2004, pointe à lui seul une autre difficulté majeure : le
caractère identifiable d’un individu doit s’apprécier au regard des moyens dont dispose
la responsable du traitement pour réaliser l’identification. On comprend dès lors que
l’appréciation du caractère personnel d’une donnée est nécessairement casuistique
puisqu’en matière de contrats ou d'utilisation de services en ligne, objet de cette étude,
une donnée pourra s’avérer ou non personnelle en fonction des moyens dont dispose le
professionnel. L’identification et l’appréciation des moyens dont dispose le
professionnel de l’Internet pour identifier l’individu à travers la donnée collectée est
donc source d'insécurité pour l'internaute. Cet élément est loin d’être théorique puisque
le régime légal établi par la loi Informatique et libertés entraîne un certain nombre
d’obligations à la charge du professionnel, notamment en termes de déclarations
préalables au traitement des données auprès de la Commission nationale de
l’informatique et des libertés mais aussi en termes de respect des droits reconnus aux
internautes. Faute de précisions, les conditions générales d'utilisation présentent une
première lacune puisqu'elles ne permettent pas à l'internaute d'apprécier le risque que
ses données soient collectées et traitées par un professionnel.
14
§2. L’internaute comme titulaire de données personnelles
La donnée à caractère personnel a nécessairement un lien particulier avec son
titulaire pour être qualifiée comme telle, l'identification du titulaire de la donnée est dès
lors primordiale. Si l’internaute n’est pas expressément visé par les textes en vigueur
(A), il en est aujourd’hui le bénéficiaire principal (B).
A – Un bénéficiaire indirectement visé par le régime de protection
L’une des questions centrales est donc celle de l’identification de la personne
protégée face à l’utilisation de ses données à caractère personnel. Ici encore, l’enjeu est
majeur puisqu’une part de l’effectivité de tout cadre légal instituant une protection tient
à la définition des individus pouvant s’en prévaloir. Les textes en la matière, tant
d’origine interne qu’européenne, n’ont pas vocation à protéger uniquement l’internaute
face à l’utilisation de ses données à caractère personnel sur l’Internet, c’est la raison
pour laquelle on ne trouve pas de définition de l’individu appréhendé comme un
« internaute ».
La rédaction initiale de la loi Informatique et Libertés ne comportait pas de
précision particulière sur la personne protégée vis-à-vis du traitement de ses données à
personnelles. À la suite de la transposition de la directive de 1995 en droit français par
la loi du 6 août 2004, l’article 2 de la loi Informatique et Libertés a été complété par un
cinquième alinéa précisant que la « personne concernée par un traitement de données à
caractère personnel est celle à laquelle se rapportent les données qui font l’objet du
traitement ». L’internaute n’est donc pas précisément visé par les textes mais son
bénéfice ne doit pas laisser de doute. Le recours à une définition non limitative a pour
intérêt d’élargir le champ d’application de la loi et de lui assurer ainsi une pleine
efficacité malgré les évolutions techniques et technologiques. De plus, il semblait
primordial que les textes ne créent pas de distinctions qui auraient été préjudiciables à
15
leur efficacité. Ainsi, les utilisateurs26 de services en ligne sont susceptibles de
bénéficier de cette protection visant à encadrer le traitement de leurs données à caractère
personnel.
B – L’internaute comme principal bénéficiaire du régime de protection des données à caractère personnel
1) Un bénéficiaire légitime
L’internaute n’était pas le sujet initialement appréhendé par les textes relatifs à la
protection des données à caractère personnel, notamment la loi Informatique et Libertés
de 1978. Cependant, nul doute qu’il en est aujourd’hui le bénéficiaire principal. Un
internaute peut se définir comme un individu naviguant sur l’Internet, il s’agit de
l’utilisateur de services proposés sur l’Internet. Ce dernier a en effet recours à de
nombreux services lors de ces différentes navigations : courriels, réseaux sociaux,
moteurs de recherche, achats en ligne, etc. La pluralité des services ainsi proposés et la
diversité de leur nature conduisent à retenir une définition large de la notion
d’internaute.
Sans même en avoir toujours conscience, l’internaute est constamment en
rapports avec d’autres individus, professionnels ou non, lors de ses différentes
navigations sur la toile. La captation des internautes est généralement le premier souci
de ces différents acteurs qui sont constamment en recherche d’effectivité et
d’anticipation des attentes des internautes. Dans ce contexte, les données à caractère
personnel représentent donc un enjeu considérable. Du fait de l’explosion de
l’utilisation des réseaux informatiques et mobiles, ainsi que du nombre d’internautes en
France27, le premier risque de fichage et d’utilisation abusive des informations sur les
individus pèse aujourd’hui sur les internautes.
26 Le terme « utilisateur » renvoie généralement à l’internaute qui a contracté avec le professionnel pour bénéficier d’un service.27 43,2 millions de français « connectés » en 2013 selon une étude Médiamétrie publiée le 20 février 2014
16
2) Une distinction nécessaire entre internautes et consommateurs
On observe parfois une confusion entre les notions d’internaute et de
consommateur, voire même désormais l’utilisation de plus en plus fréquente du terme
de « cyberconsommateur ». La loi Hamon28 du 17 mars 2014 a établi, en droit français,
une définition générale de la notion de consommateur comme étant « toute personne
physique qui agit à des fins qui n’entrent pas dans le cadre de son activité commerciale,
industrielle, artisanale ou libérale ». La jurisprudence et certains textes avaient déjà
retenu cette définition avant qu'elle ne soit consacrée par la loi Hamon. Les législations
en vigueur en matière de protection des données à caractère personnel ne se sont, pour
le moment, jamais limitées aux consommateurs. Tout individu personne physique,
professionnel, non-professionnel ou consommateur, bénéficie ainsi du régime légal qui
vise à encadrer la collecte et le traitement de ses données à caractère personnel. Cette
solution est satisfaisante puisque, nous le verrons, les internautes ne sont pas toujours
placés dans un rapport contractuel avec un professionnel et ce d’autant plus concernant
l’utilisation de leurs données à caractère personnel qu'ils ne maîtrisent pas le plus
souvent. Le responsable du traitement des données à caractère personnel n’est pas non
plus nécessairement un professionnel au sens légal du terme, ce peut très bien être un
webmaster29 d’un forum qui serait tenté de revendre par la suite certaines informations
collectées.
La notion de « cyberconsommateur » reflète quant à elle une réalité juridique et
économique du fait de l’accroissement des achats conclus en ligne. Pour autant, elle ne
saurait véritablement satisfaire aux problématiques relatives aux données à caractère
personnel au risque en effet d’être trop restrictive et refléter une certaine
méconnaissance face à la multiplicité des acteurs aujourd’hui présents sur la toile et des
services proposés : professionnels de la vente en ligne (Amazon, etc), blogueurs vivant
de leur activité, particuliers passionnés, etc.
28 Loi n°2014-344 du 17 mars 2014 relative à la consommation29 Traduit en français par l’expression « administrateur de site », terme désignant la personne responsable de la gestion d’un site Internet.
17
Section 2 – La profusion des données à caractère personnel sur l’Internet
Du fait des avancées techniques et technologiques, Internet est devenu le terreau
fertile des informations personnelles des individus : centres d’intérêt, habitudes
d’achats, opinions, réseaux de connaissances, etc. Si une grande partie de ces
informations sont directement issues de renseignements émis par l’internaute lors de ses
souscriptions à différents services (§1), une autre part, loin d’être négligeable, échappe
quasi-totalement à son contrôle (§2).
§1. Les données renseignées par l’internaute
L’une des difficultés majeures, déjà évoquée précédemment, tient en réalité en
l’absence de précisions par les textes quant au périmètre couvert par la définition de
« donnée à caractère personnel ». En pratique, il convient d’opérer une distinction entre
les données renseignées par l’internaute et celles issues de ses navigations30.
Contrairement à une idée répandue, les données personnelles des internautes ne
sont pas uniquement collectées par les professionnels à leur insu. Sans parfois en avoir
véritablement conscience, les internautes s’avèrent souvent eux-mêmes très peu
soucieux de ce qu'ils communiquent en ligne. C'est d'ailleurs l'une des critiques
régulièrement évoquées à l'encontre d'une trop grande protection des internautes quant à
l'utilisation de leurs données personnelles : puisque l'internaute ne se soucie guère de ce
qu'il met en ligne, n'est-il pas surprotégé ? Le comportement des internautes semble
cependant évoluer comme le révèle le baromètre sur la confiance des Français dans le
numérique31. Ainsi, 35% des internautes sondés déclaraient accepter de communiquer
des informations sur leur vie personnelle, contre 49% lors du premier baromètre publié
30 Les conditions générales d'utilisation du site internet Amazon sont par exemple assez explicites sur ce sujet. Elles marquent en effet la distinction entre les informations « communiquées » par l'internaute et lesinformations « collectées automatiquement ». Voir annexe.31 Voir supra, http://www.acsel.asso.fr/2013/erosion-de-la-confiance-des-francais-dans-les-services-en-ligne/
18
en 2009. Preuve d’une véritable prise de conscience des dangers d’une divulgation
incontrôlée de leurs données, 47% des sondés disaient donner volontairement de fausses
informations en ligne.
