Académique Documents
Professionnel Documents
Culture Documents
UCAO-UUT
Réalisé par :
ZOUTANE VIVIANE
Charge du séminaire :
PLAN DU TRAVAIL
INTRODUCTION
1
INTRODUCTION
Parmi les thématiques qui ont fait l’objet d’une attention particulière en droit de propriété
incorporelle, occupent une place importante celles des données.
Majoritairement, les individus s’expriment en marquant leur possession sur leurs données
personnelles en disant « mon nom, mon adresse, mes informations ». Cette pratique est en
quelque sorte « orthogonale » aux règles de droit.
En France, comme dans de nombreux pays, la notion de propriété des données n'a pas de
statut juridique en tant que tel. La propriété ne peut porter que sur la création intellectuelle de
ces données (propriété intellectuelle telle que droit d'auteur, droit des marques, brevet),
relever du domaine des informations « réservées » (car confidentielles), ou encore appartenir
à des personnes physiques parce que constituant des données sur leur personne ou sur leur vie
privée, et faire précisément l’objet d’une protection à partir des droits de la personnalité, à
l’exclusion de tous droits de propriété. Il en est ainsi notamment du droit à l’image, du droit à
la voix et du droit à la protection de sa vie privée.
C’est dans cette même perspective que s’inscrit le thème soumis à notre analyse. Le thème
porte sur la propriété des données.
La propriété est le droit de jouir et disposer des choses de la manière la plus absolue, pourvu
qu’on n’en fasse pas un usage prohibé par les lois ou par les règlements.
La propriété des données est l’acte d’avoir des droits légaux et un contrôle complet sur une
seule pièce ou un ensemble d’éléments de données. Il définit et fournit des informations sur le
propriétaire légitime des actifs de données et la politique d’acquisition, d’utilisation et de
distribution mise en œuvre par le propriétaire des données.
Une donnée à caractère personnel correspond à toute information relative à une personne
physique identifié ou qui peut être identifiée, directement ou indirectement par référence à un
numéro d’identification ou à un ou plusieurs éléments qui lui sont propres.
2
Les données sont des biens incorporels. Malgré l’existence d’un fort débat doctrinal, le droit
français a refusé d’appliquer aux données le régime du droit de propriété prévu aux articles
544 et suivants du code civil. Ainsi, les données en tant que telles ne sont pas considérées
comme des biens susceptibles d’appropriation.
A l’égard de tout cela, il est tentant de se poser la question de savoir si ces données
bénéficient d’un régime de protection particulier ?
Toute personne a droit à la protection des données à caractère personnel la concernant. Ces
données doivent être traitées loyalement, à des fins déterminées et sur la base du
consentement de la personne concernée ou en vertu d’un fondement légitime prévu par la loi.
Toute personne a le droit d’accéder aux données collectées la concernant et d’en obtenir la
rectification.
Le respect de ces règles est soumis au contrôle d’une autorité indépendante.
1
"Constitue une donnée à caractère personnel toute information relative à une personne physique identifiée
ou qui peut être identifiée, directement ou indirectement, par référence à un numéro d'identification ou à un
ou plusieurs éléments qui lui sont propres. Pour déterminer si une personne est identifiable, il convient de
considérer l'ensemble des moyens en vue de permettre son identification dont dispose ou auxquels peut avoir
accès le responsable du traitement ou toute autre personne." Article 2 de la loi modifiée du 6 janvier 1978 dit
"Informatique et Libertés" :
2
Rochelandet (Fabrice), Économie des données personnelles et de la vie privée, "Repères", La Découverte,
2010.
3
I-L’IMPORTANCE DES DONNEES PERSONNELLES
Les données personnelles compte tenu de leur importante, permettent non seulement
d’identifier une personne à travers certaines informations la concernant mais aussi font l’objet
d’une commercialisation.
