Rapport annuel 2015 de la CNIL

8/18/2019 Rapport annuel 2015 de la CNIL

1/100

COMMISSION NATIOL’INFORMATIQUE ET DES

rapport d’activité2015

PROTÉGER LES DONNÉES PERSONNACCOMPAGNER L’INNOVAT

PRÉSERVER LES LIBERTÉS INDIVIDU

Ladocumentation

Française


2/100


3/100

COMMISSION NATIONAL’INFORMATIQUE ET DES L

rapport d’activité2015

PROTÉGER LES DONNÉES PERSONNEACCOMPAGNER L’INNOVATIO

PRÉSERVER LES LIBERTÉS INDIVIDUE

Prévu par l’article 11 de loi du 6 janvier 1978,modifiée par la loi du 6 août 2004


4/100


5/100

Les chiffres clés de 2015

2 571DÉCISIONS ET DÉLIBÉRATIONSdont :-244 autorisations-122 demandes d’avis

1 076AUTORISATIONS DE TRANSFERT

50 339FORMALITÉS SIMPLIFIÉES

Conseiller& réglementer

510 CONTRÔLES DONT :-155 contrôles en ligne-87 contrôles vidéo93 MISES EN DEMEURE10 SANCTIONS DONT :-3 sanctions nancières-7 avertissements

Contrôler& sanctionner

96 323 DOSSIERS DE FORMALITÉS

12 463DÉCLARATIONS POURDES SYSTÈMES DEVIDÉOSURVEILLANCE

Accompagner la conformité

16 406 ORGANISMES ONT DÉSIGNÉUN CORRESPONDANT soit4.321 CILPlus de1000 participantsaux34 ateliers CIL

Informer

192 POSTESÂGE MOYEN :40ANS-64 % : Femmes-36 % : Hommes-48 % des agents

travaillant à la CNILsont arrivés il y a 5 ans

-71 % des agents occupentun poste de catégorie A

UNE ANCIENNETÉMOYENNE DE

9 ANS ENVIRON

Ressourceshumaines

Protéger

7 908 PLAINTES,dont36 % concernent internet

450 PLAINTESsuite à des refus de demandesde déréférencement auprèsdes moteurs de recherche

5 890 DEMANDES DE DROIT D’ACCÈSINDIRECT (chiers de police,de gendarmerie, de renseignement,FICOBA, etc).

8 784 VÉRIFICATIONS RÉALISÉES

34 367 COURRIERS REÇUS

136 251APPELS TÉLÉPHONIQUES

250 INTERVENTIONSLORS DE CONFÉRENCES,COLLOQUES, SALONS.

6 852DÉCLARATIONSPOUR DES DISPOSITIFSDE GÉOLOCALISATION

359AUTORISATIONS EN MATIÈREDE BIOMÉTRIE

73 LABELS

DÉLIVRÉS

78 GROUPESONT ADOPTÉDES BCR


6/100

Commission Nationalede l’Informatique et des Libert

ANALYSESINTRODUCTIONLutte contre le terrorismeet données personnelles :quelles garanties pourles citoyens ?

Les caméras-piétons utiliséespar les forces de l’ordre

Comment concilierprotection de la vie privéeet liberté de la presse ?

La protection des donnéespersonnelles au cœurde la cybersécurité

L’invalidation du Safe Harbor :le travail coordonné de la CNILet du G29 pour prendre en compteles conséquences de l’arrêt« SCHREMS »

1121822

28

32

Les chiffres clés de 2015

Avant-propos de la Présidente

Mot du secrétaire général

RAPPORT D’ACTIVITÉ 2015

SOMMAIRE

03

06

09


7/100

BILAN D’ACTIVITÉInformer le grand publicet les professionnels

Conseiller et réglementer

Accompagner la conformité

Protéger les citoyens

Contrôler et sanctionner

Anticiper et innover

La régulation internationale,un élément indispensable dela protection des donnéesà l’ère numérique

2LES SUJETS DERÉFLEXION EN 2016

3Data brokers,le pétrole et l’icebergVéhicules connectés :en route vers le packde conformité

Des objets connectésaux objets autonomes :quelles libertés dansun monde robotisé ?

