[Mon mémoire en 3 pages] Le consentement et les données personnelles – Gaëlle Guillevic

« Qui ne dit mot consent », « le silence vaut consentement », … Dans notre vie quotidienne comme dans le monde juridique, nombreuses sont les maximes qui reprennent la notion de consentement. Pourtant, le législateur a préféré en taire la signification. Aucune définition ne vient donner un sens du mot « consentement ». Seules des limites sont envisagées, à l’instar d’une obligation liée à l’âge de l’individu qui consent. C’est alors au juge que revient la responsabilité d’interpréter.

Cette solution, qui apparaît souvent dans le monde juridique, a de bon qu’elle permet notamment de s’adapter à chaque situation. La notion « consentement » se modifie au grès des besoins et envies. Elle se façonne aussi pour répondre à des impératifs nouveaux, tels qu’ils apparaissent en matière de nouvelles technologies de l’information et de la communication par exemple. Son rôle est d’autant plus important qu’il semble être le principal outil de protection des individus.

Face à l’utilisation toujours plus massive des réseaux internet et des objets connectés, les individus peinent à faire valoir leur consentement. La plupart ignorent même comment se protéger. Ainsi, près de 54%[1] de la population considère même être mal informé quant à la protection de leur vie privée sur Internet, quand bien même ils seraient près de 93%[2] à savoir que leurs informations privées sont récoltées à chacune de leur navigation sur Internet.

Les gouvernements qui se succèdent tentent de limiter cette ignorance et de protéger les individus. De nombreuses lois sont érigées chaque année pour assurer l’efficience de la volonté des individus, et en particulier, face au traitement constant de leurs données personnelles. Comme si cela ne suffisait pas, le législateur européen, aussi, essaye de protéger les individus contre les nouvelles menaces technologiques. Tous les moyens sont envisagés, même si le législateur est souvent devancé par les nouvelles technologies.

.

La protection des internautes est apparue très rapidement comme un enjeu primordial. Dès 1978, une première loi voit le jour[3]. Était alors essentiellement visée la protection des données touchant le plus intimement les individus. Mal formulée puisque son vocable nuit à sa compréhension et engendre des incohérences juridiques avec d’autres lois, elle se révèle insuffisante. De nombreuses règles de droit lui succèdent[4], toutes ayant pour but de peaufiner sans limiter la sauvegarde des droits des internautes.

En parallèle, le législateur européen se montre lui aussi productif. Il est, d’ailleurs, le dernier intervenant en matière de consentement numérique. Dans son règlement du 27 avril dernier[5], il élabore de nouvelles techniques pour faire prévaloir le consentement, à l’instar de l’effacement ou encore du droit de prise de décision individuelle automatisée[6].

Il ressort de la multitude de normes juridiques, que le consentement est la pierre angulaire du procédé de traitement des données des individus. Son absence ne devrait pas permettre l’utilisation des données personnelles. C’est du moins ce que dit la loi. Le consentement semble orienter le traitement de ces données, mais de quelles façons ?

La volonté des internautes est censée être obtenue avant tout traitement de données personnelles, comme le souligne l’article 7 de la loi Informatique et Libertés de 1978. Son obtention peut aussi bien être expresse qu’implicite. Le simple fait de cocher une case peut permettre d’accorder ou non son consentement.

Cela ne suffisant pas à garantir la meilleure protection des individus, les lois relatives à ce sujet contraignent les acteurs pour renforcer son rôle. Ainsi, il est obligatoire d’informer les usagers quant au type de traitement que subiront leurs données. De même, des principes de loyauté et de licéité des traitements contribuent à affermir l’importance du consentement dans le milieu numérique.

.

De plus, un consentement reçu par défaut ne peut pas être valablement retenu. Le législateur s’est montré intransigeant sur la question, puisqu’il permet à chaque titulaire de données personnelles de s’opposer à des traitements ou même de se rétracter si besoin.

Le consentement apparaît donc comme l’outil de contrôle d’une personne sur ses informations personnelles. Les différentes règles qui entourent cette notion dans le milieu numérique confère toujours plus d’impact à la volonté d’un individu. L’intervention du juge ne contredit en aucun cas cette vérité, lui accordant même plus de bénéfice. Il semble même être un allié de poids quant à la protection du consentement en matière[7].

.

Pourtant, le traitement de données personnelles est souvent effectué même en absence de consentement. La loi elle-même autorise la collecte et l’utilisation de données individuelles dans certains cas dits exceptionnels. L’article 7 de la loi 78-17 du 6 janvier 1978, modifiée par la loi 2004-801 du 6 août 2004, énonce, par exemple, cinq exceptions écartant la recherche de l’accord de volonté de titulaires de droit. Certaines apparaissent très larges, et leur diversité contribue à amoindrir le rôle, qui semblait pourtant important, du consentement.

