PAVAGEAU Sylvain

La protection des données à caractère personnel, du premier au

troisième pilier

Master 2 Droit pénal européen des affaires

 SOMMAIRE
Introduction

A] La directive européenne

I] Dispositions générales

1) Objectifs de la directive
2) Quelques définitions
3) Champ d’application

II] Principes directeurs de la légalité des traitements

1) La qualité des données

2) La légitimation des traitements de données
3) Les catégories de traitements
4) L’information des personnes concernées par les données
5) Le droit d’accès de ces personnes aux données
6) Les exceptions
7) Le droit d’opposition
8) La confidentialité et la sécurité des traitements
9) La notification
10) Autres précisons

B] Transposition de la France

I] Loi de la transposition et impact sur CNIL

1) La loi du 6 août 2004

2) La CNIL

II]Cas Note2be.com

C] Application dans le troisième pilier

I] Le projet de décision-cadre relative à la protection des données à caractère personnel

traitées dans le cadre de la coopération policière et judiciaire en matière pénale (COM 2005-
475)

II] Critiques de la proposition

1) Critique de la CNIL
2) Critique du parlement européen
3) Critique du Contrôleur Européen de la Protection des Données

Conclusion

Source

2
 INTRODUCTION

L’objectif de ce mémoire est de montrer comment la protection des données à

caractère personnel est devenu un sujet terriblement d’actualité et qui lui a valu d’être
beaucoup réfléchi par les institutions communautaires et nationales.

Dans une première partie, nous expliquerons les avancées dans ce domaine dans le
premier pilier de l’Union Européenne en analysant la directive européenne 95/46/CE en
commençant par ses motivations et le contexte dans laquelle elle a été adoptée, puis en
analysant son contenu et les conséquences.

Dans une seconde partie, nous verrons de quelle façon la France a transposée cette
directive européenne près de 10 années après l’adoption de la directive 95/46/CE. Il sera
question de l’organe de contrôle créer par la France, la CNIL, et d’un cas relativement
médiatique sur le sujet du respect de la vie privée et du droit de rectification sur les donnés à
caractère personnel conservées par le site Internet Not2be.com.

Enfin, dans une dernière partie, nous parlerons du projet de décision cadre de la
commission relative à la protection des données à caractère personnel traitées dans le cadre de
la coopération policière et judiciaire en matière pénale, et nous analyserons les critiques qui
lui sont faites avant de conclure notre analyse sur un avis plus personnel.

3
A] La directive européenne 95/46/CE

I] Dispositions générales

1) Objectifs de la directive

La directive 95/46/CE constitue le texte de référence, au niveau européen, en matière

de protection des données à caractère personnel. Elle a pour but de mettre en place un cadre
réglementaire visant à établir un équilibre entre un niveau élevé de protection de la vie privée
des personnes et la libre circulation des données à caractère personnel au sein de l'Union
européenne.

On trouve cette notion dans l’article 1er : « Les États membres assurent […] la
protection des libertés et droits fondamentaux des personnes physiques, notamment de leur
vie privée, à l'égard du traitement des données à caractère personnel. (et ils ) ne peuvent
restreindre ni interdire la libre circulation des données à caractère personnel entre États
membres »

Pour ce faire, la directive fixe des limites strictes à la collecte et à l'utilisation des
données à caractère personnel, et demande la création, dans chaque État membre, d'un
organisme national indépendant chargé de la protection de ces données. Elle est en quelque
sorte une mesure compensatoire à la libre circulation des données au même titre que le SIS
pour la suppression des frontières.

2) Quelques définitions

Afin de bien préciser les données et personnes concernées, la directive contient les
définitions des termes qui lui sont spécifiques. Pour bien comprendre son champ d’application
et les principes qu’elles véhiculent, voici les principales définitions issues de l’article 2 de la
directive :

- «données à caractère personnel»: toute information concernant une

personne physique identifiée ou identifiable (personne concernée); est
réputée identifiable une personne qui peut être identifiée, directement
ou indirectement, notamment par référence à un numéro
d'identification ou à un ou plusieurs éléments spécifiques, propres à
son identité physique, physiologique, psychique, économique,
culturelle ou sociale

- «traitement de données à caractère personnel» (traitement): toute

opération ou ensemble d'opérations effectuées ou non à l'aide de
procédés automatisés et appliquées à des données à caractère
personnel, telles que la collecte, l'enregistrement, l'organisation, la
conservation, l'adaptation ou la modification, l'extraction, la
consultation, l'utilisation, la communication par transmission,
diffusion ou toute autre forme de mise à disposition, le rapprochement
ou l'interconnexion, ainsi que le verrouillage, l'effacement ou la
destruction

4
 - «consentement de la personne concernée»: toute manifestation de
volonté, libre, spécifique et informée par laquelle la personne
concernée accepte que des données à caractère personnel la
concernant fassent l'objet d'un traitement

3) Champ d’application

La directive s'applique aux données traitées par des moyens automatisés (base de
données informatique de clients, par exemple) ainsi qu'aux données contenues ou
appelées à figurer dans un fichier non automatisé (fichiers papiers traditionnels).
La directive ne s'applique pas au traitement de données:

• effectué par une personne physique dans l'exercice d'activités exclusivement

personnelles ou domestiques;
• mis en œuvre pour l'exercice d'activités qui ne relèvent pas du champ
d'application du droit communautaire comme la sécurité publique, la défense ou la
sûreté de l'État.