BILANFINANCIER ET

ORGANISATIONNEL

4 Les membres de la CNILLes ressourceshumaines et financièresANNEXES

5Liste des sanctionsprononcées en 2015Liste des mises en demeureprononcées en 2015

38

41

46

53

62

69

73

80

82

84

92

93

88

89


8/100


“

AVANT-PROPOSDE LA PRÉSIDENTE

2015, C’EST AVANT TOUT LE CHOC,LA SIDÉRATION

année 2015 a commencé et s’est terminée dans laviolence des attentats qui ont endeuillé la France.Il y aura bien un avant et un après 2015. Chacun

d’entre nous a été intimement meurtri par la violencephysique de ces attaques qui visaient nos valeurs démo-cratiques, c’est-à-dire ce qui nous unit et nous réunitet ce qui constitue le socle de notre identité françaiseet européenne. Ces valeurs humanistes ont un senstout particulier à la CNIL, auprès des 200 agents et 17membres du Collège.

Depuis, le curseur entre impératifs de sécurité et défensedes libertés fondamentales s’est incontestablementdéplacé. Dans ce contexte particulier, sous-tendu parune intense émotion, la CNIL a maintenu son cap, àla recherche d’un équilibre délicat entre des impératifsdivers mais pas forcément antagonistes. Au-delà de leursimpacts individuels et collectifs, ces événements ont eudes effets très directs sur l’activité de la CNIL. En effet,la Commission a eu à se prononcer sur 14 textes (décretsd’application, projets de loi) en lien avec la lutte contrele terrorisme ou le renseignement. Si certains d’entreeux étaient déjà prévus, il est évident que les attentatsont accéléré leur mise en œuvre.

Concernant la loi sur le renseignement, le texte nal atenu compte de différents points que la CNIL avait sou-lignés dans son avis. Pour autant, et comme j’ai pu êtreamenée à le dire publiquement, la CNIL a regretté queles chiers de renseignement ne soient pas soumis à uncontrôle effectif a posteriori de leur régularité du pointde vue de la loi Informatique et Libertés. Or, ce contrôleconstitue une exigence fondamentale an d’asseoir lalégitimité de ces chiers dans le respect des droits etlibertés des citoyens.

La CNIL a maintenuson cap, à la recherche d’unéquilibre délicat entre desimpératifs divers mais pasforcément antagonistes. ”

La libertéenvers etcontre tout !

Isabelle Falque-Pierrotin,Présidente de la CNIL

L’


9/100

7AVANT-PROPOS DE LA PRÉSIDENT

“Le plan stratégique doit dessiner un projet pour

la CNIL, dans une période « extraordinaire », synonymed’opportunités et de défis. ”Dans un autre registre et toute proportion gardée biensûr, je qualierai aussi de choc la décision de la Cour deJustice de l’Union Européenne du 6 octobre qui a invalidéleSafe Harbor . Cette décision a constitué un vrai séismeen Europe et aux Etats-Unis, pour les entreprises, lesgouvernements, la Commission Européenne mais aussiles autorités de protection des données.

Sur le fond, la CJUE a relevé que les autorités publiquesaméricaines peuvent accéder de manière massive etindifférenciée aux données transférées dans le cadre de ladécision de Safe Harbor de juillet 2000, sans assurer deprotection juridique efcace aux personnes concernées.Constatant que la Commission n’a pas recherché si lesEtats-Unis « assurent » effectivement une protectionadéquate, la Cour a prononcé l’invalidation de la décisiond’adéquation.La question de la surveillance massiveet indiscriminée est donc au cœur de l’invalidation duSafe Harbor par la CJUE, ce qui rejoint la position duG29 qui avait considéré qu’une telle surveillance étaitincompatible avec le cadre juridique européen et que lesoutils de transferts ne pouvaient constituer une solutionà ce problème.

Les autorités européennes, sous l’égide du G29, se sontimmédiatement mises en ordre de marche pour tirer lesconséquences opérationnelles de cette décision majeurepour la protection des données de citoyens européens.Le 16 octobre, elles ont demandé aux Etats membres etaux institutions européennes d’engager, dans un délai detrois mois, les discussions avec les autorités américainesan de trouver des solutions politiques, juridiques ettechniques permettant de transférer des données versle territoire américain dans le respect des droits fonda-mentaux. Force est de constater que ce sont d’abord lesenjeux commerciaux qui ont capté l’attention des négo-ciateurs qui ont semblé minorer voire ignorer, au moinsdans un premier temps, la problématique centrale dela surveillance. Ce n’est donc seulement qu’à quelquesheures de la date butoir du 31 janvier que l’esquisse d’unnouvel accord intitulé Privacy Shield a été annoncée.