Le constat reste, quoi qu'il en soit, inchangé : une très grande partie des données
à caractère personnel faisant l’objet d’un traitement par un professionnel sont
directement issues d’informations renseignées par l’internaute. Le professionnel a en
effet généralement recours à des formulaires dont les champs doivent être complétés par
l’internaute : nom, prénom, date de naissance, adresse e-mail, adresse physique, numéro
de téléphone portable. En pratique, ces formulaires doivent le plus souvent être
complétés afin de garantir l’inscription sur le site internet du professionnel. Ces
informations vont alors constituer la base du « compte personnel » ou « espace
personnel » avec lequel l'internaute sera amené à s'identifier lors de ses navigations sur
le site. Sur la quasi-totalité des sites internet, l’internaute est invité à remplir une
première partie de ces champs après avoir consulté les conditions générales d’utilisation
du site en question. Sur les sites Amazon, Facebook ou encore LinkedIn par exemple32,
l’internaute est invité à consulter les conditions générales d’utilisation par le biais d’un
renvoi opéré par un ou plusieurs liens hypertextes. Ces conditions générales
d’utilisation viennent préciser les modalités de recueil et d’utilisation des données à
caractère personnel directement ou indirectement émises par l’internaute. Une fois
l'inscription de l'internaute effectuée, ce dernier est alors invité à compléter son profil et
ce notamment sur des critères parfois très précis qui peut varier en fonction du service
proposé par le professionnel.
Sur le réseau social LinkedIn par exemple, orienté dans l'élaboration de réseaux
professionnels, les informations qui doivent être renseignées concernent notamment les
expériences professionnelles de l'individu, ses diplômes obtenus, ses activités
personnelles ou encore sa situation professionnelle (en poste, en recherche). A l’opposé,
un site de vente en ligne, comme Amazon ou Cdiscount, invitera son utilisateur à
32Annexe I – Exemples d'inscription
19
renseigner des informations sur le type de produits habituellement recherchés, sur ses
préférences en termes de moyens de paiement et de livraison, etc. On constate dès à
présent que le caractère personnel de la donnée peut être très fluctuant en fonction du
service utilisé par l’internaute.
§2. Les données de connexion et de navigation
Au-delà des données directement renseignées par l'internaute, le professionnel
est très souvent en mesure de collecter et de traiter un certain type de données qui
échappent au contrôle de l'internaute : les données de connexion et de navigation. Au fur
et à mesure des connexions qu'il effectue sur des sites internet, l’internaute laisse un
grand nombre de données qu’il n'a pourtant pas directement renseigné.
Les données de connexion et de navigation forment une catégorie de données
assez techniques. Ces données ne permettent pas en principe d'identifier directement
l'internaute, au sens de déterminer précisément son identité. Il n’empêche pourtant que
ces données représentent une mine d'informations exploitables et très importantes pour
un professionnel : habitudes et fréquences de connexion, types de terminaux utilisés
pour accéder au site internet, etc. Il convient également de rappeler que la loi
Informatique et libertés protège l'individu s'il peut être indirectement identifié. Le
recoupement de plusieurs de ces données laissées par l'internaute et qui n’ont pas, a
priori, de caractère personnel peuvent en réalité permettre au professionnel d’établir un
profil détaillé.
Classiquement, on retrouve parmi les données de connexion et de navigation
trois grandes familles : les cookies (A), l'adresse IP (B) et les données de géolocalisation
(C).
20
A – Les cookies
La CNIL définit le cookie comme une information déposée sur le disque dur de
l’internaute par le serveur du site visité33. A lui seul, le cookie contient en réalité
plusieurs données qui permettent au responsable du site internet visité de cerner les
habitudes de l’internaute qui navigue sur son site. Ils permettent également de faciliter
cette navigation en retenant par exemple le type d’informations les plus consultées par
ce l'internaute ou encore ses informations lui permettant de se connecter à son espace
personnel. Si le cookie a donc initialement pour but de faciliter la navigation de
l’internaute, il s’est très vite avéré être un formidable outil d’informations pour le
professionnel et peut, à ce titre, parfois s’avérer très intrusif pour l’internaute34.
Conscients des risques encourus en cas de dérive dans l’utilisation des cookies,
les autorités européennes et nationales sont intervenues en la matière, tout d’abord par
deux directives et un règlement du 24 novembre 2009, l’ensemble étant évoqué comme
le « Paquet Télécoms ». La directive du 12 juillet 200235 a ainsi été modifiée dans un
souci d’assurer une meilleure information et protection de l’internaute. Auparavant, les
internautes devaient être tenus informés qu’un cookie était installé sur leur ordinateur et
ces derniers devaient pouvoir s’y opposer. En pratique cependant, cette information était
transmise à l’internaute par le biais de clauses présentes dans les conditions générales
d’utilisation. Transposées en droit interne français par une ordonnance du 24 août
201136, l’article 32 II de la loi Informatique et libertés de 1978 a ainsi été modifié :
désormais l’utilisateur d’un service de communications électroniques doit être informé
de manière claire et complète de « la finalité de toute action tendant à accéder, par voie
33 http://www.cnil.fr/vos-droits/vos-traces/les-cookies/34 Les conditions d’utilisation de Google telles que mises à jour le 21 mars 2014 précisent par exemple : « Nos partenaires et nous-mêmes utilisons différentes technologies pour collecter et stocker des données lorsque vous accédez à un service Google, par exemple en envoyant un ou plusieurs cookies ou identifiants anonymes sur votre appareil. Nous utilisons également des cookies et des identifiants anonymes lorsque vous interagissez avec les services que nous proposons à nos partenaires, comme des services de publicité ou les fonctionnalités Google qui peuvent apparaître sur d'autres sites. »35 Directive 2002/58/CE du Parlement Européen et du Conseil du 12 juillet 2002 concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques36 Ordonnance n°2011-1012 du 24 août 2011 relative aux communications électroniques
21
de transmission électronique, à des informations déjà stockées dans son équipement
terminal de communications électroniques, ou à inscrire des informations dans cet
équipement » ainsi que des « moyens dont il dispose pour s’y opposer » et doit avoir
exprimé son accord après avoir reçu cette information.
Le Groupe de travail « Article 2937 » dans son avis du 22 juin 201038 précisait
ainsi que ces informations devaient être « aisément accessibles et extrêmement
visibles » et ne « pas être cachées dans des conditions générales et/ou dans des
déclarations sur la politique de confidentialité ». C’est donc, en principe, une mesure
d’opt-in qui a ainsi été mis en place, le consentement de l’internaute devant être
recueilli avant l’installation du cookie sur le terminal, au détriment d’un opt-out39 moins
protecteur. La CNIL donne également quelques exemples40 de mécanismes pouvant être
utilisés pour recueillir le consentement de l’internaute : une bannière en haut d’une page
web, une zone de demande de consentement en surimpression sur la page, des cases à
cocher lors de l’inscription à un service en ligne. En tout état de cause il convient de
préciser que ces nouvelles mesures restent assez limitées puisqu'elles ne concernent en
effet pas tous les types de cookies, notamment ceux qui sont strictement nécessaires à la
fourniture du service. De plus, les paramètres par défaut des navigateurs internet ne
permettent pas toujours à l’internaute d’exprimer son consentement a priori comme la
loi l'impose pourtant.
37 Souvent désigné par son acronyme « G29 », le groupe de travail Article 29 est un organe consultatif européen réunissant les « CNIL » européennes. Il tient son nom de l’article 29 de la directive 95/46/CE.38 Avis 2/2010 sur la publicité comportementale en ligne39 Mécanisme d’opt-out : le consentement de l'internaute est présumé, ce dernier doit donc manifester son souhait que les cookies ne soient pas installés sur son terminal.40 http://www.cnil.fr/vos-obligations/sites-web-cookies-et-autres-traceurs/que-dit-la-loi/
22
B – L'adresse IP
L'adresse « IP », pour « Internet Protocol », est le numéro attribué par le
fournisseur d'accès à Internet et sous lequel un ordinateur est relié à l’Internet. Cette
adresse contient une indication de la zone géographique de l'ordinateur. L'adresse IP
présente une double difficulté technique qui vient conditionner sa nature de donnée à
caractère personnel. L'adresse IP peut tout d'abord être fluctuante pour un même
terminal, elle peut être amenée à différer selon différents facteurs et notamment les
paramétrages opérés par le fournisseur d'accès à Internet. La deuxième difficulté tient au
fait que l'adresse IP permet, par principe, d'identifier le terminal et non la personne qui
l'utilise. Pour autant cette seconde difficulté doit être écartée et ce pour des raisons
précédemment évoquées : l'adresse IP ne permet certes pas en elle-même de déterminer
directement l'individu mais elle peut donner des informations qui, après recoupement
avec d'autres données comme les historiques de recherches, peuvent permettre
d'identifier indirectement l'individu. A ce titre l'adresse IP devrait donc être considérée
comme une véritable donnée à caractère personnel et donc être appréhendée par le
régime de protection établi par les textes en vigueur. Par ailleurs, le fournisseur d'accès
à Internet est toujours en mesure de relier l'adresse IP à l'identité de son client qui lui est
contractuellement lié, l'anonymat de l'internaute n'est donc jamais parfaitement assuré.