II] Principes directeurs de la légalité des traitements

La directive vise à protéger les droits et les libertés des personnes par rapport au
traitement de données à caractère personnel en établissant des principes directeurs
déterminant les règles de base de ces traitements. Ces principes servent de ligne de conduite
commune aux Etats membres bien entendu, mais ils sont principalement utiles pour
déterminer si un Etat tiers possède les sécurités adéquates pour permettre à un Etat membre de
lui transmettre des données à caractère personnel.

1) La qualité des données

Les données à caractère personnel doivent notamment être traitées loyalement et

licitement, et collectées pour des finalités déterminées, explicites et légitimes. Elle doivent en
outre être exactes et, si nécessaire, mises à jour.

2) La légitimation des traitements de données

Le traitement de données à caractère personnel ne peut être effectué que si la personne

concernée a indubitablement donné son consentement ou si le traitement est nécessaire:

- à l'exécution d'un contrat auquel la personne concernée est partie ou;

- au respect d'une obligation légale à laquelle le responsable du traitement est
soumis ou;
- à la sauvegarde de l'intérêt vital de la personne concernée ou;
- à l'exécution d'une mission d'intérêt public ou;
- à la réalisation de l'intérêt légitime poursuivi par le responsable du traitement

5
 3) Les catégories de traitements

Le traitement des données à caractère personnel doit être interdit si elles révèlent
l'origine raciale ou ethnique, les opinions publiques, les convictions religieuses ou
philosophiques, l'appartenance syndicale, ainsi que le traitement des données relatives à la
santé et à la vie sexuelle. Cette disposition est assortie de réserves concernant, par exemple, le
cas où le traitement est nécessaire à la défense des intérêts vitaux de la personne concernée ou
aux fins de la médecine préventive et des diagnostics médicaux.

4) L’information des personnes concernées par les données

Un certain nombre d'informations (identité du responsable du traitement, finalités du

traitement, destinataires des données, etc.) doivent être fournies par le responsable du
traitement à la personne auprès de laquelle il collecte des données la concernant, pour que la
personne sache à qui s’adresser pour faire valoir ses droits d’accès et d’opposition.

5) Le droit d’accès de ces personnes aux données

Toute personne concernée par le traitement de données la concernant doit avoir le droit
d'obtenir du responsable du traitement:

- la confirmation que des données la concernant sont ou ne sont pas traitées et la

communication des données faisant l'objet des traitements;
- la rectification, l'effacement ou le verrouillage des données dont le traitement n'est
pas conforme à la présente directive - notamment en raison du caractère incomplet ou
inexact des données - ainsi que la notification de ces modifications aux tiers auxquels
les données ont été communiquées

6) Les exceptions et limitations

Les principes relatifs à la qualité des données, à l'information de la personne

concernée, au droit d'accès et à la publicité des traitements peuvent voir leur portée limitée
afin de sauvegarder, entre autres, la sûreté de l'État, la défense, la sécurité publique, la
poursuite d'infractions pénales, un intérêt économique ou financier important d'un État
membre ou de l'UE ou la protection de la personne concernée.

7) Le droit d’opposition

La personne concernée doit avoir le droit de s'opposer, pour des raisons légitimes, à ce
que des données la concernant fassent l'objet d'un traitement. Elle doit également pouvoir
s'opposer, sur demande et gratuitement, au traitement des données envisagé à des fins de
prospection. Elle doit enfin être informée avant que des données ne soient communiquées à
des tiers à des fins de prospection et doit se voir offrir le droit de s'opposer à cette
communication.

6
 8) La confidentialité et la sécurité des traitements

Toute personne agissant sous l'autorité du responsable du traitement ou celle du sous-

traitant, ainsi que le sous-traitant lui-même, qui accède à des données personnelles, ne peut les
traiter que sur instruction du responsable du traitement. Par ailleurs, le responsable du
traitement doit mettre en œuvre les mesures appropriées pour protéger les données à caractère
personnel contre la destruction accidentelle ou illicite, la perte accidentelle, l'altération, la
diffusion ou l'accès non autorisé.

9) La notification

Le responsable du traitement doit adresser une notification à l'autorité de contrôle

nationale préalablement à la mise en œuvre d'un traitement. Des examens préalables sur les
risques éventuels au regard des droits et libertés des personnes concernées sont effectués par
l'autorité de contrôle après réception de la notification. La publicité des traitements doit être
assurée et les autorités de contrôle doivent tenir un registre des traitements notifiés

10) Autres précisons

Toute personne doit disposer d'un recours juridictionnel en cas de violation des
droits qui lui sont garantis par les dispositions nationales applicables au traitement en
question. En outre, les personnes ayant subi un dommage du fait d'un traitement illicite
de leurs données personnelles ont le droit d'obtenir réparation du préjudice subi.
Les transferts de données à caractère personnel d'un État membre vers un pays
tiers ayant un niveau de protection adéquat sont autorisés. En revanche, ils ne peuvent
pas être effectués vers un pays tiers ne disposant pas d'un tel niveau de protection, sauf
dérogations limitativement énumérées.
La directive vise à favoriser l'élaboration de codes de conduite nationaux et
communautaires destinés à contribuer à la bonne application des dispositions nationales
et communautaires.