Le G29 analysera ce nouvel accord à la lumière desgaranties européennes essentielles rappelées par la CJUE.Il a déjà prévu de se réunir en séance plénière extraor-dinaire en avril prochain.

Dans le cas du Safe Harbor, les autorités de protectioneuropéennes doivent défendre une position communeeuropéenne à la fois ferme et pragmatique, dans ununivers d’une extrême complexité avec des enjeux éco-nomiques et politiques considérables. Car, ce dont ilest question nalement, c’est bienl’élaboration d’unstandard mondial permettant de garantir aux citoyenseuropéens une protection en continu sur leurs donnéeset leurs droits, y compris quand elles quittent l’Europe.

ET MAINTENANT, QUE DIRE DE 2016 ?

2016 sera assurément une année délicate, où tout peutarriver. Dans ce contexte instable, il est essentiel de xerun cap et de le maintenir car, comme 2015 en témoigne,la stabilité ne viendra pas de l’extérieur, loin s’en faut.Ce cap, c’est le plan stratégique 2016-2018 de la CNILqui le xera. Son élaboration a donné lieu à un processuscollaboratif associant l’ensemble des agents an d’ali-menter la réexion collective.

Ce plan stratégique triennal doit permettre à la CNIL,non seulement de poursuivre les évolutions déjà enga-gées mais aussi de dessiner un projet pour une périodeque l’on peut qualier « d’extraordinaire », synonymed’opportunités et de dés.

Le premier dé consiste à assurer la transition vers lerèglement européen et l’européanisation de certainesactivités de la CNIL. Le règlement européen tant attenduva être nalement voté au printemps. Son adoption endécembre 2015 constitue un aboutissement de quatreannées de travail et de négociations intenses et marqueun tournant majeur dans la régulation des données per-sonnelles. En effet, nous passerons d’un cadre nationalà un cadre prioritairement européen. Il faudra donc que


10/100


“La CNIL

est prête à se réinventerpour être plus agile,plus pragmatique. ”

la CNIL intègre, dans l’ensemble de son fonctionnement,la dimension européenne de la régulation.

Cette adoption signie aussi le début d’un compte àrebours qui va durer deux ans, jusqu’à la mise en œuvreeffective du règlement en 2018. La CNIL devra adap-ter ses procédures, ses outils et le rôle de la formationplénière mais aussi suivre de près la refonte de la loiInformatique et Libertés qui s’appliquera encore pourles traitements des autorités publiques et pour certainstraitements de santé.

L’exercice est complexe puisqu’il s’agit de changer com-plètement de logiciel tout en continuant d’ici à 2018 deveiller à la bonne application du cadre juridique actuel.Pour autant, cette période de transition constitue uneopportunité pour la CNIL, an de lui permettre de mettreà jour ses doctrines, ses pratiques, et ses outils.

En introduisant un pouvoir de décision conjointe desautorités de protection des données de toute l’Unioneuropéenne, le règlement implique de systématiser lacoopération, le partage d’information avec nos homolo-gues. Il implique également de coopérer en amont, austade de la conformité, an de pouvoir fournir aux acteurseuropéens des outils harmonisés dont ils sont deman-deurs (référentiels, labels, packs de conformité, etc.).

Le deuxième dé que la CNIL doit relever consiste àancrer son action dans l’accompagnement et la faci-litation de la transition numérique des acteurs écono-miques et publics. Ce tournant, bien que déjà engagéces dernières années, s’accentuera dans les trois ans àvenir. La CNIL doit accompagner le développement de laconance dans les services numériques dans une logiquede conformité et de respect des droits des personnes.Pour ce faire, elle sera plus ouverte sur l’extérieur etplus proche des acteurs de terrain, elle développera unedoctrine plus « mobile » ainsi que de nouveaux outilspratiques (outils d’auto-évaluation, nouveaux labels ouréférentiels, etc.).