Les données sont généralement collectées dans un but spécifique. Une fois cette mission
remplie, elles peuvent être néanmoins disponible pour une éventuelle réutilisation, laquelle est
susceptible d’engendrer une valeur économique dans plusieurs domaines très différents de
celui qui a été anticipé au départ.
Pour rappel, les données à caractère personnel se définissent comme toutes informations se
rapportant à une personne physique identifiée ou identifiable, directement ou indirectement,
par référence à un identifiant. Cette définition résulte de l’article 4 du Règlement général sur
la protection des données personnelles dit « RGPD » ayant repris en partie la définition
donnée par la loi du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés
dites « Loi informatique et libertés ».
Aujourd’hui les données personnelles constituent des véritables actifs incorporels pour les
entreprises dans la mesure où celle-ci constituent des sources de revenus très importants pour
des activités reposant sur des données relatives aux consommateurs. Ces données font ainsi
l’objet de contrats de transfert, lesquels pourraient être qualifiés, en droit civil, de contrats de
vente, compte tenu du transfert de propriété à titre onéreux qu’ils opèrent.
Toutefois, celles-ci ne sont pas les seules convoitées. En effet, toutes les données personnelles
ou non-personnelles sont utilisées, sont exploitables et sont potentiellement commercialisées.
La commercialisation de ces données par les internautes eux-mêmes, de leur volonté, qui leur
permettrait effectivement de bénéficier d’un revenu supplémentaire. Cette pratique relevant de
4
la volonté de la personne concernée par les données elle-même pourrait s’apparenter à une
vente mais n’en serait pas véritablement une.
Une personne est identifiable lorsqu’elle peut être identifiée directement ou indirectement par
référence à un identifiant qui consiste soit à un numéro d’identification, soit à un ou plusieurs
éléments qui lui sont propres.
Le RGPD (Règlement Général sur la protection des données) précise que l’identifiant peut
prendre la forme d’« un nom, un numéro d’identification, des données de localisation, un
identifiant en ligne ; ou à un ou plusieurs éléments spécifiques propres à son identité
physique, physiologique, génétique, psychique, économique, culturelle ou sociale ».
Autrement dit, l’identifiant pourra être qualifié de donnée à caractère personnel dès lors qu’il
permet d’établir un lien direct ou indirect avec la personne à laquelle il est attaché.
5
A cet égard, pour déterminer si une personne est identifiable, deux éléments doivent être pris
en compte :
Ainsi, sur l’identifiant attaché à la personne, il est à noter que pour être qualifié de donnée
à caractère personnel, l’information collectée doit permettre l’identification directe ou
indirecte de la personne visée.
D’une manière générale, on peut considérer une personne physique comme « identifiée »
lorsque, au sein d’un groupe de personnes, elle se distingue de tous les autres membres de ce
groupe.
La personne physique est donc identifiable lorsque, même sans avoir encore été identifiée, il
est possible de le faire. Cette seconde option constitue donc en pratique la condition de base
qui détermine si les informations entrent dans le champ d’application du troisième élément.
Il peut s’agir, par exemple, de signes extérieurs concernant l’apparence de cette personne
comme sa taille, la couleur de ses cheveux, ses vêtements, etc. ou d’une caractéristique de
cette personne qui n’est pas immédiatement perceptible, comme une profession, une fonction,
un nom, etc.
Ainsi peut-on considérer que des informations rendent identifiable une personne physique,
lorsqu’elles ont trait à cette personne physique. Dans nombre de situations, ce lien est facile à
établir.
Par exemple, dans le cas de données enregistrées dans le dossier personnel d’un employé dans
un service du personnel, il s’agit clairement de données concernant la situation de la personne
en sa qualité d’employé.
Il en va de même des données relatives aux résultats de l’examen médical d’un patient dans
son dossier médical, ou de l’image d’une personne filmée sur une vidéo lors d’une interview.
6
On peut citer un certain nombre d’autres situations où il n’est pas toujours aussi évident que
dans les cas précédents de déterminer que les informations « concernent » une personne
physique.
Dans certaines situations, les informations découlant des données concernent en premier lieu
des objets, et non des personnes.