Un groupe de protection des personnes à l'égard du traitement des données à caractère

personnel est institué, composé de représentants des autorités de contrôle nationales, de
représentants des autorités de contrôle des institutions et organismes communautaires, et d'un
représentant de la Commission.

Il est aussi intéressant de noter que cette directive aurait du être transposée dans
chaque Etat membre à compter du 24 octobre 1998, or à cette date, seuls l’Italie (1991), le
Portugal (1998) et Le Royaume-Uni (1998) avaient transposés cette directive. Cela démontre
que la directive demande à chaque Etat membre une telle refonte de leur législation sur les
données personnelles que sa transposition n’est pas aisée, comme ce fut le cas en Allemagne
où rien que les négociations de l’avant projet de loi a pris plus d’une année (du fait des
problèmes antérieurs de l’harmonisation entre chaque Land).

D’après l’article 28, chaque État membre doit prévoir qu'une ou plusieurs autorités
publiques indépendantes sont chargées de surveiller l'application, sur son territoire, des
dispositions adoptées par les États membres en application de la présente directive. Pour la
France, c’est la CNIL (Commission Nationale de l'Informatique et des Libertés) qui possède

7
la qualification d'autorité administrative indépendante. Elle a été instituée par la loi n° 78-17
du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés et ses compétences se
sont développées suite à la transposition (tardive) de la France par la loi du 6 août 2004 de la
directive de 1995.

La communication de la Commission au Parlement européen et au Conseil, du 7 mars

2007 examine le résultat du Programme de travail pour une meilleure mise en application de
la directive sur la protection des données. La Commission indique que la mise en application
s'est améliorée, que tous les États membres ayant maintenant transposé la directive et précise
que la directive ne devrait pas être modifiée.
Elle ajoute qu'elle:

• poursuivra son travail avec les États membres et, le cas échéant, lancera des
procédures officielles d'infraction;
• préparera une communication interprétative pour certaines dispositions de la directive;
• poursuivra la mise en œuvre du programme de travail;
• présentera, en cas d'évolution technologique majeure dans un domaine spécifique, une
législation sectorielle au niveau de l'UE;
• poursuivra sa coopération avec ses partenaires extérieurs, en particulier les États-Unis.

8
B] Transposition de la France

I] Loi de la transposition et impact sur CNIL

1) La loi du 06 août 2004

Dernier Etat à transposer la directive européenne 95/46 CE du 24 octobre 1995 sur la

protection des personnes physiques à l’égard du traitement des données à caractère personnel
et à la libre circulation des données, la France a fait le choix, symbolique, de maintenir la loi «
informatique et libertés » du 6 janvier 1978 tout en la remaniant profondément. Tant dans sa
structure que dans sa philosophie d’ensemble, la nouvelle loi a ainsi subi d’importants
changements et a été considérablement enrichie qu’il s’agisse de son champ d’application et
des conditions de licéité définies désormais précisément ou encore des nouveaux pouvoirs de
sanction accordés à la Commission Nationale de l’Informatique et des Libertés (CNIL).

Toutefois, autre symbole fort, son article premier – fondement essentiel des principes
informatique et libertés- reste inchangé : « L’informatique doit être au service de chaque
citoyen. Son développement doit d’opérer dans le cadre de la coopération internationale. Elle
ne doit porter atteinte ni à l’identité humaine, ni aux droits de l’homme, ni à la vie privée, ni
aux libertés individuelles ou publiques ». La nouvelle loi « informatique et libertés » c’est tout
d’abord une large simplification des formalités déclaratives, le contrôle préalable de la CNIL
étant désormais limité aux seuls traitements présentant des risques particuliers d’atteinte aux
droits et libertés ; c’est ensuite un accroissement conséquent des pouvoirs d’intervention de la
CNIL, c’est enfin un renforcement des droits des personnes sur leurs données.

Il ne fut pas oublier que la loi du 6 août 2004 transpose la directive européenne du 24
octobre 1995 relative à l'informatique, aux fichiers et aux libertés. De ce fait, elle reprend
quasiment point pour point la structure et les notions de base de la directive, comme le champ
d’application et surtout les définitions de termes utilisés par exemple.

Trois points majeurs se dégagent de la loi du 6 août 2004 : la modification du

régime de déclaration, la création d'un correspondant à la protection des données, les
nouveaux pouvoirs attribués à la CNIL.

La modification du régime de déclaration

La loi du 6 août 2004 vise à harmoniser les régimes mis en place antérieurement fondés
sur une distinction entre les traitements mis en œuvre par le secteur public et ceux mis en
œuvre par le secteur privé.
En effet, antérieurement, les traitements mis en œuvre par le secteur public
devaient systématiquement faire l'objet d'un avis préalable de la CNIL alors que les
traitements mis en œuvre par le secteur privé ne devaient faire l'objet que d'une
déclaration auprès de la CNIL.

