2. La protection des données à caractère personnel
Parce que l'informatique permet un traitement massif des données et leur recoupement, elle est susceptible de porter atteinte au respect de la vie privée et de violer les libertés individuelles.
a) Le principe du développement de l'informatique dans le respect de la vie privée et des libertés individuelles
En France, la révélation par la presse, dans les années 70, d'un projet gouvernemental tendant à identifier chaque citoyen par un numéro et d'interconnecter, via ce numéro, tous les fichiers de l'administration créa une vive émotion dans l'opinion publique.
Ce projet, connu sous le nom de SAFARI, soulignait les dangers de certaines utilisations de l'informatique et faisait craindre un fichage général de la population.
Cette inquiétude conduisit au vote de la loi du 6 janvier 1978 modifiée le 6 août 2004 relative à l'informatique, aux fichiers et aux libertés : la commission nationale de l'informatique et des libertés (CNIL) fut créée visant à s'assurer que le traitement des données à caractère personnel se faisait dans le respect de la vie privée ainsi que des libertés individuelles et publiques.
L'article 2 de la loi définit précisément les données à caractère personnel et la façon dont il convient de procéder pour décider du caractère identifiable ou non d'une personne.
Il dispose que « constitue une donnée à caractère personnel toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, par référence à un numéro d'identification ou à un ou plusieurs éléments qui lui sont propres. Pour déterminer si une personne est identifiable, il convient de considérer l'ensemble des moyens en vue de permettre son identification dont dispose ou auxquels peut avoir accès le responsable du traitement ou tout autre personne. ».
Par ailleurs, les articles 6 et suivants fixent les principes que doit respecter tout traitement de données à caractère personnel pour être licite.
D'abord, les données doivent être collectées et traitées de manière loyale et licite. Concrètement, cela signifie que sauf pour des raisons explicites mentionnées par la loi, le recueil des données personnelles doit se faire avec le consentement de la personne concernée.
Dans son rapport d'activité de 2006, la commission nationale de l'informatique et des libertés rappelle que la presse américaine a révélé le 23 juin 2006 l'existence d'un programme de surveillance de la finance internationale mis en place par la CIA depuis les attentats du 11 septembre 2001. Ces révélations ont notamment porté sur le fait que la CIA et le département du Trésor américain bénéficiaient d'un accès, depuis des années, à des millions de données transitant par SWIFT 25 ( * ) (Society for Worldwide Interbank Telecommunication), principal réseau international de messagerie utilisé dans le domaine bancaire.
Cette surveillance, que les autorités américaines et SWIFT déclarent ne viser que la poursuite d'objectifs liés à la lutte contre le financement du terrorisme, concerne non seulement des transferts financiers vers les États-Unis, mais également tous les autres types de transactions réalisés par SWIFT, y compris à l'intérieur de l'Union européenne.
Cette surveillance a été réalisée sans information préalable des autorités publiques européennes ou nationales et hors du cadre légal de coopération normalement établi à ces fins, alors que les craintes d'utilisation à d'autres fins, moins sécuritaires et plus économiques, ne peuvent être éludées.
Le Groupe de l'article 29 (Groupe de coordination des CNIL européennes) dans son avis de novembre 2006, a jugé que la société SWIFT n'avait pas respecté les règles européennes de protection des données, notamment en prêtant son concours à la mise en oeuvre du programme de surveillance des données bancaires et financières par les autorités américaines.
Depuis, la Commission européenne et le Conseil ont négocié avec le gouvernement américain un certain nombre de garanties afin de définir les règles d'usage des données stockées aux États-Unis dans la base SWIFT par les autorités américaines. Ces garanties concernent la limitation des usages à la lutte contre le terrorisme, le respect du principe de nécessité, des durées de conservation de cinq ans et la nomination d'une « personnalité européenne éminente » ayant compétence pour vérifier le bon fonctionnement du programme de surveillance (actuellement, c'est le juge Jean-Louis Bruguière qui occupe cette fonction).
La loi du 6 août 1978 prévoit également que les données doivent être collectées pour des finalités déterminées, explicites et légitimes. La CNIL s'assure ainsi que les finalités d'un fichier établi ne soient pas modifiées ou étendues au fil du temps.
Par ailleurs, les données doivent être adéquates, pertinentes et non excessives au regard des finalités pour lesquelles elles sont collectées et de leurs traitements ultérieurs. C'est le principe de proportionnalité que l'exemple suivant permettra de mieux comprendre.
Les progrès conjugués de la microélectronique et de la médecine permettent l'utilisation massive de la technologie RFID, y compris pour le marquage des personnes, par l'utilisation de bracelets ou même d'implants. Un tel marquage des individus constitue une atteinte manifeste du respect de la vie privée.
Néanmoins, son utilisation peut s'avérer particulièrement utile dans certaines situations. Il revient donc à la CNIL d'analyser au cas par cas les demandes d'implantation et de s'assurer que l'atteinte aux libertés individuelles n'est pas démesurée par rapport aux avantages liés à l'implantation d'un RFID.
Ainsi, la CNIL pourrait adopter une position favorable lorsque le but recherché est le suivi de personnes vulnérables ayant des symptômes tels qu'on puisse être amené à avoir besoin de les localiser (utilisation d'un bracelet RFID pour le suivi de malades d'Alzheimer par exemple).
En revanche, elle rejetterait la demande d'une discothèque qui souhaitait proposer à ses clients l'implantation d'un RFID afin de pouvoir entrer plus rapidement dans le bâtiment ou pour payer leurs consommations 26 ( * ) .
Les données à caractère personnel doivent également être conservées pendant une durée qui n'excède par la durée nécessaire aux finalités pour lesquelles elles sont collectées et traitées.
Enfin, toute personne physique a le droit de s'opposer, pour des motifs légitimes, à ce que les données à caractère personnel le concernant fassent l'objet d'un traitement 27 ( * ) . Elle a également un droit d'accès aux données contenues dans les traitements les concernant.
* 25 SWIFT est une société coopérative de droit belge fondée en 1973, qui offre à ses clients des secteur bancaire et financier un ensemble de services, dont un système de messagerie sécurisée et standardisée assorti d'une palette de services financiers. Une grande partie des transferts bancaires internationaux transite aujourd'hui par cette société, dont les services sont devenus incontournables pour les milieux concernés.
* 26 La CNIL n'a pas eu à se saisir de ce cas, mais il s'agit d'un cas réel évoqué par le président de la CNIL devant votre rapporteur : ce type de dispositif a été mis en place par une discothèque en Espagne.
* 27 Sauf lorsque le traitement répond à une obligation légale ou lorsque l'application de ces dispositions a été écartée par une disposition expresse de l'acte autorisant le traitement.