Cette incertitude entourant le caractère personnel de l'adresse IP n'est pas restée
théorique, les juridictions françaises ont eu à se prononcer sur la question et ce
notamment par deux arrêts de la Cour d'appel de Paris de 200741. Par ces arrêts, la Cour
d'appel a ainsi retenu que l'adresse IP « ne permet pas d'identifier le ou les personnes qui
ont utilisé l'ordinateur » et qu'elle ne constituait « en rien une donnée indirectement
nominative relative à la personne dans la mesure où elle ne se rapporte qu'à une
machine, et non à l'individu qui utilise l'ordinateur ». Ainsi étaient donc pointées les
difficultés précédemment évoquées. Il convient cependant ici de préciser que ces deux
arrêts de la Cour d'appel de Paris concernaient des échanges illégaux de fichiers
41CA Paris, 27 avril 2007, 13ème chambre, section B et CA Paris, 15 mai 2007, 13ème chambre, section A
23
musicaux protégés par le droit d'auteur et que les traitements, non déclarés auprès de la
CNIL, avaient permis d'identifier les individus participants à ces échanges.
La CNIL n'a pas tardé à réagir face au danger que constituait la méconnaissance
de la véritable nature de l'adresse IP. C'est dans une communication du 2 août 200742
qu'elle a ainsi tenu a préciser que l'ensemble des autorités de protection des données des
États membres de l'Union européenne avait rappelé dans un avis du 27 juin 2007 que
« l'adresse IP attribuée à un internaute lors de ses communications constituait une
données à caractère personnel ». Aujourd'hui encore la question n'est pas véritablement
tranchée même si les décisions43 44 et opinions en faveur de la reconnaissance du statut
de donnée à caractère personnel se sont multipliées. Doit-on pour autant attendre une
consécration par les textes du caractère personnel de l'adresse IP ? Cela ne semble pas
nécessaire puisqu'en pratique la définition d'une donnée à caractère personnel telle que
posée par l'article 2 de la loi Informatique et libertés suffit à écarter toute incertitude :
l'adresse IP peut être une donnée à caractère personnel indirecte si les moyens du
professionnel lui permettent d'identifier l'internaute au-delà du terminal utilisé. Cette
simple possibilité devrait, selon le principe de précaution, suffire de facto à admettre la
pleine efficacité du régime de protection des données à caractère personnel pour les
adresses IP. Il est difficilement concevable en effet qu'un traitement d'une adresse IP ne
soit pas soumis au cadre légal restrictif selon l'idée que la personne ne pourrait pas être,
éventuellement, identifiée.
42 « L'adresse IP est une donnée à caractère personnel pour l'ensemble des CNIL européennes », 2 août 2007, www.cnil.fr43 TGI Bobigny, 15ème chambre, 14 décembre 2006 : « L'adresse IP constitue une donnée à caractèrepersonnel en ce qu'elle permet d'identifier une personne en indiquant sans doute possible un ordinateurprécis ».44 TGI Saint Brieuc, 6 septembre 2007 : « L'adresse IP est, au sens strict, l'identifiant d'une machinelorsque celle-ci se connecte sur l'Internet et non d'une personne. Mais, au même titre qu'un numéro detéléphone n'est, au sens strict, que celui d'une ligne déterminée mais pour laquelle un abonnement a étésouscrit par une personne déterminée, un numéro IP associé à un fournisseur d'accès correspondnécessairement à la connexion d'un ordinateur pour lequel une personne déterminée a souscrit unabonnement auprès de ce fournisseur d'accès. L'adresse IP de la connexion associée au fournisseur d'accèsconstituent un ensemble de moyens permettant de connaître le nom de l'utilisateur. »
24
C – Les données de géolocalisation et les appareils connectés
La géolocalisation est un procédé permettant de positionner un objet ou une
personne sur une carte à l'aide des coordonnées géographiques transmises par un
terminal. Ces données peuvent intéresser un professionnel car elles sont notamment
révélatrices des habitudes d'utilisation d'un internaute. De plus, en recoupant ces
données avec d'autres informations récoltées, le professionnel peut être en mesure
d'affiner ses offres pour chaque type de clients, par exemple pour ceux se trouvant dans
sa zone de chalandise s'il possède des points de vente physiques. Si l'adresse IP est
considérée comme étant l'outil le plus « communicatif » de données de géolocalisation,
la multiplication des nouveaux appareils connectés, avec à leur tête les smartphones, fait
aujourd'hui peser bien plus de risques pour les individus. De plus en plus d'appareils
connectés sont commercialisés : montres, véhicules, pèse-personnes, imprimantes, etc.
Ces nouveaux biens qui tendent à s'implanter durablement dans notre quotidien font
naître toute une série d'interrogations concernant les données à caractère personnel : Ces
appareils créent-ils des données personnelles ? Les propriétaires de ces biens sont-ils
informés de la destination des données ainsi enregistrées ? Autant de questions sur
lesquelles le législateur sera nécessairement amené à se pencher.
25
Chapitre 2 – Un professionnel responsable de la collecte et du traitement des données
Cibler les besoins de l’internaute, anticiper ses attentes, personnaliser l’offre qui
lui est proposée, sont autant de raisons pour lesquelles les professionnels de l’Internet
sont plus que jamais tentés de collecter et d’analyser les données personnelles des
internautes. Une fois identifié (section 1), le responsable du traitement doit respecter
certains principes qui encadrent l'utilisation qui sera faite des données personnelles des
internautes (section 2).
Section 1 – Le professionnel qualifié de responsable du traitement des données
Le régime de protection des données à caractère personnel de l’internaute ne se
limite pas, comme il a été précédemment évoqué, à un rapport entre un professionnel et
un consommateur. En pratique, l’internaute a très rarement conscience de l’intérêt que
représentent ses données pour un professionnel et encore moins de l’identité de la
personne qui traite ses données (§1). Ce responsable doit cependant respecter certains
principes qui encadrent la collecte et le traitement des données (§2).
§1. L'identification du professionnel responsable du traitement
De part la définition large retenue par la loi Informatique et libertés, le
professionnel titulaire d'un site internet peut être appréhendé comme un responsable du
traitement de données (A). Son identification par l'internaute est cependant loin d’être
aisée tant la transmission des données sur l’Internet est rapide et diffuse (B).
26
A – Le professionnel titulaire d'un site internet comme responsable du traitement
Le responsable du traitement est défini par l’article 3 de la loi Informatique et
libertés comme « la personne, l’autorité publique, le service ou l’organisme qui
détermine ses finalités et moyens ». On constate ainsi tout d’abord que l’utilisation d’un
terme généraliste permet en réalité de recouvrir des situations variées : le traitement de
données à caractère personnel peut aussi être opéré par un professionnel, classiquement
défini comme celui qui propose à la vente des biens ou services, mais également par une
administration ou bien encore par une personne privée n’agissant pas dans le cadre
d’une activité professionnelle à proprement parlé.
La question de l'identification du responsable du traitement est directement liée à
celle du traitement en question. A ce titre, l'article 2 de la loi Informatique et libertés
définit le traitement comme « toute opération ou tout ensemble d'opérations portant sur
de telles données, quelque soit le procédé utilisé, et notamment la collecte,
l'enregistrement, l'organisation, la conservation, l'adaptation ou la modification,
l'extraction, la consultation, l'utilisation, la communication par transmission, diffusion
ou toute autre forme de mise à disposition, le rapprochement ou l'interconnexion, ainsi
que le verrouillage, l'effacement ou la destruction ». Cette liste, énumérative mais non
limitative comme l'indique l'utilisation du terme « notamment », permet une nouvelle
fois d'élargir le champ d'application de la loi Informatique et libertés et ainsi la
protection dont doit bénéficier l'internaute face à l'utilisation de ses données à caractère
personnel. En pratique, la simple collecte, même au profit d'une autre personne,
constituera donc un traitement susceptible d'être appréhendé par les textes.
Au vu des éléments précédemment exposés, il apparaît que le responsable du
traitement des données à caractère personnel d'un internaute n'est pas toujours un
professionnel dans sa définition classique. Il convient de rappeler ici que l’explosion des
utilisations par des particuliers des divers services proposés sur la toile a eu pour
conséquences de multiplier les problématiques relatives aux traitements des données des
27
internautes délivrées de leur plein gré ou à leur insu. L'une des nombreuses particularité
de l'Internet tient à la multiplicité de ses acteurs comme il a été précédemment évoqué :
les rapports qu'entretiennent les internautes avec les différents acteurs de la toile ne
peuvent se résumer en des rapports entre consommateurs et professionnels. Un
particulier, blogueur ou responsable d'un forum par exemple, pourra ainsi être amené à
collecter des informations qu'il traitera dans le but d'améliorer de sa structure ou qu'il
monnaiera à des régies publicitaires afin d'obtenir une rémunération : il s'agit bien là de
traitements tels qu'appréhendés par la loi. Cependant, dans le cadre de notre étude où il
est question de l'efficacité des conditions générales d'utilisation d'un site internet dans la
protection de l'internaute, les responsables du traitement concernés sont principalement
les professionnels mettant en ligne des sites internet dans le cadre de leur activité.