9
 Désormais, le principe est celui d'une déclaration préalable du traitement auprès de
la CNIL que le traitement soit mis en œuvre par le secteur privé ou par le secteur public.
Par exception, la loi prévoit des cas dans lesquels, le traitement devra faire l'objet
d'une déclaration simplifiée. Il en est ainsi pour les catégories les plus courantes de
traitements de données à caractère personnel dont la mise en œuvre n'est pas susceptible
de porter atteinte à la vie privée et aux libertés. Une liste des traitements pouvant
bénéficier d'une déclaration simplifiée sera établie au fur et à mesure par la CNIL.
Dans d'autres cas, la loi prévoit une procédure d'autorisation du traitement par la
CNIL (traitements portant sur des données parmi lesquelles figure le numéro
d'inscription des personnes au répertoire national d'identification des personnes
physiques, etc.), par arrêté du ministre compétent sur avis de la CNIL, par décret en
Conseil d'Etat (traitements de données à caractère personnel mis en œuvre pour le
compte de l'État portant sur des données biométriques nécessaires à l'authentification et
au contrôle de l'identité des personnes, etc.).

Le rôle du correspondant à la protection des données
Chaque organisme (secteur privé ou public) peut désigner une personne en tant que
correspondant à la protection des données afin de bénéficier d'une exemption de
formalités de déclaration.
Désigné par le responsable du traitement, le correspondant est chargé d'assurer au
sein de l'organisme, d'une manière indépendante, le respect des obligations prévues dans
la loi informatique et libertés modifiée.
A ce titre, il peut être choisi parmi les membres de l'organisme qu'il soit public ou
privé (salarié ou fonctionnaire) ou parmi des tiers. En tout état de cause, il doit pouvoir
assurer sa mission en toute indépendance. Ainsi, le correspondant ne peut faire l'objet
d'aucune sanction de l'employeur du fait de l'accomplissement de ses missions.
En cas de difficultés dans l'accomplissement de ses missions, il a la possibilité de
saisir la CNIL par tout moyen. Concrètement, lors de sa prise de fonction, le
correspondant est chargé d'établir un inventaire de la situation dans l'entreprise (audit de
la situation, mise en place de procédures de régulation, définition des points de contrôle
et organisation de la communication avec les autres services). Ensuite, tout au long de sa
mission, il doit tenir et mettre à jour une liste exhaustive des traitements de données à
caractère personnel existants au sein de l'entreprise.
La fonction de correspondant à la protection des données existe dans différents
pays membres de la communauté européenne tels que l'Allemagne, les Pays Bas ou
encore la Suède dans lesquels il bénéficie d'un rôle plus ou moins étendu selon le cas.

Les nouvelles prérogatives de la CNIL
La CNIL se voit désormais dotée de pouvoirs renforcés. Ainsi, la CNIL dispose
d'un pouvoir de perquisition qui lui permet d'accéder aux locaux ou installations de
l'organisme, servant à la mise en œuvre d'un traitement de données de 6 à 21 heures.

10
 Dans ce cadre, les agents de la CNIL pourront demander communication de tous
les documents nécessaires à l'accomplissement de leur mission, quel que soit le support,
en prendre copie, recueillir, sur place ou sur convocation, tout renseignement ou
justification utile et enfin, accéder aux programmes informatiques, aux données et en
demander la transcription par tout traitement approprié.

En complément, la CNIL peut infliger des sanctions allant du simple

avertissement au paiement d'une amende proportionnée à la gravité du manquement
commis et aux avantages tirés de ce manquement d'un montant de 150.000 € ou 300.000
€ en cas de récidive dans les cinq ans.

Près de neuf ans après l'adoption de la directive sur la protection des données à
caractère personnel, la France a enfin modifié le régime juridique applicable au traitement des
données à caractère personnel. Il appartient désormais aux entreprises de prendre en compte
les nouvelles obligations qui s'imposent à elles.

2) La CNIL

La Commission Nationale de l'Informatique et des Libertés (CNIL) a été instituée par la

loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés qui la
qualifie d'autorité administrative indépendante.

La CNIL possède est composée d’un collège pluraliste de 17 commissaires :

• 4 parlementaires (2 députés, 2 sénateurs),

• 2 membres du Conseil économique et social,
• 6 représentants des hautes juridictions (2 conseillers d’État, 2 conseillers à la Cour de
cassation, 2 conseillers à la Cour des comptes),
• 5 personnalités qualifiées désignées par le Président de l’Assemblée nationale (1
personnalité), par le Président du Sénat (1 personnalité), par le conseil des ministres (3
personnalités).

Le mandat de ses membres est de 5 ans ou, pour les parlementaires, d’une durée égale à
leur mandat électif. Pour conduire leurs missions, les membres de la CNIL s’appuient sur
différents services.

La CNIL possède aussi deux caractéristiques :

11
C’est une autorité indépendante :

12 des 17 membres sont élus par les assemblées ou les juridictions auxquelles ils
appartiennent.