Ce n’est donc que de manière indirecte que l’on pourra considérer que ces informations
concernent ces personnes ou ces objets
Afin de s’assurer de son identité, le nom de la personne doit parfois être associé à d’autres
éléments d’information (date de naissance, nom des parents, adresse ou photo d’identité) afin
d’éviter toute confusion entre cette personne et d’éventuels homonymes.
À titre d’exemple, l’information selon laquelle X est redevable d’une certaine somme d’argent
peut être considérée comme concernant une personne identifiée, car elle est liée au nom de
cette personne.
Le nom est un élément d’information qui révèle que la personne utilise cette combinaison de
lettres et de sons pour se distinguer d’autres personnes et être distinguée par d’autres
personnes avec lesquelles elle établit des relations.
Le nom peut également être le point de départ conduisant à des informations sur le domicile
de la personne ou l’endroit où elle se trouve et à des informations sur les membres de sa
famille (par le biais du nom de famille) et sur différentes relations juridiques et sociales
associées à ce nom (scolarité/études, dossier médical, comptes bancaires).
7
Il est même possible de connaître l’apparence d’une personne si sa photographie est associée
à ce nom. Tous ces nouveaux éléments d’information liés au nom peuvent permettre à
quelqu’un de «zoomer» sur la personne en chair et en os, et grâce aux identifiants, l’élément
d’information initial est alors associé à une personne physique que l’on peut distinguer
d’autres personnes.
Pour les cas où, de prime abord, les identifiants sont insuffisants pour permettre à quiconque
de distinguer une personne particulière, cette personne peut néanmoins être « identifiable »,
car ces informations combinées à d’autres éléments d’information (que ces derniers soient
conservés par le responsable du traitement ou non) permettent de la distinguer parmi d’autres
personnes.
Ce phénomène a été étudié de manière approfondie par les statisticiens toujours soucieux de
ne pas commettre de violation de la confidentialité.
À cet égard, il convient de relever que si l’identification par le nom constitue, dans la
pratique, le moyen le plus répandu, un nom n’est pas toujours nécessaire pour identifier une
personne, notamment lorsque d’autres « identifiants » sont utilisés pour distinguer quelqu’un.
En effet, les fichiers informatiques enregistrant les données à caractère personnel attribuent
habituellement un identifiant spécifique aux personnes enregistrées pour éviter toute
confusion entre deux personnes se trouvant dans un même fichier. Sur l’internet aussi, les
outils de surveillance du trafic permettent de cerner facilement le comportement d’une
machine et, derrière celle-ci, de son utilisateur.
8
On reconstitue ainsi la personnalité de l’individu pour lui attribuer certaines décisions. Sans
même s’enquérir du nom et de l’adresse de la personne, on peut la caractériser en fonction de
critères socio-économiques, psychologiques, philosophiques ou autres et lui attribuer certaines
décisions dans la mesure où le point de contact de la personne (l’ordinateur) ne nécessite plus
nécessairement la révélation de son identité au sens étroit du terme.
Si, compte tenu de l’ensemble des moyens susceptibles d’être raisonnablement mis en œuvre,
soit par le responsable du traitement, soit par une autre personne, cette possibilité n’existe pas
ou qu’elle est négligeable, la personne ne saurait être considérée comme « identifiable » et les
informations ne seraient pas des « données à caractère personnel ».
Le critère de l’ensemble des moyens susceptibles d’être raisonnablement mis en œuvre doit
notamment prendre en compte tous les facteurs en jeu.
Le considérant 26 du RGPD précise en ce sens que « pour établir si des moyens sont
raisonnablement susceptibles d’être utilisés pour identifier une personne physique, il convient
de prendre en considération l’ensemble des facteurs objectifs, tels que le coût de
l’identification et le temps nécessaire à celle-ci, en tenant compte des technologies
disponibles au moment du traitement et de l’évolution de celles-ci ».