B – Un responsable difficilement identifiable par l'internaute
Bien que le responsable du traitement soit légalement tenu de respecter certaines
obligations quant au traitement des données à caractère personnel qu'il utilise, l'une des
difficultés majeures pour l'internaute consiste tout d'abord à identifier ce responsable du
traitement. Les conditions générales d'utilisation devrait en principe pouvoir pallier à
cette difficulté car, comme le dispose l'article 32 de la loi Informatique et libertés, la
personne dont les données font l'objet d'un traitement doit être informée au préalable,
par le responsable du traitement, de « l'identité du responsable du traitement et, le cas
échéant, celle de son représentant »45. Si cette obligation d'information n'est déjà pas en
soit suffisante pour assurer une véritable protection de l'internaute, point sur lequel des
développements spécifiques sont consacrés dans cette étude, elle semble également
parfois très éloigné des véritables enjeux entourant les collectes et traitements des
données personnelles des internautes.
45Loi n°78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, article 32-I-1°
28
§2. Les principes encadrant les traitements des données à caractère personnel de l'internaute
Afin d'assurer une protection des individus face aux traitements de leurs données
à caractère personnel, les textes sont venus consacrer des principes qui visent à les
encadrer. La collecte des données doit ainsi être loyale et licite (A), sécurisée (B) et
soumise à une autorisation préalable (C).
A – Une collecte loyale et licite des données
Les données doivent être collectées et traitées de manière loyale et licite, telle est
la lettre de l'article 6 de la loi Informatique et libertés. Ce double principe de loyauté et
de licéité ne peut se résumer à cette seule expression, il faut en effet comprendre qu'elle
recouvre elle-même plusieurs obligations que le responsable du traitement se doit de
respecter.
1) Le respect du principe de proportionnalité
Les données doivent être collectées par le responsable du traitement pour des
finalités « déterminée, explicites et légitimes »46 et ne doivent pas être traitées
« ultérieurement de manière incompatible avec ces finalités ». Les textes précisent
également que les données doivent être « adéquates, pertinentes et non excessives au
regard des finalités pour lesquelles elles sont collectées et de leurs traitements
ultérieurs »47, il s'agit donc là d'un encadrement de la collecte de données de l'internaute
par le principe de proportionnalité. La collecte et le traitement des données à caractère
personnel d'un internaute sont donc en principe doublement limités par les finalités
poursuivies par le responsable du traitement. L'identification de la finalité du traitement
des données à caractère personnel mis en place par un professionnel est donc
primordiale. Cette finalité vient en effet à la fois encadrer la mise en place de ce
traitement et la nature des données qui en seront l'objet. En principe, les données
46Loi n°78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, article 6-2°47Loi n°78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, article 6-3°
29
recueillies par le professionnel ne devraient pas être utilisées pour d'autres finalités que
celles qui ont été initialement établies, la pratique est parfois toute autre.
2) La limitation de la durée de conservation des données
La conservation des données collectées par le responsable du traitement ne doit
pas en principe excéder une « durée nécessaire aux finalités pour lesquelles elles sont
collectées et traitées ». Cette limitation de la durée de conservation des données doit en
principe permettre d’éviter l’accumulation de données et la tentation de les utiliser pour
d’autres finalités. Le non-respect de cette limitation est sanctionné au titre de l’article
226-20 du Code pénal par cinq ans d’emprisonnement et 300.000€ d’amende.
D’un point de vue technique, on peut s’interroger sur la réalité de l’effacement
des données à la fin de la durée de conservation. En effet, la sauvegarde des données
récoltées par le responsable du traitement est possible et difficilement vérifiable. De
plus, ce responsable du traitement peut avoir recours à plusieurs serveurs répartis dans
différents lieux, la preuve que des données ont été effacées sur un serveur ne signifie
pas forcément qu’elles l’ont été sur d’autres terminaux ou supports.
B – L'obligation de sécurité à la charge du responsable du traitement
L'obligation de sécurité qui pèse sur le responsable du traitement vis à vis des
données collectées représente certainement une des contraintes les plus importantes
prévue par la loi Informatique et libertés. Au titre de son article 34, le responsable du
traitement est en effet tenu de prendre « toutes les précautions utiles pour préserver la
sécurité des données et, notamment, empêcher qu'elles soient déformées, endommagées,
ou que des tiers non autorités y aient accès ». Les attaques menées par des
cybercriminels ayant pour but de récolter les informations personnelles des internautes
se sont multipliées ces dernières années, notamment contre de grands groupes48. Les
48Orange reconnaissait ainsi le 6 mai 2014 avoir été victime d'une intrusion dans ses serveurs, près d'1,3
30
techniques de ces cybercriminels n'ont de cesse de s'améliorer : phishing49,
détournement de sites internet, attaques menées contre les serveurs de stockage, etc. La
mise en place de mécanismes visant à assurer une sécurité optimale est donc
primordiale. Au titre de l'article 226-16 du Code pénal, le responsable du traitement qui
n'a pas mis en œuvre de telles mesures encourt cinq ans d'emprisonnement et 300.000
euros d'amende.
Les moyens mis en œuvre par les professionnels pour sécuriser les informations
collectées sont donc toujours perfectibles. Une ordonnance de 201150 a renforcé
l'obligation de sécurité qui pèse sur le responsable du traitement, complétant ainsi la loi
Informatique et libertés d'un article 34 bis : le fournisseur de services de
communications électroniques accessibles au public doit désormais avertir sans délai la
CNIL et la personne concernée lorsqu'une violation est portée à ses données à caractère
personnel. Il s'agit donc là d'avertir les internautes qui pourront ainsi prendre les
mesures nécessaires en cas de vol de leurs données.
C – Une déclaration préalable obligatoire auprès de la Commission nationale de l'informatique et des libertés
Si cette étude n'a pas pour objet de présenter l'ensemble des modalités que doit
mettre en œuvre un responsable de traitement de données à caractère personnel, il
convient toutefois de rappeler l'obligation principale qui pèse sur ce dernier et le rôle
primordial de la CNIL en la matière. Le responsable doit, préalablement à la mise en
place du traitement des données, procéder à une déclaration auprès de la CNIL en
indiquant notamment les finalités du traitement, le type de données à caractère
personnel faisant l'objet du traitement ainsi que la durée de conservation51 de ces
millions de clients et prospects ont ainsi été concernés.49Le phishing, ou « hameçonnage » en français, est une technique utilisée par les cybercriminels qui consiste à communiquer aux internautes de faux courriels en utilisant les signes distinctifs d'une société dont ils sont clients ou d'une administration. Les clients sont alors amenés à se rendre sur de faux sites internet où il leur sera demandé de communiquer des informations personnelles : données bancaires, photocopie de documents officiels, etc.50Ordonnance n°2011-1012 du 24 août 2011 relative aux communications électroniques51L'article 6-5° de la loi Informatique et libertés dispose que la durée de conservation des données ne doit pas excéder une durée « nécessaire aux finalités pour lesquelles elles sont collectées et traitées ».
31
données. Au titre de l'article 226-16 du Code pénal, il convient de préciser que le non-
respect par un professionnel de son obligation de déclaration préalable est puni de cinq
ans d'emprisonnement et de 300.000 euros d'amende.
Section 2 – L'utilisation des données à caractère personnel par un professionnel
§1. La marchandisation des données
La collecte de données à caractère personnel par un professionnel est très
certainement l’outil le plus performant mis à sa disposition pour établir un fichage
précis de ses clients actuels mais également potentiels. En théorie, le professionnel doit
au préalable de tout traitement de données, établir sa finalité, ce qui devrait donc limiter
les utilisations détournées des données issues d’une collecte. En pratique cependant, le
professionnel sera généralement tenté d’établir la finalité la plus large possible pour
collecter le plus de données. Au titre de l’article 226-21 du Code pénal, le responsable
du traitement qui détournerait les informations de leur finalité qui a été déclaré auprès
de la CNIL s’expose à une peine de cinq ans d’emprisonnement et 300.000€ d’amende.
Le détournement de finalité est un risque bien réel et son contrôle est loin d’être
aisé. Sauf à opérer des contrôles inopinés et de manière très régulière, rien ne permet en
effet de prouver que le responsable du traitement respecte bien les finalités déclarées, ni
même la durée de conservation limitée. En effet, une fois les données collectées, le
responsable du traitement peut être tenté de sauvegarder ces informations sur d’autres
supports afin d’en garder une trace. Les données des internautes représentent
aujourd’hui une véritable valeur marchande, de nombreux sites internet d’ailleurs à se
financer quasi uniquement grâce à elles52. Les professionnels intéressés par les
informations contenues dans les fiches clientèles ne manquent pas, avec en premier lieu
les annonceurs publicitaires.
52 On estime que 85% des revenus du site Facebook proviennent de la publicité. Si Facebook s’est toujours défendu de vendre les données de ses utilisateurs à des tiers, elles constituent l’intérêt principal pour les publicitaires.
32
§2. La prospection commerciale par voie électronique et le marketing ciblé
Un internaute est très souvent sollicité par un professionnel par le biais de
courriels, il n’est pas rare que ces sollicitations n’aient pas été consenties et on parle
alors de spam53. Pour endiguer cette pratique, la loi pour la confiance en l’économie
numérique du 22 juin 2004 a créé l’article 34-5 du Code des postes et des
communications électroniques. Cet article pose ainsi une interdiction de la prospection
directe au moyen notamment d’un courrier électronique utilisant les coordonnées d’une
personne physique qui « n’a pas exprimé son consentement préalable à recevoir des
prospections directes par ce moyen ». Ce consentement doit s’entendre comme « toute
manifestation de volonté libre, spécifique et informée par laquelle une personne accepte
que des données à caractère personnel soient utilisées à fin de prospection directe ».