La CNIL élit son Président parmi ses membres ; elle ne reçoit d’instruction d’aucune
autorité ; les ministres, autorités publiques, dirigeants d’entreprises, publiques ou privées, ne
peuvent s’opposer à l’action de la CNIL pour quelque motif que ce soit et doivent prendre
toutes mesures utiles afin de faciliter sa tâche.

Le Président de la CNIL recrute librement ses collaborateurs.

C’est surtout une autorité administrative :

• Le budget de la CNIL est imputé sur le budget de l’État.

• Les agents de la CNIL sont des agents contractuels de l’État.

Les décisions de la CNIL peuvent faire l’objet de recours devant la juridiction

administrative. Face aux dangers que l'informatique peut faire peser sur les libertés, la CNIL a
pour mission essentielle de protéger la vie privée et les libertés individuelles ou publiques.

Elle est chargée de veiller au respect de la loi "Informatique et Libertés" qui lui confie 5
missions principales :

• Informer

La CNIL informe les personnes de leurs droits et obligations, et propose au

gouvernement les mesures législatives ou réglementaires de nature à adapter la
protection des libertés et de la vie privée à l'évolution des techniques. L'avis de
la CNIL doit d’ailleurs être sollicité avant toute transmission au Parlement d'un
projet de loi créant un traitement automatisé de données nominatives.

• Garantir le droit d'accès.

La CNIL veille à ce que les modalités de mise en oeuvre du droit d'accès aux
données contenues dans les traitements n'entravent pas le libre exercice de ce
droit. Elle exerce, pour le compte des citoyens qui le souhaitent, l'accès aux
fichiers intéressant la sûreté de l'État, la défense et la sécurité publique,
notamment ceux des Renseignements généraux.

• Recenser les fichiers.

Les traitements de données à “risques” sont soumis à autorisation de la CNIL.

Elle donne un avis sur les traitements publics utilisant le numéro national
d’identification des personnes. Elle reçoit les déclarations des autres
traitements. Le non-respect de ces formalités par les responsables de fichiers
est passible de sanctions administratives ou pénales. La CNIL tient à la

12
 disposition du public le "fichier des fichiers", c'est-à-dire la liste des
traitements déclarés et leurs principales caractéristiques.

• Contrôler

La CNIL vérifie que la loi est respectée en contrôlant les applications

informatiques. La Commission use de ses pouvoirs de vérification et
d’investigation pour instruire les plaintes, pour disposer d'une meilleure
connaissance de certains fichiers, pour mieux apprécier les conséquences du
recours à l'informatique dans certains secteurs, pour assurer un suivi de ses
délibérations. La CNIL surveille par ailleurs la sécurité des systèmes
d'information en s'assurant que toutes les précautions sont prises pour
empêcher que les données ne soient déformées ou communiquées à des
personnes non-autorisées.

II]Cas Note2be.com

Ce cas fait référence à un site internet mis en ligne pour permettre aux élèves de
noter leurs professeurs. Il suffisait pour cela à l'internaute de s'inscrire, d'indiquer dans
quel établissement il était, de donner le nom du ou des professeurs qu'il souhaitait noter,
et devait fournir une appréciation chiffrée sur six critères (Intéressant, clair, disponible,
équitable, respecté et motivé), dont la combinaison aboutissait à une note sur 20, la
même échelle donc que la notation des devoirs des élèves.
Il y eu 15 enseignants et deux syndicats professionnels qui ont saisi le juge des
référés de Paris afin de lui demander d'ordonner la suppression de toute mention
nominative du site et la suppression du fichier informatique stockant ces données.
Il est à noter que trois de ces enseignants n'étant pas cités sur le site, leur
demande sera déclarée irrecevable, puisqu'on ne peut demander la suppression de ce qui
n'existe pas.
Les demandeurs invoquent une atteinte à leur vie privée sur le fondement de
l'article 9 du Code civil et le non respect de la loi Informatique et Liberté du 6 janvier
1978 sur les traitement automatiques de données nominatives.
La société Note2be.com a invoqué en défense le fait que son fichier a fait l'objet d'une
déclaration à la CNIL, qui donne lieu à une enquête de cette autorité. La CNIL n'a donc pas
refusé l'exploitation de ce fichier. Elle invoque la liberté d'expression des élèves, garantie par
l'article L.511-2 du Code de l'Education et plus largement par la liberté d'expression reconnue
à tout homme en France.

Le juge des référés du TGI de Paris a suspendu l’utilisation de données nominatives

sur le site note2be.com, et de ce fait, il n’apparaît plus utile à la CNIL de faire usage de son
pouvoir de sanction. Cependant, elle considère le site note2be.com illégitime au regard de la
protection des données personnelles.

13
 Les contrôles effectués par la CNIL les 13 et 18 février 2008 ont permis de
constater que le système de notation des enseignants de la société note2be.com poursuit une
activité commerciale reposant sur l’audience d’un site Internet qui ne lui confère pas la
légitimité nécessaire, au sens de la loi, pour procéder ou faire procéder à une notation
individuelle des enseignants susceptible de créer une confusion, dans l’esprit du public, avec
un régime de notation officiel. La CNIL a également relevé que cette note était attribuée de
façon subjective par des tiers dont on ne peut vérifier la qualité.

