Genèse du principe de transparence en matière de données à caractère personnel
Dès 1974, le gouvernement de Jacques Chirac charge la « Commission informatique et libertés » de proposer un nouveau régime juridique permettant de « garantir que le développement de l’informatique, dans les secteurs public, semi-public et privé se réalisera dans le respect de la vie privée, des libertés individuelles et des libertés publiques »173. Les réflexions sont larges et ne se cantonnent pas qu’aux traitements de données nominatives. La transparence n’est pas désignée comme telle dans le rapport de la Commission en 1975174, mais de nombreuses propositions seront reprises par le Rapport « Foyer »175, puis dans un projet de loi qui donnera ensuite lieu à la LIL de 1978176. La menace pour la vie privée et les autres libertés sont identifiées comme étant essentiellement l’émanation de la puissance publique, bien qu’il soit tout de même question d’encadrer les opérateurs économiques. Il s’agit donc aussi d’une « œuvre libérale », socle de la démocratie administrative177. Ainsi, l’article 3 de la LIL évoquait déjà que « toute personne a le droit de connaître et de contester les informations et les raisonnements utilisés dans les traitements automatisés dont les résultats lui sont opposés », ce qui fonde un droit à l’information. A ce titre, de nombreuses informations doivent être communiquées par le responsable du traitement à la personne physique concernée lors de la collecte de ses données nominatives. Enfin, sauf exception, il est possible d’interroger l’entité chargée d’une telle manipulation de données « en vue de savoir si ces traitements portent sur des informations nominatives la concernant, et le cas échéant, d’en obtenir communication »178. Ces informations doivent être communiquées dans un « langage clair », et conditionnera également le cas échéant le droit d’opposition à un traitement179 ou leur rectification180, puisqu’en effet, comme le notait le « rapport Tricot », « le droit d’accès demeurerait fictif si la personne ignorait jusqu’à l’existence du fichier qui la concerne »181.
Il s’agit toutefois d’un droit de savoir qui ne se limite pas aux responsables du traitement public. Cette forme de transparence ne poursuit donc pas que la transparence de l’action administrative puisqu’elle est plus large. Au-delà des enjeux de respect de la vie privée et de la protection des autres libertés, c’est la notion d’auto-détermination informationnelle, c’est-à-dire la possibilité de garder la maitrise de ses données, par le droit à l’information, qui semble désormais l’emporter et justifier cette transparence. Ainsi, le RGPD précise désormais que « Les personnes physiques devraient avoir le contrôle des données à caractère personnel les concernant »182.
89. Paradoxalement, il s’agit d’une avancée et d’un recul. D’une part, cette transparence joue un rôle fondamental dans le cadre de l’autonomie de la volonté afin que les individus consentent aux traitements de données personnelles de la manière la plus libre et éclairée possible. D’autre part, cette approche contractualiste nuit considérablement à la protection des libertés, laissant le cas échéant l’individu face à ses propres turpitudes sous couvert de son consentement, alors que « l’émancipation individuelle par le libre choix est souvent une illusion »183.
Dès 1980, un principe de transparence fait son apparition très rapidement dans les lignes directrices régissant la protection de la vie privée et les flux transfrontières de données de caractère personnel de l’OCDE. Il est présenté comme corolaire au principe de la participation individuelle et consiste à ce qu’il « devrait être possible de se procurer aisément les moyens de déterminer l’existence et la nature des données de caractère personnel, et les finalités principales de leur utilisation, de même que l’identité du maître du fichier et le siège habituel de ses activités »184. Puis, furtivement, la directive 95/46/CE a fait entrer la notion de transparence dans le régime juridique des données personnelles185. Il n’avait cependant qu’une valeur interprétative, ce qui laissait à penser que ce principe n’était pas central, et contraste aujourd’hui avec le caractère désormais incontournable de la transparence tel que prévu par le RGPD186 qui a abrogé cette dernière. Nous le retrouvons à l’article 5 du RGPD aux côtés de la licéité et de la loyauté. Les données à caractère personnel doivent « être traitées de manière licite, loyale et transparente au regard de la personne concernée »187.