Pour satisfaire à cette obligation de recueil du consentement de l’internaute, les
professionnels doivent avoir recours au mécanisme d’opt-in qui se manifeste le plus
souvent par une case à cocher lors de l’inscription au service ou de la conclusion d’un
contrat en ligne. En cochant cette case, l’internaute manifeste ainsi son consentement
exprès à recevoir les courriels du professionnel54.
La pratique du marketing ciblé n'a cessé de croître sur Internet, elle consiste à
proposer à l'internaute des produits ou publicités individualisés qui s'appuient le plus
souvent sur ses données de navigations, principalement les cookies55 et les données de
géolocalisation, ou sur l'historique de recherches saisies56. Concrètement, un internaute
qui a navigué sur le site internet d'une compagnie aérienne dans le but d'acheter un billet
verra apparaître par la suite, sur un autre site, une bannière publicitaire présentant les
tarifs pour ce même vol. Le marketing ciblé est souvent ressenti par les internautes
comme une intrusion dans leur vie privée et leur laisse le sentiment d'être épiés.
53 SPAM : courriel indésirable dont le contenu consiste le plus souvent à promouvoir un professionnel ou ses produits.54 Voir annexe, exemple du site internet de la SNCF55Voir supra56Amazon a ainsi développé une section « recommandations » qui présente aux utilisateurs les produits enlien avec ceux issus de leurs dernières recherches et achats. Les utilisateurs peuvent choisir de désactiver cette option dans les paramètres de leur compte.
33
Titre 2 – Les conditions générales d'utilisation commeoutil de protection de l'internaute
Les conditions générales d'utilisation d'un site internet constituent le socle sur
lequel s'établit la relation entre l'internaute et le professionnel (chapitre 1). Ces
conditions générales doivent préciser certaines mentions essentielles mais se trouvent
souvent insuffisantes au regard des droits reconnus à l'internaute quant à l'utilisation de
ses données (chapitre 2).
Chapitre 1 – Un encadrement des relations entre l’internaute et le professionnel
Malgré leur forme dématérialisée et leur modalité d’acceptation spécifique, les
conditions générales constituent un véritable lien contractuel entre l’internaute et le
professionnel responsable de son site Internet, à condition cependant qu'elles soient
connues et acceptées.
Section 1 – Les modalités de conclusion d'un contrat en ligne par un internaute
Pour protéger l'internaute lorsqu'il conclut un contrat sur Internet, la législation a
nécessairement dû s'adapter en imposant au professionnel de faire figurer des mentions
obligatoires sur son site internet (1§) et en adaptant les règles de conclusion des contrats
au support numérique (§2).
1§. Les mentions obligatoires devant figurer sur un site internet
Pour prendre en compte les évolutions techniques et les enjeux relatifs à
l’utilisation de services et la conclusion de contrats en ligne, le Code civil français a été
modifié par la loi pour la confiance dans l'économie numérique du 21 juin 200457 ainsi
57 Loi n°2004-575 du 21 juin 2004 pour la confiance dans l'économie numérique (LCEN)
34
que l'ordonnance du 16 juin 200558. Ces textes ont introduit de nouvelles obligations à la
charge des professionnels responsables de site internet. L’article 6 de la loi LCEN du 21
juin 2004 impose ainsi aux professionnels de faire figurer certaines mentions59 sur leur
site, notamment les noms, prénoms, domiciles et numéros de téléphone si le
professionnel est une personne physique ou la dénomination et le siège social s’il s’agit
d’une personne morale60. Les professionnels dont l’activité consiste à pratiquer le
commerce électronique sont tenus de faire figurer des informations complémentaires61.
Ces informations figurent le plus souvent dans les conditions générales de vente ou
d’utilisation du site internet. Le professionnel qui propose ou non des ventes en ligne
s'expose à une peine d'un an d'emprisonnement et de 75.000€ d'amende pour les
personnes physiques, 375.000€ pour les personnes morales, s'il ne fait pas apparaître ces
mentions obligatoires.
§2. Une législation encadrant la conclusion de contrats en ligne
Les évolutions du monde numérique incitent constamment le législateur a adapté
les textes existants en matière de conclusion de contrats. Du fait de son support
dématérialisé, l'obligation d'information du professionnel s'est ainsi vue renforcée (A)
mais concerne essentiellement les professionnels de la vente en ligne et leurs conditions
générales de vente (B).
A – Une obligation d’information du professionnel
Les articles créés suite à l'adoption de la loi pour la confiance dans l'économie
numérique, notamment les 1369-1 et suivants du Code civil, ont eu pour but de mettre
en place un véritable cadre législatif spécifique aux contrats conclus en ligne d'encadrer
les différentes étapes de conclusion d'un contrat sous forme électronique : information
58 Ordonnance n°2005-674 du 16 juin 2005 relative à l’accomplissement de certaines formalités contractuelles par voie électronique59 http://vosdroits.service-public.fr/professionnels-entreprises/F31228.xhtml60 Loi n°2004-575 du 21 juin 2004 pour la confiance dans l'économie numérique (LCEN), article 6-III61 Loi n°2004-575 du 21 juin 2004 pour la confiance dans l'économie numérique (LCEN), article 19
35
des contractants, modalités de conclusion du contrat électronique et conditions de
forme. À ce titre, le nouvel article 1369-1 du Code civil reconnaît une véritable valeur
juridique aux conditions contractuelles communiquées par voie électronique par le
professionnel. Le professionnel est également tenu, au titre du droit commun, à une
obligation d'information envers son cocontractant consommateur. Cette obligation
d'information du professionnel a d'abord été développée par la jurisprudence avant
d'être consacrée par le législateur dans l'article L111-1 du Code de la consommation. La
lettre de cet article permet de comprendre l’inadaptation des textes aux nombreuses
situations où l'internaute est un simple utilisateur d'un service proposé par un site
internet. En effet, l'article L111-1 du Code de la consommation reste ancré dans un
schéma classique de conclusion d'un contrat : « Avant que le consommateur ne soit lié
par un contrat de vente de biens ou de fourniture de services, le professionnel
communique au consommateur, de manière lisible et compréhensible, les informations
suivantes [...] ».
La lecture de ces textes montre que ces dispositions ont pour objectif
d'appréhender la conclusion de contrats électroniques à titre onéreux. En réalité, il
s'agissait ici d'adapter les règles régissant la conclusion des contrats au regard du
support spécifique que constitue l'Internet. Si cette législation est donc satisfaisante pour
encadrer les rapports entre un professionnel et un internaute qui réalise des achats de
biens ou de services sur Internet, elle ne concerne cependant pas les situations, pourtant
nombreuses, où l'internaute est un simple l'utilisateur d'un service. C’est à ce titre que
les conditions générales d’utilisation doivent être dissociées des conditions générales de
vente, les premières ne s’inscrivant pas dans un rapport de vente.
B – Une distinction entre conditions générales de vente et conditions générales d’utilisation
Les textes précédemment évoqués concernent donc les conditions générales de
vente qui doivent obligatoirement être communiquées et acceptées par l’internaute
lorsque celui-ci procède à un achat en ligne. Les conditions générales d’utilisation se
36
différencient des conditions générales de vente : les premières viennent encadrer la
conclusion d’un contrat de vente tandis que les secondes viennent préciser les modalités
de fonctionnement du service. Ce sont les conditions générales d’utilisation qui
permettent à l’éditeur d’un site internet de communiquer, notamment, les informations
relatives à la collecte de données à caractère personnel ou encore l’application des droits
d’auteur. Cet éditeur n’est cependant pas légalement contraint d’obtenir le consentement
de l’internaute aux conditions d’utilisation qu'il met en place, même s’il cherchera le
plus souvent à matérialiser leur acceptation.
Section 2 – Le recueil du consentement de l'internaute
Le professionnel va mettre en place des mécanismes lui permettant
communiquer et de recueil le consentement de l'internaute (§1). Une difficulté va
cependant émerger et concerne le cas où l'internaute n'a pas expressément consenti aux
conditions générales d'utilisation (§2).
§1. Les différents modes de communication et d'acceptation des conditions générales d'utilisation
L’internaute doit en en principe prendre connaissance des conditions générales
d’utilisation du site sur lequel il s’inscrit, et notamment des développements qui sont
consacrés à l'utilisation de ses données personnelles. Les modalités de communication
et d'acceptation des conditions générales d'utilisation ne semblent pourtant pas être
suffisamment protectrices de l’internaute. On retrouve ainsi deux formes de
communication et d’acceptation des conditions générales d’utilisation : le browse-wrap
agreement (A) et le click-wrap agreement (B).
37
A – Le browse-wrap agreement
La technique du browse-wrap agreement correspond au recours, par le
professionnel, à des liens hypertextes renvoyant à d’autres pages internet et notamment
aux conditions générales d’utilisation. On retrouve ainsi le plus souvent ce type de liens
en bas de page, généralement en petits caractère et noyés parmi d’autres liens renvoyant
à d’autres informations comme une FAQ62, certaines mentions légales ou encore des
précisions afin de contacter le professionnel responsable du site internet. Cette pratique
est très contestée puisque l'internaute n'est pas en mesure de prendre véritablement
connaissance des conditions générales d'utilisation qui trouvent à s'appliquer.