Conformément à ce que prévoit l’article 7 de la loi informatique et libertés, les

enseignants doivent en effet être en mesure d’exprimer leur consentement. Dès lors, la
société note2be.com ne saurait se prévaloir d’un « intérêt légitime » pour justifier
l’absence de recueil du consentement des enseignants dont les données seraient diffusées
sur son site internet.
Ceci étant, tenant compte de la publication de l’ordonnance du juge des référés du 3
mars 2008, la formation contentieuse de la CNIL, lors de sa séance du 6 mars 2008, n’a pas
jugé utile de faire usage de son pouvoir de sanction. Toutefois, compte tenu du fait que la
mise en ligne sur Internet de la notation d’enseignants et de leur établissement d’activité était
susceptible de porter atteinte à leur vie privée en diffusant une affectation qu’ils ont pu
souhaiter conserver confidentielle pour protéger leur vie privée, leur famille ou leur intégrité
physique, la CNIL se réserve la possibilité d’user de son pouvoir de sanction en cas de
nouveau manquement constaté.

Ce cas est intéressant dans la mesure où il illustre à la fois l’utilisation de l’ancienne

loi de 1978 ainsi que le nouveau rôle joué par a CNIL dans le contrôle du traitement des
données à caractère personnel dans le droit français.

14
C] Application dans le troisième pilier

I] le projet de décision-cadre relative à la protection des données à caractère

personnel traitées dans le cadre de la coopération policière et judiciaire en
matière pénale (COM 2005-475)

La proposition de décision-cadre, relative à la protection des données dans le 3ème

pilier, présentée le 4 octobre 2005 par la Commission européenne, relève du titre VI du Traité
sur l’Union Européenne qui vise à renforcer la coopération policière et judiciaire en matière
pénale.

Motivation

Son objectif est de rapprocher les dispositions législatives et réglementaires des Etats
membres et d’établir, pour atteindre cet objectif, des règles communes et «cohérentes» en
matière de traitement et de protection des données à caractère personnel.

L’exposé des motifs souligne que «ce rapprochement des législations ne doit pas
conduire à affaiblir la protection des données qu’elles assurent, mais doit, au contraire, avoir
pour objectif de garantir un niveau élevé de protection dans l’Union.»

L'adoption de règles communes sur la protection des données, lorsque celles-ci sont
destinées à des usages sécuritaires, constitue une condition préalable de la mise en place du
principe de disponibilité.

Architecture comparable à la directive 95/46/CE

Bâtie sur le modèle de la directive 95/46/CE, elle définit des règles communes de
licéité du traitement des données à caractère personnel, les principes relatifs à la qualité des
données, les conditions de transmission et de la mise à disposition de ces données à des
autorités et des personnes privées dans d’autres Etats membres, le traitement ultérieur par les
autorités qui ont reçu ces données, la transmission vers des pays tiers ou des instances
internationales. Elle fixe également des règles communes en matière de confidentialité et de
sécurité du traitement, de contrôle préalable, de notification, de responsabilité et de sanctions,
de droits de la personne concernée (droits d’information, d’accès, de rectification,
d’effacement ou de verrouillage), ainsi que les voies de recours qui lui sont offertes.

Champ d’application

La décision-cadre est destinée à s’appliquer aux fichiers traités dans le cadre de la

coopération policière et judiciaire en matière pénale. Elle ne concerne pas, dans son champ
d’application actuel, le traitement des données à caractère personnel de l’Office européen de
police (Europol), de l’unité européenne de coopération judiciaire (Eurojust), ni du système
d’information des douanes qui disposent de leurs propres mesures spécifiques en matière de
protection des données. En revanche, elle vise à se substituer au règles de protection des
données de la Convention d’Application des Accords de Schengen, au futur système

15
d’information Schengen de deuxième génération (SIS II) ainsi qu’aux dispositions de l’article
23 de la Convention relative à l’entraide judiciaire européenne en matière pénale.

Le rôle des autorités de contrôle y est également précisé ainsi que l’instauration et la
composition d’un groupe européen de protection des données indépendant (sur le modèle du
groupe de l’article 29 existant).

II] Critiques de la proposition

1) Critique de la CNIL

Pour la CNIL et ses homologues européens, le projet actuel de décision-cadre reste

insuffisant sur les principaux points suivants :
• un flou subsiste sur le champ d’application des règles de protection des données et
divise les Etats membres entre, d’une part, une application à l’ensemble des
traitements des données à l'intérieur des États membres et, d’autre part, la coexistence
de règles européennes avec des règles nationales pour les données traitées pour leur
propre compte par les services de police. Si cette conception étroite était retenue, les
règles communes de protection des données ne s’appliqueraient qu’aux seules données
échangées ;
• un trop grand nombre d’exemptions sont possibles pour les Etats membres, ce qui va à
l’encontre d’un renforcement de la protection de façon uniforme entre les pays de
l’Union européenne
• la protection de base peut être mise de côté «exceptionnellement» voire «pour
l’accomplissement de tâches légitimes» des autorités de sécurité intérieure
• les mesures de sauvegarde sont insuffisantes pour le traitement des fichiers ADN et
des données biométriques
• les dérogations à l’obligation d’informer les personnes concernées sont beaucoup trop
larges
Ces insuffisances ont été soulignées dans un avis adopté le 24 janvier 2006 par les 31 CNIL
européennes à l'occasion de la Conférence européenne des autorités de protection des données
Ces mêmes autorités ont, à l’occasion de leur Conférence européennes, à Budapest
(Déclaration de Budapest du 25 avril 2006), appelé à l’adoption urgente d’une décision-cadre
améliorée. En effet, les travaux du Conseil sur ce texte ont peu avancé. Or, plusieurs projets
relevant du troisième pilier (SIS II, VIS, principe de disponibilité) dépendent de son adoption.

