Méfiez-vous des "data privacy experts"...

Ce post est un mélange entre un billet d'humeur et une volonté de réaliser une mise au point terminologique dans le domaine de compétences qui est le mien, le droit des traitements de données personnelles. Quelques années de thèse sur ce sujet m'ont fait acquérir une certaine proximité avec les textes pertinents en la matière, comme la Loi n° 78-17 du 6 janvier 1978 dite "Informatique et Libertés" ou le Règlement général relatif à la protection des données personnelles (et à leur libre circulation, si si c'est dans le titre, tout le monde l'oublie alors que c'est l'essentiel...) ainsi qu'avec les jurisprudences internes et internationales idoines. D'où une certaine liberté de ton, que j'assume bien volontiers.

Durant ces années d'études et de recherche, je ne suis jamais tombé, dans quelque texte juridique européen ou français que ce soit, sur cette expression de "data privacy". Même dans ce fichu RGPD, tellement mal écrit qu'il cumule dans sa version définitive des barbarismes comme " violation de données à caractère personnel" (on viole les données personnelles maintenant, directement, à sec? Pas le texte? ah bon...) ou des coquilles comme ce point qui se balade dans le titre précédent l'article 33 de ce texte ("Sécurité des données à.caractère personnel"). Tant qu'à martyriser la langue française à ce point, ils auraient pu également y faire figurer le barbarisme "implémenter" (ça n'existe pas en français, de grâce, "mettre en œuvre", ça a tout de même une autre gueule, non?)... Mais je m'égare.

En droit français, en droit européen et en droit de l'Union européenne, l'expression de "data privacy" ne renvoie à aucun contenu textuel. Encore plus fort, lorsque vous cherchez le terme de "Privacy" dans la version anglaise du texte du RGPD, vous ne tombez que sur deux occurrences, en note de bas de page uniquement. Alors pourquoi un tel engouement pour cette expression?

J'avoue que c'est un mystère pour moi. La Loi informatique et libertés, la convention n° 108 du Conseil de l'Europe, la directive 95/46 ou le RGPD ont un objet, qui est d'encadrer la liberté de traitement des données personnelles (regardez bien dans le titre complet des textes de l'UE...) pour la rendre compatible avec la protection effective des droits et libertés de la personne fichée. Ces textes de police administrative viennent, par les obligations préalables qu'ils imposent aux auteurs de traitement de données, tenter de vider préventivement le maximum du venin social contenu dans l'exercice de la liberté de traiter les données personnelles de son prochain. Dit autrement, ils cherchent à établir un équilibre dynamique entre les intérêts qui commandent le développement du numérique, impliquant la faculté de ficher autrui par principe, avec l'intérêt pour la vie en société que l'individu puisse jouir effectivement de ses droits fondamentaux.

En résumé, la CNIL n'est pas un procureur des droits fondamentaux, mais un arbitre entre innovation technologique et économique d'un côté, protection de l'humain de l'autre. Quand on évoque la Loi informatique et libertés, la directive 95/46 ou le RGPD, on désigne un texte qui ne vise pas en soi la protection d'un droit fondamental, la protection de l'individu, mais un équilibre entre la liberté de ficher - et toute l'innovation technologique, sociale et économique que cela implique - et la protection... mais de quoi en fait? Qu'est ce qui est protégé chez l'individu quand on "protège ses données personnelles"?

Beaucoup de "data privacy experts" répondraient à cette question avec une simplicité désarmante: "la vie privée". Bien. Une recherche de ce terme dans le texte du RGPD nous amène trois grosses occurrences. Vu la taille du texte, il est possible d'hasarder l'hypothèse selon laquelle l'objet de la protection des données personnelles ne se réduit peut être pas à la protection de la vie privée. A dire vrai, le seul texte d'encadrement des traitements de données personnelles qui comporte d'abondantes mentions à ce concept est la directive 2002/58, dont l'objet sectoriel réduit (les communications électroniques) ne permet à mon sens pas de déduire des généralités.

Mais alors me diriez-vous, pourquoi tout ramener à la "vie privée", à la "privacy", voire à la "data privacy"?

Parce que c'est plus simple. Parce que la personne qui emploie ce ou ces termes n'a pas pris le temps de réfléchir au sens des mots qu'elle emploie. Parce que la jurisprudence de la CEDH et du Conseil Constitutionnel, qui manquaient de standards suffisants, ont du broder sur la seule protection de la vie privée pour s'adapter à cette nouvelle forme de protection de l'humain (voir ma thèse sur cette question, l'espace me manquerait ici pour refaire la démonstration).

Que l'on en juge en observant les articles 7 et 8 de la Charte des droits fondamentaux de l'UE. Le premier est relatif au "Respect de la vie privée et familiale" et le second à la "Protection des données à caractère personnel". Si les auteurs de cette Charte ont pris la peine de distinguer les deux, c'est peut être parce qu'il y a une raison derrière... Cette raison, la voici.

