Lorsque l’on parle d’avoir le droit, comme je l’ai montré dans un précédent billet (à lire ici), c’est avoir la reconnaissance légale (offerte par une autorité, la légitimité juridique) d’agir et/ou en avoir la capacité, la légitimité d’action (émanant du caractère naturel de la personne).
Agir entend aussi le fait de demander, d’exiger de s’attendre au respect. Dans ce cas, les citoyens comme les entreprises ont le droit à la protection de leurs données[1].
Légitimité juridique
Au Canada, le droit à la protection de ses informations personnelles dans le cyberespace est encadré par un important corpus juridique[2] qui balise la collecte, le partage des informations personnelles ou à caractère privé par l’Etat, les entités non étatiques tout en fixant les finalités de tels agissements[3].
Sur le plan du droit international, la Déclaration universelle des droits de l’homme (1948) en son article 12 reconnaît aux personnes le droit à la protection de toute donnée relative à la sphère privée :
« Nul ne sera l’objet d’immixtions arbitraires dans sa vie privée, sa famille, son domicile ou sa correspondance, ni d’atteintes à son honneur et à sa réputation. Toute personne a droit à la protection de la loi contre de telles immixtions ou de telles atteintes. »[4]
Une reconnaissance fondatrice d’un droit fondamental qui se retrouve aussi dans les normes internationales telles que la Convention européenne des droits de l’homme (1950), la Charte des droits fondamentaux de l’Union européenne (2000)[5], les Lignes directrices de l’Organisation de coopération et de développement économiques[6] – OCDE (1980).
Même si la plupart de ces textes internationaux ne sont pas juridiquement contraignants en soi, il n’en demeure pas moins qu’ils établissent un cadre global dans lequel les législatures nationales et les tribunaux sont appelés à élaborer des règles contraignantes.
Cette reconnaissance légale est un pouvoir juridique de contrôle des informations que nous jugeons personnelles ou qui pourraient être injustement utilisées, soit pour porter une atteinte à notre réputation, à notre dignité, ou rentrant en conflit avec d’autres droits tels que celui d’auteur ou le droit à l’oubli (qui introduit la notion de la temporalité des informations collectées et conservées).
C’est dans cette logique que la Bundesgerichtshof (Cour de justice allemande) a ordonné le retrait des noms de plaignants sur une page Wikipédia relatant leur passé criminel, ou la décision de la Cour suprême suédoise intimant la cessation de la violation du droit d’auteur par Wikimédia, ou que la Cour suprême canadienne dans l’affaire Spencer[7] a invalidé la collecte de données par des agences étatiques sans mandat du juge.
En Suède, la cour suprême vient de trancher en début de semaine en faveur d’une association chargée de défendre le droit d’auteur des artistes graphiques et plastiques, BUS, dans le cadre d’un procès contre la fondation Wikimédia, qui s’occupe principalement de la célèbre encyclopédie en ligne Wikipédia.
En la matière, l’association BUS poursuivait la branche suédoise de Wikimédia pour avoir reproduit et diffusé gratuitement sur Wikipédia — et les autres projets de la fondation, à l’image de la médiathèque libre Wikimedia Commons — des photographies montrant des œuvres d’art de ses membres, sans leur consentement. Et cela, même si ces clichés ont été réalisés au sein de l’espace public.
Dans cette affaire, rapporte le Guardian, la cour suprême suédoise a apporté une distinction entre les particuliers qui sont autorisés à prendre une photographie d’une œuvre visible dans l’espace publique, et le fait de regrouper ces clichés dans une base de données gratuite et à l’usage illimité, y compris à titre commercial.
Pour les magistrats, cette base de données a « une valeur commerciale non négligeable » et les artistes ont droit d’en profiter.
Julien Lausson, Wikipédia condamné en Suède pour des photos d’œuvres d’art, Numerama, 05 avril 2016
Dans l’affaire Jones c. Tsige[8], la Cour d’appel ontarienne est allée jusqu’à reconnaître que l’accès aux informations personnelles de la plaignante sans son autorisation, malgré le fait que ces informations n’aient été communiquées à un tiers, était un tort subi par celle-ci et qu’elle avait droit à une compensation pour le préjudice causé.
Cette protection contre l’intrusion dans des données non publiques s’étend à toute personne qu’elle soit physique ou morale (citoyen ou entreprise)[9].
Légitimé de protection
Au-delà du légalisme de la question ou de sa légitimité juridique, c’est-à-dire ce qui est établi textuellement par le droit hors de toute considération morale et politique (l’esprit de la loi), la légitimité de protection des données personnelles relève elle du bien-fondé naturel, incontestable, du respect de la sphère privée et de tout ce qui n’est pas du domaine ou frappé du caractère public.
Elle recouvre une importance plus large que le système rationnel-constitutionnel. Elle englobe la prise en compte du caractère naturel, universel (celui de l’intime), et donc inhérent à la personne.
C’est dans cette idée que « La légitimité est la sœur jumelle (Zwillingsschwester) de l’État moderne »[10] tout en étant une « justification des actes de pouvoir ».
L’effet d’une telle considération est d’imposer au tiers, en l’absence d’une réglementation (textes de loi), l’inviolabilité d’une composante de la nature des personnes, en l’occurrence des données personnelles.
Cela autorise aussi à une interprétation large et généreuse des dispositions juridiques, comme il a été notamment le cas de l’article 1457 du Code civile du Québec dans l’affaire Pia Grillo contre Google.