2) Critique du parlement européen

Le Parlement européen va dans le même sens d’une exigence d’un haut niveau de
protection malgré le caractère spécifique des fichiers de police. Le rapport et les amendements
des libertés, présentés par Mme Martine Roure, députée française, ont été adoptés à
l’unanimité par la Commission des libertés en mai 2006.

16
Le rapport préconise :

• l’adoption d’un large champ d'application pour la décision-cadre afin que les règles
communes de protection des données s'appliquent à l'ensemble des données dans les
secteurs policier et judiciaire et ne se limitent pas aux échanges transfrontaliers entre
États membres ;
• un ensemble de mesures législatives qui répondent aux préoccupations exprimées par
la Conférence européenne à la protection des données ;
• la consultation automatique des autorités nationales de contrôle lors de l'élaboration de
mesures législatives concernant le traitement des données, sur les dispositions relatives
à la protection des droits et des libertés des personnes
• en matière d'accès aux données conservées par des parties privées, l’insertion d’un
nouvel article spécifiant que l'accès à ces données sera accordé au cas par cas, pour un
objet défini et sous le contrôle judiciaire des États membres ;
• le renforcement des conditions d’information et de surveillance pour des transmissions
de données, en cas d’absolue nécessité, vers des pays tiers n’assurant pas un niveau
adéquat de protection des données.

3) Critique de Peter Hustinx, Contrôleur Européen de la Protection des Données

(CEPD)

Le renforcement de la coopération policière et judiciaire entre les pays de l’Union

européenne allié aux possibilités offertes par les nouvelles technologies est une menace
potentielle pour les libertés individuelles. Le Contrôleur Européen de la Protection des
Données le rappelle dans son nouvel avis (le troisième) du 27/04/2007 sur la proposition de
décision cadre actuellement en cours d’examen au Conseil (1). Cette proposition a
précisément pour objectif d’encadrer la protection des données à caractère personnel traitées
dans le cadre de la coopération policière et judiciaire en matière pénale (une donnée à
caractère personnel est une information relative à une personne physique identifiée ou qui
peut être identifiée, directement ou indirectement, par référence à un numéro d'identification
ou à un ou plusieurs éléments qui lui sont propres, et qui peut faire l’objet d’un traitement
c’est à dire d’opérations telles que la collecte, l'enregistrement, l'organisation, la conservation,
la modification, l'extraction, la consultation, l'utilisation, la communication par transmission,
diffusion ou toute autre forme de mise à disposition, le rapprochement ou l'interconnexion,
ainsi que le verrouillage, l'effacement ou la destruction…).

L'abolition des frontières intérieures s’accompagne d’un développement des échanges

d'information des services répressifs nationaux, portant sur des données sensibles, avec le
risque qu’une utilisation abusive en soit faite. Or, la proposition de décision cadre est loin, de
l’avis du CEPD, de prévoir les garanties nécessaires pour éviter ce risque et les droits des
citoyens pourraient bien être sacrifiés sur l’autel de l'efficacité dans la coopération policière et
judiciaire.

La position du CEPD est résumée sans ambiguïté et de façon plutôt lapidaire dans le
communiqué de presse rendu public le 30/04. On peut y lire : « le CEPD recommande
fermement au Conseil de ne pas adopter la proposition actuelle, sauf améliorations

17
significatives ». Plus avant, le CEPD exprime « de graves préoccupations envers la tendance
à aller vers le plus petit dénominateur commun ».

Selon le Contrôleur, de nombreux points du texte ne répondent pas aux exigences de la

protection des données telles que définies par le Traité de l'Union européenne. Bien plus,
certaines dispositions « sont même en dessous des standards fixés par la Convention 108 du
Conseil de l'Europe (1981), qui a établi des principes de base de la protection des données en
Europe » (2).