Quand vous évoquez le "droit au respect de votre vie privée" et le "droit à la protection de vos données personnelles", vous faites référence à deux concepts très différents. Dans les deux cas, vous visez en même temps un mode de protection et un objet protégé.

Dans le premier cas, le mode de protection est la possibilité de faire cesser une intrusion dans un concept, la vie privée (parfois réduite à l'intimité de la vie privée). Dans ce cas, la modalité de protection est modeste et la notion protégée constitue une valeur bien définie (tout le monde peut se faire une idée assez précise de ce qu'implique sa propre vie privée).

Dans le second cas, la notion protégée, les "données personnelles", ne renvoie pas à une valeur qui serait protégée en soi, mais à un concept objectif: "toute information se rapportant à une personne physique identifiée ou identifiable" (RGPD, art. 4, 1). Tout de suite, c'est moins glamour que le concept de "vie privée". Ca fait un peu moins vibrer le ravioli, enfin moi je trouve. Mais si l'on se penche sur les modalités de protection de cet objet, on assiste à une chose extraordinaire: comparé aux modestes capacités d'action qu'octroie en droit la "protection de la vie privée", les moyens de "protection des données personnelles" sont riches, nombreux et variés. A la vérité, ils s'étendent à toutes les restrictions préalables à la liberté de traitement des données personnelles. Quand vous, auteur de traitement, vous respectez les principes comme la loyauté ou la transparence, vous êtes déjà dans les modalités de protection des données personnelles, et ce sans même évoquer les droits subjectifs d'accès, de rectification, d'opposition, à l'oubli etc.

En fait, là ou le droit au respect de la vie privée protège une essence relativement bien délimitée mais restreinte, le droit à la protection des données personnelles protège l'ensemble des droits et libertés de la personne fichée dès lors que ces droits font l'objet d'un traitement. Le droit à la protection des données personnelles est un droit tout entier procédural. C'est un droit ambassadeur, qui a pour vocation de protéger non pas la seule vie privée mais l'intégralité des droits et libertés de la personne humaine dans le contexte d'une atteinte par un moyen informatique. Ce que ne manquent pas de rappeler les préambules des textes précités, la Loi informatique et libertés en premier.

La conjonction entre un objet très neutre donc très plastique (l'exigence d'un traitement de données personnelles pour que la réglementation idoine s'applique) et des modalités nombreuses et variées de protection permet de couvrir un champ des violations des droits de l'homme considérablement plus important que celui garanti par la seule protection de la vie privée.

Plus précisément même, ce droit à la protection des données personnelles a pour but de protéger la liberté de la personne humaine contre le déterminisme technologique auquel aboutirait l'absence de réglementation des traitements de données personnelles. Si le droit à la protection des données personnelles protège une essence, au final, c'est bien la Liberté. Liberté qui implique la faculté de faire pour soi-même ses proches choix concernant son existence, sans être déterminé de l'extérieur, tel une tête de bétail. Lorsque autrui sait tout de vous et peut traiter cette information comme bon lui semble, il maîtrise en tout ou partie votre destinée. Et prendre à votre place des décisions vous concernant, sans même que vous n'en soyez au courant.

Bref, quand on protège les données personnelles, on protège juste la valeur fondatrice des Lumières, le socle philosophique et politique de notre société depuis plusieurs siècles.

Ca c'est l'objet de la protection des données personnelles, tel qu'il est prévu et organisé en droit positif. Toujours s'en tenir au texte, c'est du droit, pas de la grande littérature. Des décisions parfois importantes et lourdes sur les plans politiques et économiques sont fondées sur ces mots exprimant la Volonté générale, il faut être rigoureux.

Et par exemple conduire des analyses d'impact relatives à la protection des données (RGPD, art. 35) ou DPIA si on utilise l'acronyme en langue anglaise, et non pas des "études d'impact relatives à la vie privée" ou "PIA", prescrites par... aucun texte juridique. Il me paraît important de ne pas confondre vulgarisation et dénaturation. Lorsque la CNIL sort une méthode ou un logiciel relatif aux "Privacy Impact Assessment", elle propage une compréhension erronée en droit de ce qu'est le droit des traitements de données personnelles. Et je trouve cela regrettable car cela accroît la difficulté de compréhension d'un corpus juridique déjà bien gratiné.

Quand à la "data privacy", je ne sais pas ce que c'est, cela n'est pas consacré par le droit posé, pas même par la jurisprudence. Se proclamer "data privacy expert" est donc à mon sens le plus sûr signe que celui qui se prévaut de ce titre n'a qu'une connaissance très peu intime de son objet supposé de spécialité. Je sais pas vous, mais moi j'en concevrais quelques soupçons... ;-)