Le G29 rappelle dans ses lignes directrices188 que le principe de transparence est un dérivé du principe d’équité se trouvant à l’article 8 de la Charte des droits fondamentaux de l’Union européenne189. Il concourt donc à l’intelligibilité de ce qui est « applicables aux citoyens en leur permettant de comprendre et, au besoin, de contester lesdits processus »190. Il est également précisé que la transparence revêt trois principaux domaines, à savoir « la communication aux personnes concernées d’informations relatives au traitement équitable de leurs données; 2) la façon dont les responsables du traitement communiquent avec les personnes concernées sur leurs droits au titre du RGPD; et 3) la façon dont les responsables du traitement facilitent l’exercice par les personnes concernées de leurs droits »191.
Toutefois, à défaut d’obtenir une définition précise de la transparence, parce qu’elle n’est nullement définie par le RGPD192, il convient d’étudier au regard des dispositions de cette règlementation quelle est sa nature et son degré.
d’investigation et d’intervention, en particulier lorsque les autorités sont saisies de réclamations, ou du pouvoir d’ester en justice; qu’elles doivent contribuer à la transparence du traitement de données effectué dans l’État membre dont elles relèvent ».
186 Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données).
Le formalisme de la transparence en droit européen
Qu’il s’agisse des articles 13193,14194, 15195 ou 22196 du RGPD que nous allons étudier197, parce qu’ils concourent à la transparence des traitements de données à caractère personnel, ces obligations doivent respecter un certain formalisme afin d’assurer cette dernière.
En effet, parmi les droits de la personne visés par le chapitre III du RGPD, nous retrouvons une section dédiée à la transparence et ses modalités de mise en œuvre. Mais elle ne contient expressément qu’une seule disposition : l’article 12 de ce texte.
La communication des informations doit être opérée « en ce qui concerne le traitement à la personne concernée d’une façon concise, transparente, compréhensible et aisément accessible, en des termes clairs et simples, en particulier pour toute information destinée spécifiquement à un enfant »198. Il est à noter que pour ce faire, le responsable du traitement « prend des mesures appropriées pour fournir toute information ». La nature de cette information rassure, surtout lorsqu’on sait que la transparence est parfois réalisée par la communication d’innombrables documents visant à induire en erreur les personnes199.
Le RGPD règle également la question du support de la communication. Elle peut s’effectuer par écrit, mais aussi par d’autres moyens comme la voie électronique200. Il est notamment envisageable que, sur demande de la personne, la communication s’effectue à l’oral à la seule condition que « l’identité de la personne concernée soit démontrée par d’autres moyens »201. L’objectif de cette disposition est de ne pas effectuer cette communication à un tiers malveillant qui pourrait ensuite bénéficier d’informations sensibles sur une personne par exemple.
Concernant désormais les articles 15 et 22 du RGPD, qui nous intéressent particulièrement au titre du principe de transparence, le responsable du traitement doit faciliter la mise en œuvre des droits garantis auprès de la personne physique concernée. Toutefois, s’il n’est pas en mesure d’identifier la personne faisant l’objet d’un tel traitement, il n’est logiquement pas tenu de produire ces renseignements202.
La communication des informations à fournir cette fois-ci au titre des articles 13 et 14 du RGPD s’effectue auprès de la personne, et ce gratuitement de la part du responsable du traitement. Dans l’hypothèse où les demandes seraient « manifestement » infondées, voire excessives, ce que le responsable du traitement doit être en capacité de prouver, il peut facturer des frais raisonnables afin de prendre en compte ces coûts ou tout simplement ne pas traiter cette demande203. L’esprit du texte semble alors dirigé vers le souhait de prévenir l’entrave de l’innovation par des efforts déraisonnables et difficilement tenables économiquement. Il est à noter que les informations visées par les articles 13 et 14 du RGPD « peuvent être fournies accompagnées d’icônes normalisées afin d’offrir une bonne vue d’ensemble, facilement visible, compréhensible et clairement lisible, du traitement prévu »204. Dans l’hypothèse où ces informations sont communiquées par la voie électronique, ces icônes doivent pouvoir être lues par la machine.
