Propriété des données personnelles dans la loi Lemaire


L’article 26 de la loi Lemaire inscrit le droit à la libre disposition de ses données personnelles dans la loi du 6 janvier 1978 dite “informatique et libertés”. Bien que s’en défendant explicitement dans son exposé des motifs, la loi pour une République numérique introduit en droit français la propriété des données personnelles. Pour le meilleur et, surtout, pour le pire.

 

 

L’article 26 de la loi pour une République numérique consacre la libre disposition des données personnelles, ce qui recouvre “le droit à la libre disposition de ses données, c’est-à-dire le droit de l’individu de décider de contrôler l’usage qui est fait de ses données à caractère personnel”. Cela revient ni plus ni moins qu’à reconnaître un droit de propriété sur ses données personnelles. Pourquoi ? Parce que vient d’être consacré le dernier des trois éléments du droit de propriété sur les données personnelles, qui ne l’était pas encore.

 

En effet, l’article 544 du Code civil définit la propriété comme “le droit de jouir et de disposer des choses de la manière la plus absolue, pourvu qu’on n’en fasse pas un usage prohibé par les lois ou par les règlements”. Les juristes ont, de longue date, distingué trois composantes de ce droit de propriété : l’usus – la faculté d’usage –, le fructus – le droit de percevoir les fruits de sa propriété – et l’abusus – le droit de disposer, incluant celui de mettre fin à sa propriété. À titre d’exemple, le propriétaire d’un appartement peut donc l’utiliser pour soit en l’habitant (usus), en tirer les revenus qu’il peut engendrer de par sa mise en location (fructus) ou tout simplement le vendre (abusus).

Et les données personnelles ? Avant l’article 26 précité, chaque personne en était simplement usufruitière. La loi ne lui reconnaissait tacitement que l’usus et le fructus, proscrivant tout aussi tacitement l’abusus. Une personne pouvait ainsi utiliser ses données personnelles (par exemple fournir ses coordonnées pour la réalisation d’un contrat et/ou d’une prestation de service) et en retirer les fruits (obtenir un compte mail en apparence gratuit en échange de la “location” de ses données personnelles). Elle ne pouvait toutefois pas s’en séparer, par exemple en les vendant.

La raison d’une telle limitation réside dans l’existence d’un principe structurant au sein de la loi dite “informatique et libertés” : celui de finalité. Il subordonne l’emploi de tout usage non strictement intime de données personnelles à l’existence d’une finalité considérée comme légitime par le législateur. À défaut de quoi, le traitement est illicite. C’est ce qui lui permet d’assurer les équilibres voulus par le législateur, à savoir concilier l’usage le plus étendu possible de l’informatique avec la protection de valeurs nécessaires à la vie en société.

 

Au premier rang desquels les droits et libertés fondamentales de la personne humaine, y incluant la protection de sa liberté et de sa vie privée. Sans leur respect effectif, nous ne sommes plus dans une démocratie libérale – qui implique une liberté effective de choisir ses gouvernants, donc l’existence d’une sphère privée pour nourrir et étayer cette liberté –, mais dans un régime à la 1984 de George Orwell. La question de la protection des données personnelles, à rebours d’une conception traditionnellement individualiste, est donc éminemment politique.

Il est donc formellement vrai que la loi Lemaire ne consacre pas le droit de propriété sur ses données personnelles étant donné qu’il existait avant cela une patrimonialité limitée à l’usus et au fructus. L’article 26 de cette loi se contente, de manière en apparence anodine, de consacrer sur les données personnelles le seul élément du droit de propriété qui ne leur était pas encore reconnu : l’abusus. Or, la libre disposition des données personnelles entre en contradiction avec le principe de finalité. En effet, disposer de ses données signifie pouvoir en perdre de vue l’utilisation, qui peut alors être réalisée pour une finalité ultérieure non déterminable au moment du transfert.

C’est là qu’est le cadeau empoisonné : le pouvoir de contrôle défini par l’article 26 de cette loi n’est qu’une faculté reconnue à la personne fichée, faculté qui vient se substituer au contrôle obligatoire de la CNIL. Or, il existe un décalage considérable entre l’innocuité apparente d’un transfert de données personnelles et la technicité extrême de l’encadrement de cette question par le droit. Pour donner un ordre d’idée, le dernier projet de règlement européen en la matière, qui devrait être adopté au printemps 2016, fait dans sa dernière version 209 pages. Est-il réaliste de croire que chaque personne fichée maîtrise sur le bout des doigts chacune de ces pages ?

Remplacer le contrôle obligatoire de la CNIL par le contrôle facultatif de tout un chacun, non spécialiste du droit des données personnelles, apparaît donc comme séduisant de prime abord. Mais cela n’aboutit qu’à donner à toute personne fichée les clefs d’une servitude accrue, en lui permettant d’entériner, par son consentement, le contournement des équilibres autrefois obligatoires de la loi du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés. La libre disposition des données personnelles rend possible la propriété des données personnelles et ouvre la voie à une servitude accrue de la personne fichée. Merci Mme Lemaire.

 


 

Réagissez à cet article

Source : La propriété des données personnelles : ce cadeau empoisonné de la loi Lemaire, Le Cercle

image_pdfimage_print