B – Le click-wrap agreement
A l’inverse de la technique du browse-wrap agreement, le click-wrap agreement
implique une action positive de la part de l’internaute. On retrouve cette forme
d’acceptation des conditions générales d’acceptation sur de nombreux sites internet
d’envergure internationale : Facebook, Amazon, LinkedIn à titre d’exemples. En
pratique, cette acceptation se manifeste de deux manières : soit une case à cocher
indiquant à l’internaute qu’il a pris connaissance des conditions générales d’utilisation
et les accepte, soit un lien sur lequel l’internaute doit cliquer pour poursuivre son
inscription et qui indique que ce dernier a pris connaissance et accepte les conditions
générales d’utilisation. Si cette technique semble plus satisfaisante pour la
communication des conditions générales d'utilisation, on constate en pratique que les
internautes ne prennent généralement pas le temps de les consulter.
62 FAQ pour « Frequently Asked Questions » (traduction française : Foire aux questions) : synthèse des questions les plus récurrentes et des réponses associées.
38
§2. La portée juridique d'une simple visite d'un site Internet par un internaute
Il est en réalité très fréquent qu'un internaute ne soit jamais amené à
expressément consentir aux conditions générales lorsqu'il navigue sur un site internet.
Les exemples les plus probants en la matière sont très certainement les moteurs de
recherche avec à sa tête Google, leur utilisation n'est soumise à aucune acceptation
expresse par les internautes. Pourtant il s'agit bien d'un service auquel ont recours ces
internautes et, à ce titre, les conditions générales d'utilisation viennent régir la relation
entre le professionnel et l'utilisateur du service. À titre d'exemple, les conditions
générales d'utilisation du site internet Yahoo prévoient ainsi dans leur point n°2 intitulé
« Acceptation des conditions générales d'utilisation » : « En utilisant les Services
Yahoo, vous vous engagez à respecter les présentes Conditions Générales
d'utilisation »63.
Les tribunaux français ont déjà été saisis quant à la question de la valeur d'un
engagement d'un internaute résultant d'une simple visite d'un site internet. Dans une
affaire opposant la compagnie aérienne Ryan Air et l'agence de voyage en ligne Opodo,
la Cour d'appel de Paris avait ainsi considéré que « le simple fait de se rendre sur un site
internet afin de consulter celui-ci sans encore présenter une quelconque demande telle
qu'une commande ou une réservation ne saurait engager l'internaute dans des liens
contractuels avec la société propriétaire de ce site »64. Si cette décision semble aller
vers une plus grande protection de l'internaute, il convient de la replacer dans son
contexte particulier en ce qu'elle concernait un litige commercial opposant deux
entreprises. Dès lors, sa transposition au cadre particulier des données à caractère
personnel ne semble pas pour le moment avérée.
Doit-on dès lors considérer que la simple visite d'un site internet par un
internaute présume de son acceptation des conditions générales d'utilisation ? La
réponse reste pour le moment ouverte. Conférer une véritable valeur contractuelle à des
63https://info.yahoo.com/legal/eu/yahoo/utos/fr-fr/64CA Paris, pôle 5, ch.2, 23 mars 2012, n°10/11168, Sté Ryanair Lld. c/ Sté Opodo
39
conditions générales qui n'ont pas été expressément acceptées par l'internaute représente
une situation très peu protectrice pour ce dernier. Si la législation en matière de données
à caractère personnel a prévu une obligation d'information à la charge du professionnel,
la question est de savoir si une simple communication par les conditions générales
d'utilisation est suffisante. lorsqu'on constate les habitudes des internautes qui sont peu
enclins à consulter les conditions générales qui trouvent à s'appliquer.
40
Chapitre 2 – Un rappel limité des droits de l’internaute par les conditions générales d’utilisation
Afin de garantir une protection efficace de l'internaute quant au traitement de ses
données par les professionnels et pour pallier aux difficultés précédemment évoquées,
les textes lui ont reconnu plusieurs droits (section 1) qu'il doit être en mesure de mettre
en œuvre. Pour autant, la connaissance et les modalités de recours à ces droits sont très
souvent limitées et les conditions générales d'utilisation ne permettent pour le moment
pas de pallier à ces difficultés, preuve qu'il s'agit d'un outil perfectible (section 2).
Section 1 – Les droits reconnus aux internautes rarement mobilisés
L'internaute dispose de droits qu'il peut mobiliser a priori (§1) ou a posteriori
(§2) pour contrôler l'utilisation faite de ses données par un professionnel. Pourtant, faute
de précisions par les conditions générales d'utilisation, ces droits sont rarement
mobilisés.
§1. Les droits de l’internaute pour contrôler a priori l’utilisation de ses données
Les conditions générales d'utilisation permettent au professionnel de satisfaire à
son obligation d'information à l'égard de la personne concernée par le traitement de ses
données (A) mais s'avèrent limitées pour assurer une efficacité au droit d'opposition (B).
A – Un droit à l'information distinct du droit au consentement préalable
L'internaute doit en principe, au titre notamment de l'article 32 de la loi
Informatique et libertés, être informé par le responsable du traitement de plusieurs
éléments : l'identité du responsable du traitement, la finalité poursuivie par le traitement,
le caractère obligatoire ou facultatif des réponses, les conséquences éventuelles d'un
défaut de réponse, les destinataires des données, etc. En théorie, ce droit à l'information,
41
ou obligation d'information si l'on se place du côté du responsable du traitement des
données à caractère personnel, doit permettre à l'internaute d'être éclairé quant à
l'utilisation qui sera faite de ses données.
C'est à ce stade que les conditions générales d'utilisation sont particulièrement
importantes. C'est en effet elles qui, sur les sites internet sur lesquels navigue
l'internaute, contiennent les informations qui doivent lui être transmise. C'est pour cette
raison que la simple visite d'un site internet ne doit pas valoir acceptation des conditions
générales d'utilisation : l'internaute qui navigue sur un site internet, voir qui utilise le
service proposé, n'a généralement pas cherché à prendre connaissance de ces conditions
et n'est dès lors pas informé des modalités de traitement qui vont s'appliquer à ses
données personnelles.
Le professionnel responsable du traitement de données doit en principe recueillir
le consentement de la personne concernée, c'est l'article 7 de la loi Informatique et
libertés qui le prévoit. Cependant, contrairement au cas particulier des cookies qui a été
précédemment évoqué65, le recueil du consentement préalable de l'internaute peut être
écarté si le traitement de données à caractère personnel répond à l'une des cinq
conditions énoncées par l'article 7 de la loi Informatique et libertés. La plus critiquée de
ces conditions est la dernière66 : « La réalisation de l'intérêt légitime poursuivi par le
responsable du traitement ou par le destinataire, sous réserve de ne pas méconnaître
l'intérêt ou les droits et libertés fondamentaux de la personne concernée. » Les contours
de cette exception sont pour le moins très incertains, comment peut-on délimiter l'intérêt
légitime poursuivi par le responsable du traitement et où se trouve la limite à ne pas
franchir avec les droits et libertés de la personne ?
65Voir supra66Loi n°78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, article 7-5°
42
B – Un droit d'opposition
Comme son nom l'indique, le droit d'opposition consiste à permettre à
l'internaute de s'opposer au traitement de ses données à caractère personnel. L'article 38
de la loi Informatique et libertés dispose ainsi que « toute personne physique a le droit
de s'opposer, pour des motifs légitimes, à ce que des données à caractère personnel la
concernant fassent l'objet d'un traitement ». L'efficacité de ce droit d'opposition doit
s'apprécier au regard du droit d'information précédemment évoqué : comment
l'internaute peut-il exercer son droit d'opposition s'il n'a pas au préalable été
correctement informé que ses données à caractère personnel faisaient l'objet d'une
collecte ? A ce titre, ce droit semble déjà être restreint. De plus, la collecte de données à
caractère personnel d'un internaute pouvant avoir lieu dès les premières secondes de sa
navigation sur un site internet, l'exercice du droit d'opposition intervenant préalablement
à cette collecte semble presque illusoire. Les conditions générales d'utilisation ne
permettent pas d'assurer une pleine efficacité au droit d'opposition. Il faudrait en effet
que l'internaute soit amené à consulter ces conditions dès le début de sa navigation sur
le site internet et que son droit d'opposition se manifeste par le refus de ces conditions.
Le droit d'opposition dont bénéficie en principe l'internaute se trouve également
doublement limité par les textes : l'internaute ne peut s'opposer au traitement de ses
données que s'il justifie de « motifs légitimes » et sa gratuité n'est assurée que dans le
cas où les données collectées sont utilisées à des « fins de prospection ». La CNIL
indique67, de manière assez paradoxale, que l'appréciation du caractère légitime du motif
invoqué relève du responsable du fichier. L'article 38 de la loi Informatique et libertés
ne donnant pas plus de précisions ni d'exemples sur ces motifs légitimes invocables, la
situation dans laquelle se trouve l'internaute ne semble pas lui être particulièrement
favorable.