C’est pourquoi, le CEPD appelle le Conseil à revoir la proposition sur les points
suivants :

• Celle-ci doit obliger les états (et non pas les « inviter ») à inclure dans le régime de
protection les traitements de données "domestiques"c’est-à-dire internes, afin que les
citoyens ne soient pas uniquement protégés de manière adéquate lors des échanges
entre états membres.
• Les finalités pour lesquelles les données personnelles peuvent être traitées doivent être
limitées, dans le respect des principes de base de la Convention 108 qui dispose que
les données personnelles sont « enregistrées pour des finalités déterminées et légitimes
et ne sont pas utilisées de manière incompatible avec ces finalités » (article 5.b), les
seules dérogations permises devant être prévues par la loi et constituer « une mesure
nécessaire dans une société démocratique » ayant pour objet, par exemple, la
répression des infractions pénales (article 9). Selon la jurisprudence de la Cour
européen des droits de l’homme, ces dérogations ne sont de surcroît admises qui si
elles sont proportionnées au but, précises et prévisibles. Or, la rédaction de la
proposition de décision cadre est trop large et imprécise pour permettre le respect de
ces conditions, estime le CEPD.
• Le niveau de protection des données dans les échanges avec les pays tiers doit faire
l’objet d'une norme commune européenne.
• La qualité des données doit être assurée conformément aux dispositions de l’article de
l’article 5 de la Convention 108 qui impose notamment qu’elles soient « obtenues et
traitées loyalement et licitement ». Une distinction doit être faite entre les données
factuelles et les autres données n’ayant pas ce caractère ( opinions ou témoignages, par
exemple), ce qui n’est pas le cas dans la proposition de décision cadre. De même, la
proposition ne permet pas de distinguer les catégories de personnes concernées par les
renseignements échangés (coupables, suspects, victimes, témoins, etc…) et n’offre pas
de garanties spécifiques sur les données relatives à des personnes qui ne sont pas
mises en cause.
• Les droits d’accès, de recours, etc…des citoyens doivent être améliorés
• Les échanges de données avec des autorités non-répressives et des entités privées
doivent être soumis à des conditions strictes et spécifiques.

Selon le CEPD, le parallèle doit être fait avec l’ouverture du marché intérieur qui s’est
accompagné de la définition d’une législation protectrice des données personnelles (3). De la
même façon dit le CEPD, “l’espace commun de liberté, de sécurité et de justice (ndlr :
troisième pilier de l’Union européenne) dans lequel l’ information va circuler librement entre
les autorités judiciaires […] exige un haut niveau de protection des données personnelles dans
tous les états membres » (4). Or, telle n’est pas l’orientation prise par les états.

18
 Mais, en l’espèce, seuls ces derniers sont compétents pour décider sur une question qui
relève du troisième pilier de l’Union européenne , celui de la coopération
intergouvernementale et non du pilier communautaire dans lequel le Parlement européen est
co-législateur et peut amender voire refuser les textes votés par le Conseil. Et voilà comment
les libertés individuelles risquent fort de se trouver écornées par la grâce du Conseil et
comment l’Union européenne pourrait être amenée à assurer une protection des individus à
double vitesse : étendue dans le cadre de la Communauté européenne et du marché intérieur,
limitée dans celui du troisième pilier.

19
 CONCLUSION

L’échange d’informations est au cœur de la coopération policière européenne. Cette

coopération relevant du 3ème pilier (intergouvernemental et non communautaire), les données
personnelles ainsi échangées entre les Etats ne sont pas couvertes par la directive de 1995. Le
projet de décision-cadre a pour but d’assurer aux citoyens européens une protection aussi
générale et complète dans le domaine de la sécurité publique.

Mais la question que l’on peut se poser, c’est est-ce que les standards proposés par la
commission sont-ils suffisants pour assurer une protection efficace contre le détournement des
informations échangées dans le cadre d’une coopération policière entre deux Etats membres ?
En effet, dans notre monde actuel basé sur les nouvelles technologies, il paraît difficile de
garantir une protection efficace contre le piratage ou la perte de données à caractère
personnel, comme c’est régulièrement le cas en Grande-Bretagne par exemple avec les
fichiers « égarés » par la sécurité sociale britannique. C’est déjà compliqué dans un cadre
civil, alors dans un cadre pénal commun, les mesures compensatoires proposées en
contrepartie du principe de disponibilité me paraissent bien maigres pour garantir une
transparence sur l’échange sécurisé de données dans le cadre de la coopération policière
transfrontalière. A mon avis, il sera certainement plus facile dans certains pays que dans
d’autres de pouvoir consulter, transformer ou effacer des données qui ne seront alors plus
utilisables ou bien falsifiées et qui ne garantissent plus à tout à chacun de ne pas être poursuivi
pour des faits qui ne nous concernent pas du fait d’informations corroborantes issues d’un
pays que nous n’avons jamais visité.

Pour conclure, cette application au troisième pilier de la protection des données à

caractère personnel est un pas en avant pour la coopération policière dans une certaine mesure
qui part d’une bonne intention, mais il ne s’agit pas dans ce cas d’avoir son nom et ses
cordonnées dans un fichier de publicitaire nous inondant de publicité créée pour nous attirer
grâce aux informations recensées sur nous mais une application au domaine pénal. Ce premier
pas me fait aussi l’impression d’un départ inéluctable vers la centralisation par les autorités de
données personnelles qui ne sont pas sans faire penser à 1984 et Big Brother, et que derrière
cette bonne intention se cache peut-être une perte de notre vie privée. Nous savons tous de
quoi est pavée le chemin qui mène vers l’Enfer…

20
 Source

www.legifrance.gouv

www.caprioli-avocats.com

www.europa.eu

www.senat.fr

http://www.cnil.fr

http://www.vie-publique.fr

http://www.mascre-heguy.com

http://www.eurogersinfo.com

Cours de M Braum

Cours de M Genson

21