Les informations qui devront être communiquées au titre du droit des personnes concernées sont à transmettre par le responsable du traitement dans un délai d’un mois à compter de la réception de la demande205. Néanmoins, si l’opération s’avère complexe ou parce que les demandes seraient trop nombreuses à traiter, ce délai peut être prolongé de deux mois206 à la condition de notifier aux demandeurs l’allongement du délai ainsi que les motifs de ce report dans un délai d’un mois.
Si le responsable du traitement « ne donne pas suite à la demande formulée par la personne concernée », il est tenu d’informer les demandeurs, dans un délai d’un mois à compter de la réception de la demande, des motifs tout en les informant des voies de recours, c’est-à-dire de la possibilité d’introduire « une réclamation auprès d’une autorité de contrôle et de former un recours juridictionnel. »207.
Quant au protocole d’amendement à la Convention européenne des droits de l’homme, appelée convention 108+208, il existe également un formalisme relatif aux modalités de communication des informations du traitement. L’article 9 du protocole fait référence à une communication sous une forme intelligible ainsi qu’ « à intervalle raisonnable et sans délai ou frais excessifs »209. Contrairement au RGPD, la convention ne prévoit pas le format des informations devant être fournies, ce qui peut malheureusement nuire à une uniformisation de ces obligations au sein des Etats partis à la convention.
Toutefois, le principe de transparence et les règles que nous avons abordées dans le cadre des modalités de la communication des informations, ne s’appliquent pas dans certaines circonstances210. Nous retrouvons donc les exceptions prévues par le texte tels que par exemple les traitements de données personnelles opérés dans le cadre de la sécurité publique ou juridictionnels au titre de la directive « Police-Justice »211.
c) la sécurité publique ;
d) la prévention et la détection d’infractions pénales, ainsi que les enquêtes et les poursuites en la matière ou l’exécution de sanctions pénales, y compris la protection contre les menaces pour la sécurité publique et la prévention de telles menaces ; e) d’autres objectifs importants d’intérêt public général de l’Union ou d’un État membre, notamment un intérêt économique ou financier important de l’Union ou d’un État membre, y compris dans les domaines monétaire, budgétaire et fiscal, de la santé publique et de la sécurité sociale
f) la protection de l’indépendance de la justice et des procédures judiciaires ;
h) une mission de contrôle, d’inspection ou de réglementation liée, même occasionnellement, à l’exercice de l’autorité publique, dans les cas visés aux points a) à e) et g) ;
i) la protection de la personne concernée ou des droits et libertés d’autrui ;
2) En particulier, toute mesure législative visée au paragraphe 1 contient des dispositions spécifiques relatives, au moins, le cas échéant :
a) aux finalités du traitement ou des catégories de traitement ; b) aux catégories de données à caractère personnel ;
c) à l’étendue des limitations introduites ;
d) aux garanties destinées à prévenir les abus ou l’accès ou le transfert illicites ;
e) à la détermination du responsable du traitement ou des catégories de responsables du traitement ;
f) aux durées de conservation et aux garanties applicables, en tenant compte de la nature, de la portée et des finalités du traitement ou des catégories de traitement ;
g) aux risques pour les droits et libertés des personnes concernées ; et
h) au droit des personnes concernées d’être informées de la limitation, à moins que cela risque de nuire à la finalité de la limitation. »
Compte tenu de la vulnérabilité des personnes physiques dans certaines circonstances, c’est-à-dire si la collecte de données à caractère personnel n’a pas lieu auprès de la personne physique concernée, le responsable du traitement doit lui communiquer certaines informations, œuvrant notamment à une meilleure transparence, dans un délai raisonnable n’excédant un mois après l’obtention de ces données212.
Notons qu’il conviendrait d’imposer au responsable du traitement qu’il soit d’avantage imposé de s’adapter à son destinataire, ce qui empêcherait par ailleurs l’envoi d’informations trop stéréotypées. En effet, entre un destinataire expert ou un profane en informatique, le niveau d’information ne devrait pas être identique.