Ainsi, la finalité visée, la manière dont le traitement est structuré, l’intérêt escompté par le
responsable du traitement, les intérêts en jeu pour les personnes, les risques de
dysfonctionnements organisationnels (par exemple violations du devoir de confidentialité) et
les défaillances techniques sont autant d’aspects qu’il convient de prendre en considération.
9
Par ailleurs, ce critère présente un caractère dynamique d’où la nécessité de tenir compte de
l’état d’avancement technologique au moment du traitement et de changements éventuels
pendant la période pour laquelle les données seront traitées. Il se peut que l’identification ne
soit pas possible aujourd’hui avec l’ensemble des moyens existants auxquels l’on peut
raisonnablement recourir.
Si les données doivent être conservées pendant une durée d’un mois, il est probable que
l’identification ne pourra intervenir pendant la « durée de vie » des informations, et elles ne
sauraient dès lors être considérées comme des données à caractère personnel.
Cependant, si elles doivent être conservées pendant dix ans, le responsable du traitement doit
envisager la possibilité d’une identification pouvant intervenir même au cours de la neuvième
année, ce qui en ferait à ce moment-là des données à caractère personnel. Il est souhaitable
que le système puisse s’adapter à ces développements lorsqu’ils interviennent, et intégrer
alors les mesures techniques et organisationnelles appropriées en temps utile.
En toute hypothèse, un facteur essentiel pour évaluer l’ensemble des moyens susceptibles
d’être raisonnablement mis en œuvre pour identifier les personnes sera, en réalité, la finalité
visée par le responsable du traitement dans le cadre du traitement des données.
En réalité, prétendre que les personnes physiques ne sont pas identifiables alors que la finalité
du traitement est précisément de les identifier serait une contradiction absolue in terminis. Il
est dès lors essentiel de considérer ces informations comme concernant des personnes
physiques identifiables et d’appliquer les règles de protection des données à leur traitement.
10
II- LE REGIME DE PROTECTION DES DONNEES
23
v. art. 38 de la loi n° 78-17 du 6 janv. 1978 relative à l’informatique, aux fichiers et aux libertés ; infra II. B. 1.
4
v. art. 7 et 8 de la loi de 1978 préc.
5
Loi n° 2004-801 du 6 août 2004 relative à la protection des personnes physiques à l’égard des traitements de
données à caractère personnel et modifiant la loi n° 78-17 du 6 janv. 1978 relative à l’informatique, aux fichiers
et aux libertés, JO 7 août
11
la véracité des renseignements collectés sur son compte, leur caractère complet ou
incomplet, leur nature, et, dans certains cas, leur date et leur source ». D’autre part, il «
contribue à assurer le respect des règles légales relatives au traitement des données par les
organes chargés d’appliquer ces règles ». Ce droit d’accès permet à la personne de
connaître « l’existence, dans un fichier, des informations nominatives relevées à son sujet
», puis « le contenu de ces informations, ou droit d’accès proprement dit » et de le «
contester ». Le titulaire du droit d’accès peut, en effet, exiger du responsable de traitement
que soient rectifiées, complétées, mises à jour, verrouillées ou effacées les données à
caractère personnel le concernant, qui sont inexactes, incomplètes, équivoques, périmées,
ou dont la collecte, l’utilisation, la communication ou la conservation est interdite. Ce
principe d’un contrôle de l’individu sur les données traitées a été consacré par la loi
République numérique, laquelle a énoncé le principe général de la libre disposition de ses
données personnelles. L’article 1er de la loi du 6 janvier 1978 a été complété par un alinéa
second, ainsi libellé : « Toute personne dispose du droit de décider et de contrôler les
usages qui sont faits des données à caractère personnel la concernant, dans les conditions
fixées par la présente loi ». Il a été choisi de créer un droit rattaché à la personne, en
s’inspirant du droit à l’autodétermination informationnelle reconnu par la Cour
constitutionnelle fédérale allemande, en 1983, et caractérisé comme le pouvoir, pour
l’individu, de décider de la communication et de l’utilisation de ses données personnelles.