67http://www.cnil.fr/vos-droits/vos-droits/le-droit-dopposition/
43
§2. Des droits mobilisables a posteriori par l'internaute
Certainement pour pallier à une efficacité limitée des droits mobilisables a priori
par les internautes, les textes leur ont également reconnu des droits dont ils peuvent user
après que le professionnel ait collecté leurs informations : un droit d'accès (A) et un
droit de rectification (B).
A – Un droit d'accès
Le droit d’information de l’internaute quant à l’utilisation de ses données à
caractère personnel se trouve assez limité en pratique. Ce dernier bénéficie cependant
du droit d’accès au titre de l’article 39 de la loi Informatique et libertés qui dispose que :
« Toute personne physique justifiant de son identité a le droit d’interroger le
responsable du traitement de données à caractère personnel […] » et ce afin d’obtenir
certaines informations. L’internaute est donc en principe en mesure de demander au
professionnel responsable du traitement à ce que lui soient notamment communiqués
l’existence ou non qu’un traitement de ses données est réalisé68 ainsi que les finalités de
ce traitement69. L’internaute peut également demander au professionnel à ce que lui
soient communiquée une copie des données à caractère personnel qui la concernent.
Au titre de l'article 31 de la loi Informatique et libertés, l'internaute peut
également demander à la CNIL que lui soit communiquée la liste des traitements
automatisés appliqués par une entreprise. La CNIL indique ainsi sur son site internet
qu'il est possible d'obtenir cette liste en leur faisant parvenir un « courrier ou un fax » et
que la personne intéressé doit indiquer « le numéro SIREN et la raison sociale du
déclarant pour faciliter la recherche »70.
68Loi n°78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, article 39-I-1°69 Loi n°78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, article 39-I-2°70http://www.cnil.fr/nuage/tag/formalites-declaratives/ « Comment obtenir la liste des fichiers déclarés à la CNIL ? »
44
B – Un droit de rectification
L’internaute est en principe en mesure de demander au responsable du traitement
que soient rectifiées, complétées, mises à jour, verrouillées ou effacées les données à
caractère personnel qui le concernent71. Le recours au droit de rectification est
cependant limité aux données inexactes, incomplètes, équivoques, périmées ou dont la
collecte, l’utilisation, la communication ou la conservation est interdite. Le responsable
du traitement doit alors justifier qu’il a bien procédé aux opérations exigées par
l’individu.
Une nouvelle fois, l’efficacité de ce droit est en pratique assez limitée pour
l’internaute. Si ce dernier peut exiger que le responsable d’un site internet qui a collecté
et traité ses données procède à leur rectification, encore faut-il qu’il ait été véritablement
averti que ses données avaient fait l’objet d’une telle collecte. De plus, si l’internaute a
bien été averti de collecte, il ne connaît généralement ni la nature exacte des données
collectées, ni l’utilisation qui peut en être faite. De ce fait, le droit de rectification ne
parait pas satisfaisant pour assurer une véritable protection de l’internaute.
Section 2 – Les conditions générales d’utilisation : un outil perfectible
Les conditions générales d'utilisation ne sont donc pour le moment pas l'outil le
plus adapté pour assurer à l'internaute une véritable connaissance des utilisations faites
de ses données et des droits dont il dispose. Deux pistes peuvent cependant être
envisagées dans le but d'améliorer cet outil avec tout d'abord un renforcement de
l'information des internautes (§1) et imposant aux responsables de traitement de
recueillir le consentement exprès des internautes (§2).
71 Loi n°78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, article 40
45
§1. Un renforcement de l'information des internautes
Les conditions générales d'utilisation d'un site internet ont, certes, le mérite
d'exister et de constituer un support informatif pour l'utilisateur mais ne permettent
cependant pas de le protéger efficacement. La législation en matière de protection des
données à caractère personnel ne semble pas assez adaptée aux différents supports qui
ont émergé suite aux développement sans cesse croissant des nouvelles technologies et
des réseaux de communication. Plusieurs lacunes peuvent ainsi être pointées du doigt
avec en premier lieu l'identification complexe pour l'internaute des acteurs susceptibles
d'utiliser ses données. De plus, malgré le fait que le responsable du traitement soit tenu
d'une obligation d'information à l'égard de l'internaute, cette obligation devrait être
renforcée sur plusieurs points et notamment sur la détermination précise du responsable
ainsi que des finalités du traitement.
Les droits dont disposent les internautes72 sont généralement méconnus. Le
manque de précisions des conditions générales d'utilisation n'est pas la seule explication
de ce phénomène, cette méconnaissance s'explique également par le fait que l'accès aux
conditions générales d'utilisation n'est pas toujours aisée car souvent noyée parmi divers
liens situés en bas de page. Il est également possible de pointer la difficulté que les
internautes ont pour mettre en œuvre leurs droits, notamment d'opposition, d'accès et de
rectification. Il conviendrait à ce titre d'imposer aux professionnels la mise en place de
structures adaptées (formulaires, adresse électronique spécifique, etc) pour que les
internautes puissent exercer ces droits.
§2. Vers une obligation de recueil du consentement de l'internaute
Face aux lacunes que présentent les conditions générales d'utilisation pour
assurer une information complète de l'internaute quant à l'utilisation de ses données, la
solution ne serait-elle pas de créer une obligation pour le responsable du traitement de
72Voir supra
46
recueillir le consentement de l'internaute ? Comme il a été précisé précédemment,
l'article 7 de la loi Informatique et libertés fait aujourd'hui plutôt état d'exception que de
principe. La Commission européenne étudie actuellement une proposition de
règlement73 qui a pour but de renforcer le contrôle des citoyens sur leurs données
personnelles. Le considérant 25 de cette proposition de règlement, tel qu'amendé le 12
mars 2014, prévoit ainsi que « le consentement devrait être donné de manière explicite,
selon toute modalité appropriée permettant une manifestation de volonté libre,
spécifique et informée, consistant soit en une déclaration soit en un acte non équivoque
qui résulte du choix de la personne concernée, garantissant qu'elle consent bien en
toute connaissance de cause au traitement des données à caractère personnel. » Le
texte poursuit en précisant que cet acte non équivoque pourrait consister à « cocher une
case lorsqu'elle consulte un site internet ou en toute déclaration ou tout comportement
indiquant clairement dans ce contexte qu'elle accepte le traitement proposé de ses
données à caractère personnel. » A la lecture de ce considérant, il semble que l'objectif
soit donc de promouvoir le mécanisme d'opt-in pour recueillir le consentement de
l'internaute sur le traitement de ses données à caractère personnel.
Le fait que la manifestation de volonté doive être spécifique semble indiquer que
le responsable du traitement ne pourra obtenir le consentement de l'internaute en lui
présentant l'ensemble des conditions générales d'utilisation de son site internet. Le
consentement devra en effet porter précisément sur le traitement des données à caractère
personnel. Un dernier point très important est également soulevé par cette proposition
de règlement qui précise qu'il ne saurait y avoir « de consentement tacite, donné par la
simple utilisation d'un service, ou passif ». L'adoption de cette proposition en l'état
permettrait donc, peut-être, aux conditions générales d'utilisation d'acquérir une
véritable légitimité.
73Proposition de règlement du Parlement européen et du Conseil relatif à la protection des personnesphysiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données(règlement général sur la protection des données)
47
Conclusion
L'Internet a souvent été décrit comme une zone de non-droit, un « nouvel
Eldorado » où des millions d'informations étaient accessibles en quelques clics et où
chacun jouissait d'une liberté parfaite. Il n'a pas fallu attendre longtemps avant que la
logique marchande s'implante sur ces nouvelles terres numériques. Aujourd'hui, la
donnée personnelle de l'internaute a une véritable valeur marchande, elle se collecte, se
traite et se monnaie. Les professionnels du numérique ont bien compris l'intérêt de
constituer de grandes bases de données sur leurs utilisateurs pour améliorer leurs
services, anticiper leurs besoins ou développer de nouveaux produits. Il existe
désormais un véritable cadre juridique qui vise à protéger l'internaute contre une
utilisation abusive de ses données. Si cette législation a le mérite d'exister, elle souffre
cependant de nombreuses lacunes et imprécisions que le législateur sera nécessairement
amené à combler dans l'avenir pour assurer une protection plus efficace pour
l'internaute. Parmi ces lacunes, le défaut d'information de l'internaute quant à la collecte
et le traitement de ses données paraît particulièrement flagrant et inquiétant. Les
conditions générales d'utilisation mises en place par un professionnel du numérique
représentent des outils d'information qui ont certes une légitimité, mais qui ne sont pas
exempts de toute remarque. La portée juridique de ces conditions peut ainsi être
améliorée pour permettre aux internautes de mieux contrôler leurs données personnelles
et d'user des droits qui leur sont légalement reconnus.