Enn, le dernier dé c’est de faire de la CNIL, la réfé-rence pour le grand public en matière de numérique. L’une des forces de la CNIL réside dans sa capacité às’adresser à une communauté de publics très divers etnotamment au grand public. Les citoyens sont toujoursplus nombreux à s’adresser à la CNIL qu’ils identientcomme le service public de référence sur le numérique et

un interlocuteur de conance comme en témoignent les7 900 plaintes reçues en 2015 (soit un nombre record),les 136 000 appels, les 4 385 requêtes électroniquesvia le bouton Besoin d’aide dont les questions/réponsesont été consultées 122 000 fois.

Le projet de loi pour une République Numérique confortele rôle de la CNIL et prévoit de lui coner le soin d’organser la réexion sur l’éthique du numérique. Cette missiondoit permettre d’associer la société civile à des débatspublics sur les questions de société nouvelles posées parle numérique, et ce, au-delà du strict cadre des donnéespersonnelles. Cette nouvelle mission de réexion, la CNILne l’entend pas la porter seule mais au contraire jouerun rôle de catalyseur du débat citoyen et d’animateurde communauté.

Tous ces dés sont immenses. Ils illustrent la mutationconsidérable de notre société qui est en cours du fait dunumérique.La CNIL est prête à relever ces dés et elle nele fera pas seule. Dans un univers numérique complexe,foisonnant, multiple et évolutif, elle partagera la chargede la régulation avec d’autres, en France et en Europe,en développant de la corégulation et de l’interrégulation.

Mais les questions ne sont pas seulement techniques,juridiques ou économiques. Elles n’intéressent pas seu-lement les professionnels ou les experts. Ce qui est encause est le plus souvent une vision de la société, unchoix de valeurs.

À ce titre, je voudrais dire que la CNIL est résolument auservice des libertés.Dans le contexte actuel,l’ensembledes agents et membres de la CNIL souhaite travailleravec toutes les composantes de la société et participeravec audace et détermination à la mise en place d’unesociété numérique à visage humain.


11/100

9MOT DU SECRÉTAIRE GÉNÉRA

Faire de la CNIL un véritablerégulateur tourné vers ses publics.

”“

ou des nouvelles législations. Enn, les évolutions etprojets menés l’ont été dans un contexte marqué par lapoursuite de la croissance de l’activité de l’institution.A titre indicatif, les plaintes reçues par la CNIL ont bondde 36 % en un an, tandis que les autorisations adoptéesont, elles, augmenté de plus de 9 %. La Commissiona pu, pour cela, s’appuyer sur la détermination et l’enga-gement des quelques 200 femmes et hommes qui com-posent ses services, et qui, animés de la conviction queprotection des données personnelles et innovation vont

de pair dans un Etat de droit, se sont attachés à rendreun service public performant et de qualité.

Pour le grand public, tout d’abord, la CNIL a mené àbien, au cours de l’année 2015, trois projets fondamen-taux. Le premier est celui de la refonte du site internet :désormais adapté à tous les supports de consultations(smartphones, tablettes ou ordinateurs), il a été conçupour répondre aux besoins spéciques, soit des parti-culiers, soit des professionnels. Son lancement a étéprécédé par l’amélioration du téléservice des « plaintes

MOT DU SECRÉTAIRE GÉNÉRAL

a CNIL avait, en 2012, arrêté un plan d’orienta-tions stratégiques et opérationnelles pour les années2012-2015. L’année 2015, dont le présent rapport

annuel reète l’activité et une partie des réexions defond, a donc été marquée par l’aboutissement de nom-breux projets conformes à ces orientations : faire de laCNIL un véritable régulateur tourné vers ses publics,qu’il s’agisse d’informer et de protéger les droits despersonnes, ou d’accompagner la mise en conformité desentreprises, administrations ou associations qui traitent

des données.Ce plan ambitieux était en avance de phase sur le projetde règlement européen, qui a fait l’objet d’un accordpolitique en décembre 2015 et est en cours d’adoptiondénitive. Il s’est traduit par l’évolution des métiers dela CNIL, notamment vers l’accompagnement de la miseen conformité. Comme les années précédentes, il a étéconduit dans un environnement lui-même en forte évo-lution, que ce soit sous l’effet du progrès technologique,des bouleversements sociétaux induits par le numérique