Leur légitimité n’est pas à prouver, puisque « l’exception vient toujours de la raison de la règle[8] ». Néanmoins, il est intéressant de s’interroger quant à leur véritable utilité. Souvent floues, elles contribuent aussi à perdre les internautes qui ne parviennent pas toujours à savoir quand elles pourraient trouver à s’appliquer.

Cependant, leur impact n’est rien comparé à l’utilisation des données personnelles des individus, par les acteurs économiques, au détriment de la volonté des internautes. En effet, certains acteurs ont une approche très personnelle de la notion de données personnelles. Il leur arrive donc simplement de ne pas chercher à respecter la volonté des titulaires de données personnelles, même s’ils tentent de s’en cacher.

A défaut de violer complètement l’accord de volonté, ces acteurs manipulent aussi la loi et les mots pour se montrer que trop peu transparent quant à leur pratique. Les termes utilisés pour décrire les conditions de traitement des données personnelles afin d’obtenir le consentement des usagers se révèlent souvent trompeurs. Or cela affecte le rôle du consentement qui se retrouve bafoué.

De tels comportements engendrent une méfiance toujours plus grandissante à l’encontre de l’ensemble des acteurs économiques des nouvelles technologies, même envers ceux qui respecteraient scrupuleusement la loi.

.

Pour autant, la recherche et l’acquisition du consentement en matière de nouvelles technologies transparaissent, à ce jour, comme les instruments permettant ou non le traitement de données personnelles des utilisateurs. Son influence ne peut être niée. Cependant, elle demeure très limitée, et en particulier face aux exceptions légalement prévues.

Des progrès restent tout de même à faire quant à son véritable impact. De nouvelles solutions doivent aussi être envisagées pour permettre au consentement d’avoir une réelle influence. Tel serait le défi des législateurs dans l’avenir.

L’auteur Daniel Kaplan envisage ainsi de se concentrer sur la confiance numérique, plutôt que de s’évertuer à limiter les risques ou favoriser la sécurité des données personnelles. Il souligne l’importance de recréer le lien entre les acteurs et les usagers des nouvelles technologies.

.

Il apparaît aussi nécessaire de remettre en cause la responsabilité des acteurs économiques. Si les entreprises, par le biais du principe de l’« accountability »,  ont vu leur responsabilité renforcée, ce n’est pas le cas de chaque opérateur. Pourtant, ce sont ces derniers qui ont le plus à gagner du traitement des données personnelles. La responsabilité de ces acteurs mériterait d’être revue, d’autant que ces derniers sont encore aujourd’hui trop protégés au détriment des titulaires de données personnelles, pourtant bien plus fragiles.

.

Enfin, comme le souligne Christophe Caron, le droit des données personnelles est étroitement lié à d’autres droits, comme celui de la propriété intellectuelle[9] ou de la contrefaçon[10]. Il ne serait donc pas à exclure le fait de réformer ceux-ci pour assurer une meilleure protection des données personnelles et du consentement des internautes.

En attendant, usagers et internautes n’ont d’autres solutions que de se prémunir eux-mêmes contre les traitements non-souhaités de leurs données personnelles. Leur action est nécessaire pour envisager une protection de leurs données.

Gaëlle Guillevic

1ère année Master IP/IT


Sources :

[1]Sondage « Baromètre de l’innovation – diffusion des données personnelles sur le web : quelles sont les attentes des français ? », réalisé en Octobre 2014 par BVA Opinion pour le Syntech Numérique.

[2] Sondage réalisé par Havas Media Group en septembre 2014.

[3] Loi n°78-17, du 6 janvier 1978, dite Loi Informatique et Libertés du nom de la Commission à l’origine de sa proposition.

[4] Il est notamment possible de citer la loi du 6 août 2004, portant modification de la loi de 1978, ou encore celle relative à la Confiance numérique.

[5] Règlement n°2016/679 relatif aux données personnels notamment.

[6] Ces principes sont contenus aux articles 16 et suivants du règlement européen 2016/679.

[7] Le juge européen est revenu sur l’importance du consentement en cas de transmission transfrontalière dans les États membres de l’Union, dans sa décision CJUE 15 mars 2017, requ. 414/15. Celle-ci va dans le sens de l’obtention d’un nouveau consentement en cas de transfert des données vers un autre pays membre de l’Union Européenne, protégeant de ce fait la volonté des titulaires de données personnelles.

[8] Joseph Joubert, « Carnets » tome 2, 27 février 1805.

[9] C. Caron, « De l’ambition numérique à la République numérique », Communication Commerce électronique n° 10, Octobre 2015, repère 9.

[10] C. Caron, « Le secret bancaire du contrefacteur », Communication Commerce électronique n° 9, Septembre 2015, comm. 66.

MasterIPIT