48
Bibliographie
Ouvrages
DESGENS-PASANAU, G. (2012). La protection des données à caractère personnel : Laloi « Informatique et libertés ». (LexisNexis)
DESGENS-PASANAU, G., NAFTALSKI, F,. REVOL, S. (2013). Informatique et libertés : enjeux, risques, solutions et outils de gestion. (Lamy)
DREYER, E., HUET, J. (2011). Droit de la communication numérique. (L.G.D.J)
EYNARD, J. (2012). Les données personnelles : Quelle définition pour un régime de protection efficace ?. (Michalon)
FÉRAL-SCHUHL, C. (2010). Cyberdroit : le droit à l'épreuve de l'Internet. (Dalloz)
FRAYSSINET, J. (2009). LEGICOM Revue thématique de droit de la communication, n°42. La régulation des données personnelles. (Victoires Éditions)
HOLLANDE, A., LINANT de BELLEFONDS, X. (2008). Pratique du droit de l'informatique et de l'Internet. (Éditions Delmas)
KAPLAN, D. (2010). Informatique, libertés, identités. (Éditions Fyp)
LACOUR, S. (2008). La sécurité de l'individu numérisé : Réflexions prospectives et internationales. (L'Harmattan)
LAFFAIRE, ML. (2005). Protection des données à caractère personnel : tout sur la nouvelle loi « Informatique et libertés ». (Editions d'Organisation)
MATTATIA, F. (2013). Traitements des données personnelles : Le guide juridique. (EYROLLES)
Articles
LABYOD, BV. (2011). Protection des données personnelles dans un contexte de publicité ciblée sur internet [en ligne]. http://www.village-justice.com/articles/Protection-donnees-personnelles,10495.html
LAROUSSI, C. (2012). Opposabilité d'une clause attributive de compétence conclue en ligne [en ligne]. http://www.village-justice.com/articles/Opposabilite-clause-attributive,12197.html
49
Rapports
Conseil national de la consommation sur la protection des données personnelles des consommateurs. Rapport du 18 mai 2010.
Groupe de travail « Article 29 ». Avis 2/2010 sur la publicité comportementale en ligne, juin 2010.
50
Table des matièresSommaire...........................................................................................................................1
Introduction.......................................................................................................................3
Titre 1 – Le cadre juridique de protection de l’internaute en matière de données à carac-tère personnel.....................................................................................................................8
Chapitre 1 – L’identification de la donnée à caractère personnel..................................8
Section 1 – La donnée à caractère personnel : une nomenclature imprécise et évolu-tive..............................................................................................................................8
§1. Une protection non limitée aux données de l’internaute...............................9 A – Une définition commune des données à caractère personnel. ................9
1) La distinction entre données nominatives et données à caractère personnel..................................................................................................102) La vie privée et les données à caractère personnel.............................103) Le cas particulier des données sensibles.............................................11
B – Des imprécisions sources de difficultés...............................................131) Une donnée relative à une personne physique....................................132) Un individu identifié ou identifiable...................................................14
§2. L’internaute comme titulaire de données personnelles...............................15 A – Un bénéficiaire indirectement visé par le régime de protection............15 B – L’internaute comme principal bénéficiaire du régime de protection des données à caractère personnel......................................................................16
1) Un bénéficiaire légitime......................................................................162) Une distinction nécessaire entre internautes et consommateurs..........17
Section 2 – La profusion des données à caractère personnel sur l’Internet ............18
§1. Les données renseignées par l’internaute....................................................18§2. Les données de connexion et de navigation................................................20
A – Les cookies...........................................................................................21 B – L'adresse IP..........................................................................................23 C – Les données de géolocalisation et les appareils connectés... ...............25
Chapitre 2 – Un professionnel responsable de la collecte et du traitement des données......................................................................................................................................26
Section 1 – Le professionnel qualifié de responsable du traitement des données...26
§1. L'identification du professionnel responsable du traitement.......................26 A – Le titulaire du site internet comme responsable du traitement..............27 B – Un responsable difficilement identifiable par l'internaute...................28
51
§2. Les principes encadrant les traitements des données à caractère personnel de l'internaute....................................................................................................29
A – Une collecte loyale et licite des données..............................................291) Le respect du principe de proportionnalité..........................................292) La limitation de la durée de conservation des données.......................30
B – L'obligation de sécurité à la charge du responsable du traitement........30 C – Une déclaration préalable obligatoire auprès de la Commission nationale de l'informatique et des libertés....................................................31
Section 2 – L'utilisation des données à caractère personnel par un professionnel. .32
§1. La marchandisation des données.................................................................32§2. La prospection commerciale par voie électronique et le marketing ciblé...33
Titre 2 – Les conditions générales d'utilisation comme outil de protection de l'internaute.........................................................................................................................................34
Chapitre 1 – Un encadrement des relations entre l’internaute et le professionnel.......34
Section 1 – Les modalités de conclusion d'un contrat en ligne par un internaute....34
1§. Les mentions obligatoires devant figurer sur un site internet.....................34§2. Une législation encadrant la conclusion de contrats en ligne......................35
A – Une obligation d’information du professionnel...................................35 B – Une distinction entre conditions générales de vente et conditions générales d’utilisation..................................................................................36
Section 2 – Le recueil du consentement de l'internaute...........................................37
§1. Les différents modes de communication et d'acceptation des conditions générales d'utilisation........................................................................................37
A – Le browse-wrap agreement..................................................................38 B – Le click-wrap agreement......................................................................38
§2. La portée juridique d'une simple visite d'un site Internet par un internaute39
Chapitre 2 – Un rappel limité des droits de l’internaute par les conditions générales d’utilisation..................................................................................................................41
Section 1 – Les droits reconnus aux internautes rarement mobilisés.....................41
§1. Les droits de l’internaute pour contrôler a priori l’utilisation de ses données...........................................................................................................................41
A – Un droit à l'information distinct du droit au consentement préalable. . .41 B – Un droit d'opposition............................................................................43
§2. Des droits mobilisables a posteriori par l'internaute...................................44 A – Un droit d'accès....................................................................................44 B – Un droit de rectification.......................................................................45
52
Section 2 – Les conditions générales d’utilisation : un outil perfectible.................45
§1. Un renforcement de l'information des internautes......................................46§2. Vers une obligation de recueil du consentement de l'internaute.................46
Conclusion.......................................................................................................................48
Bibliographie...................................................................................................................49
53
ANNEXES
54
Exemples d'utilisation du mécanisme de click-wrap agreement
55
Exemples d'application de la législation en matière de cookies
56
Mécanisme d’opt-in pour la prospection commerciale par voie électronique(www.voyages-sncf.com) :
57
Conditions générales d'utilisation d'Amazon mises à jour le 25 septembre 2012,paragraphes consacrés à l'identification des données à caractère personnel faisantl'objet d'un traitement
Les informations clients que nous collectons nous aident à personnaliser et à améliorercontinuellement votre expérience d'achat sur Amazon.fr. Nous utilisons ces informationspour traiter les commandes, livrer les produits et services, traiter les paiements etcommuniquer avec vous concernant vos commandes, les produits, les services et offrespromotionnelles, conserver et mettre à jour nos fichiers et ainsi vos comptes chez nous,mettre à votre disposition du contenu tel que les listes d'envies et les commentairesclients et recommander des produits et services susceptibles de vous intéresser. Nousutilisons également ces informations pour améliorer nos boutiques et plates-formes,prévenir ou détecter les fraudes ou abus sur notre site Internet et permettre à des partiestierces de fournir des fonctions techniques, logistiques ou autres pour notre compte.
Vous trouverez ci-après les types d'information que nous collectons.
Informations que vous nous communiquez
Nous collectons et enregistrons toutes les informations que vous nous communiquez vianotre site Web ou par d'autres biais. Pour consulter quelques exemples des informationsque nous collectons, veuillez cliquer ici. Vous pouvez choisir de ne pas nouscommuniquer certaines informations, cette décision risque néanmoins de vous priver denombreux services et fonctionnalités que nous vous proposons. Nous utilisons lesinformations que vous nous communiquez, notamment afin de répondre à vosdemandes, de personnaliser vos futurs achats, d'améliorer nos boutiques et decommuniquer avec vous.
Informations collectées automatiquement
À chaque fois que vous entrez en contact avec nous, nous recevons et enregistronscertains types d'informations. Comme de nombreux autres sites Internet, nous utilisonsnotamment des "cookies" et obtenons certains types d'informations lorsque votrenavigateur accède au site Amazon.fr ou à des publicités et autres contenus affichés surd'autres sites Internet par Amazon.fr ou pour son compte. Pour consulter quelquesexemples des informations que nous recevons, cliquez ici.
Informations relatives aux appareils portables
Lorsque vous téléchargez ou utilisez des applications créées par Amazon ou ses filiales,et le cas échéant, vous avez demandé ou consenti à des services de localisation, il sepeut que nous recevions des informations concernant votre localisation et votre appareilportable, y compris un identifiant unique concernant votre appareil portable. Nouspouvons utiliser ces informations pour vous fournir des services liés à la localisation,tels que des résultats de recherche et autres contenus personnalisés. La plupart desappareils portables vous permettent de désactiver les services de localisation. Pour plusd'informations sur ce point, veuillez cliquer ici.
58
Informations relatives aux e-mails
Pour optimiser l'utilité et l'intérêt de nos e-mails, si votre ordinateur le permet, nousrecevons fréquemment une confirmation des e-mails envoyés par Amazon.fr que vousavez ouverts. Nous comparons également notre liste clients aux listes reçues d'autressociétés afin d'éviter l'envoi d'e-mails inutiles à nos clients. Si vous ne souhaitez pasrecevoir d'e-mail de notre part, il vous suffit de nous le notifier dans Votre compte.
Informations issues d'autres sources
Nous pouvons également recevoir d'autres informations vous concernant de sourcesdifférentes et les ajouter aux informations de votre compte. Pour consulter des exemplesd'informations que nous recevons de tiers, cliquez ici.
59