Pour assurer la pleine effectivité des droits à opposition, accès et rectification, il convient
de les assoir sur un nouveau fondement, pour les renforcer et permettre, par exemple aux
individus de faire valoir leurs droits tout au long de la vie de la donnée, après sa collecte
initiale. Dans la même logique, le droit à la libre disposition implique que les individus
puissent avoir accès à ces données, qu’ils puissent les lire, les modifier, les effacer, choisir
ce qu’ils veulent en faire ; Mais aussi qu’ils puissent décider des services qui y ont accès.
Les promoteurs de ce droit sont conscients que la simple proclamation du principe ne
suffira pas à le rendre effectif. Mais il s’agit d’une posture volontariste, dans laquelle le
droit à l’information des personnes concernées a une place majeure, pour tendre à la
maîtrise de la « vie en ligne ». Le vœu est formulé qu’une « consécration forte du principe
permettra néanmoins de donner un sens nouveau à la nécessaire transformation des
instruments de protection des données: protection, maîtrise, usages.
12
B- L’OPACITE DE CERTAINS TRAITEMENTS DE DONNEES
2. L’exception des traitements à des fins de journalisme Depuis 1978, les traitements de
données personnelles à des fins de journalisme bénéficient, au nom de la liberté
d’expression, d’un régime dérogatoire. Ils ne sont pas soumis à toutes les dispositions de
36
v. N. Mallet-Poujol, « Les traitements de données personnelles aux fins de journalisme »
7
Article 1er la loi du 6 janvier 1978(RGPD)
13
la loi, notamment celles relatives à la durée de conservation des données, à l’obligation
d’information, au droit d’accès et de rectification ainsi qu’aux interdictions de traitement
de données sensibles et de données concernant les infractions, condamnations et mesures
de sûreté. L’essentiel des droits des personnes concernées a été logiquement sacrifié sur
l’autel de la liberté d’expression. Ce régime est bien compréhensible car l’exercice de
telles prérogatives serait de nature à paralyser l’activité de presse, en altérant les
conditions même d’investigation et d’écriture des journalistes et de protection de leurs
sources. Curieusement, le droit d’opposition n’est pas visé parmi ces exceptions. Pourtant,
l’information sur l’existence du traitement n’étant pas assurée, en matière de presse, la
mise en œuvre du droit d’opposition reste lettre morte. Et si, par extraordinaire, un
individu ayant eu connaissance de la parution imminente d’un article électronique le
concernant, se réclamait de l’article pour en empêcher la publication, il ne franchirait pas
la barrière des motifs légitimes, lesquels sont difficilement admissibles pour la presse en
ligne, au nom de la liberté d’expression. Le droit à l’information vient alors naturellement
contrecarrer les droits de l’individu, au nom de l’intérêt général. Les organes de presse
doivent évidemment rester libres d’évoquer des informations concernant des personnes
identifiées, tout en répondant, le cas échéant, devant les tribunaux, d’abus de la liberté de
la presse.
14
CONCLUSION
Bien qu’elle permet d’identifier une personne, elle fait l’objet d’une commercialisation et
mérite une protection adéquate pour la valorisation des droits des personnes concernées.
Les données personnelles sont protégées par divers instruments juridiques notamment la
loi Informatique, fichiers et libertés de 1978 et le Règlement général sur la protection des
données(RGPD) en Europe et l’Instance de protection des données à caractère
personnel(IPDCP) au Togo.
15
BIBLIOGRAPHIE
I- OUVRAGES
AVIGNON Céline, BENSOUSSAN Alain, BENSOUSSAN-BRULE Virginie,
TORRES Chloé, Règlement européen sur la protection des données – Textes,
commentaires et orientations pratiques, Larcier, Novembre 2016.
DESGENS-PASANEAU Guillaume, la protection des données personnelles,
LexisNexis, 2e édition, décembre 2015.
IV-SITES INTERNET
16
17