Dans Pia Grillo c. Google inc., la demanderesse a consulté le site Internet Google Maps pour vérifier de quelle façon sa résidence y était exposée. En cliquant sur l’onglet «Street View», elle a constaté avec surprise qu’elle figurait sur l’image : elle était alors à l’extérieur de sa maison, assise sur la première marche de l’escalier, pieds nus, portant un vêtement sans manche de type débardeur, et une partie de sa poitrine était exposée. Outre l’adresse de sa maison, son véhicule se trouvait aussi sur la photographie sans que la plaque d’immatriculation soit camouflée.
Ce qu’il faut retenir de cette décision, c’est qu’il est faux de prétendre qu’une personne, parce qu’elle est assise sur une marche extérieure de sa maison, et donc qu’elle est visible de la rue publique, a nécessairement ou tacitement, de ce seul fait, renoncé à la protection de sa vie privée et de son image. Comme dans la décision précédente, Google n’a pas démontré que la diffusion de l’image de la dame se justifiait par l’intérêt public ou le droit du public à l’information.
Contrairement au droit américain, le fait que la publication ou la diffusion d’une image soit socialement utile n’est pas suffisant pour justifier ou excuser une violation du droit à la vie privée ou à l’image. De même, la gratuité du moteur de recherche ou des services offerts par Google ne constitue ni une excuse recevable ni un élément pertinent. Enfin, une personne ne devient pas méconnaissable du seul fait que son visage a été brouillé; les autres informations ou données se trouvant dans l’image peuvent permettre de l’identifier.
Le juge a donc conclu que le captage et la diffusion de l’image de la dame sans son consentement ont constitué une atteinte à sa vie privée et à son image […]
Julie Pomerleau, La protection de l’image d’une personne est associée au respect du droit à sa vie privée, SOQUIJ, 28 octobre 2014
Même si certains intellectuels contestent l’existence de cette légitimité entendue comme « aporétique, circulaire et creuse »[11]. Je n’irai pas dans ce sens et n’ouvrirais pas ici le débat.
En fin de compte, à la question de savoir si les citoyens comme les entreprises ont droit à la protection de leurs données, la réponse est affirmative.
Cette reconnaissance, ce droit, ce pouvoir est à la fois légal et légitime. Il est fondamental que cette protection puisse demeurer évolutive[12] en s’adaptant aux pratiques nouvelles et aux technologies dites disruptives.
Notes
[1] Éric Andrieu, « Internet et la protection des données personnelles. », janvier 2000, revue Legicom, n° 21-22, p. 155-166
[2] Au Canada, il y a deux lois fédérales sur la protection des renseignements personnels : la Loi sur la protection des renseignements personnels (LPRP), qui régit les pratiques de traitement des renseignements personnels des ministères et organismes fédéraux, et la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE), la loi fédérale sur la protection des renseignements personnels qui s’applique au secteur privé. – Loi sur la protection des renseignements personnels (L.R.C. (1985), ch. P-21) http://laws-lois.justice.gc.ca/fra/lois/P-21/page-2.html#h-6, Loi sur la protection des renseignements personnels et les documents électroniques (L.C. 2000, ch. 5) http://lois-laws.justice.gc.ca/fra/lois/p-8.6/index.html, pages consultées le 16 février 2016
[3] Stéphane Tijardovic, « La protection juridique des données personnelles. Vers une nécessaire adaptation de la norme juridique aux évolutions du monde numérique», mars 2003, Les Cahiers du numérique, vol. 4, p. 185-203
[4] Déclaration universelle des droits de l’homme, Nations Unies, http://www.un.org/fr/universal-declaration-human-rights/, page consultée le 16 février 2016
[5] « Protection des données à caractère personnel », Commission européenne, http://ec.europa.eu/justice/data-protection/index_fr.htm, page consultée le 16 février 2016
[6] Lignes directrices régissant la protection de la vie privée et les flux transfrontières de données de caractère personnel adoptées par l’Organisation de coopération et de développement économique, dont sont tirés huit principes : limitation en matière de collecte; qualité des données; limitation de l’utilisation; garanties de sécurité; participation individuelle; responsabilité; libre circulation; et restrictions légitimes. – http://www.oecd.org/fr/internet/ieconomie/lignesdirectricesregissantlaprotectiondelaviepriveeetlesfluxtransfrontieresdedonneesdecaracterepersonnel.htm, page consultée le 16 février 2016
[7] R. c. Spencer – dans cette décision, la Cour a statué que les renseignements concernant les activités d’un abonné sur Internet ne devraient pas être obtenus sans mandat, sauf dans des circonstances très précises. – http://scc-csc.lexum.com/scc-csc/scc-csc/fr/item/14233/index.do, page consultée le 16 février 2016
[8] Jones v. Tsige, 2012 ONCA 32, http://www.ontariocourts.on.ca/decisions/2012/2012ONCA0032.htm, page consultée le 16 février 2016
[9] Au Canada, les provinces peuvent elles aussi encadrer cette protection comme le montrent les exemples de l’Ontario, l’Alberta, le Québec, le Nouveau-Brunswick, Terre-Neuve-et-Labrador.
[10] Patrice Duran, « Légitimité, droit et action publique. », février 2009, L’Année sociologique, vol. 59, p. 303-344
[11] Frédéric Lordon, « La légitimité n’existe pas. Éléments pour une théorie des institutions», février 2007, Cahiers d’économie Politique / Papers in Political Economy, n° 53, p. 135-164
[12] Pierre Trudel, « Renforcer la protection de la vie privée dans l’état en réseau : l’aire de partage de données personnelles. », février 2004, Revue française d’administration publique, n°110, p. 257-266
Les 50 Nuances de Dave 