L

Édouard Geffray, Secrétaire général

La CNIL en 2015 :pour une régulationperformanteet de qualité


12/100


en ligne » en avril 2015. Désormais, les personnes quisaisissent la CNIL sont accompagnées pour mieux com-prendre leurs droits et mieux formuler leurs demandes.Enn, la CNIL a développé un nouveau service, intitulé« Besoin d’aide », qui permet à tout internaute d’inter-roger une base de connaissances en langage naturelet d’obtenir ainsi les réponses aux questions les plusproches. En l’absence de réponse satisfaisante, il peutsaisir la CNIL par courriel. Ce service a été interrogé,entre son lancement le 1er juillet et le 31 décembre 2015,plus de 122 000 fois, 4 385 personnes ayant sollicitédes informations complémentaires par courriel. La basede questions-réponses est constamment enrichie pourapporter des réponses au plus près des besoins despersonnes. Ces trois projets ont ainsi permis d’améliorersignicativement le service aux publics.

La CNIL est en effet de plus en plus sollicitée par lesparticuliers, et est amenée à traiter de sujets de plus enplus complexes, qu’il s’agisse d’articuler protection dela vie privée et droit du public à l’information, commeen matière de déréférencement ou d’enjeux techniquescomplexes (comme en matière de cybersécurité).

Pour les acteurs du traitement des données, 2015a également été l’année de la maturité des nouveauxoutils de conformité de la CNIL, ce qui est essentieldans la perspective du règlement européen. C’est ainsique les labels ont conrmé leur ancrage dans les outilsde conformité, avec les premiers renouvellements deceux délivrés en 2012, mais aussi les premiers labels« gouvernance des données personnelles », qui valo-risent les entités, publiques ou privées, qui optent pourune organisation interne vertueuse pour la protectiondes données. De la même manière, les CIL ont fêtéleurs 10 ans, et passé, cette même année, la barre des

15 000 organismes pour atteindre 16 500 entités dotéesde cette fonction.

Or, recourir à un CIL est aujourd’hui le meilleur moyenpour une entreprise ou une administration de se préparerau règlement européen sur la protection des donnéespersonnelles à venir. Le CIL est en effet le « chef d’or-chestre » interne de la conformité à la loi informatiqueet libertés, et sera rendu obligatoire dans de nombreuxcas en 2018, dans le cadre du règlement européen.Entreprises et administrations ont donc intérêt à se doter

dès maintenant de CIL pour monter en puissance en vuedu règlement européen, et bénécier ainsi de l’accom-pagnement de la CNIL.

Enn, les packs de conformité sont également ancrésdans le paysage de la conformité, et deux nouveauxpacks sont envisagés en 2016 pour accompagner l’ou-verture des données publiques et le développement desvéhicules connectés dans le respect du droit à la pro-tection des données.

S’agissant enn des pouvoirs publics, la CNIL a étéparticulièrement sollicitée, dans le contexte de l’adop-tion de textes relatifs à la lutte contre le terrorisme.Elle a ainsi reçu 122 demandes d’avis ou d’autorisa-tions de la part d’administrations centrales de l’Etat,et en dépit d’une forte hausse (+39 %), a réussi à dimi-nuer les délais de traitements de plus de 10 %.

Le présent rapport annuel retrace l’ensemble de cesévolutions, non seulement quantitatives, mais égale-ment qualitatives. La CNIL se veut résolument tournéevers ses publics, dans un souci de qualité techniqueet juridique, et de performance.

2015 a été l’annéede la maturité desnouveaux outils deconformité de la CNIL. ”“


13/100

ANALYSESLutte contre le terrorisme et données personnelles :

quelles garanties pour les citoyens ?

Les caméras-piétons utilisées par les forces de l’ordre

Comment concilier protection de la vie privée et liberté de la presse ?

La protection des données personnelles au cœur de la cybersécurité

L’invalidation du Safe Harbor : le travail coordonné de la CNILet du G29 pour prendre en compte les conséquences de l’arrêt « SCHRE


14/100


Lutte contre le terrorismeet données personnelles :quelles garanties pour

le citoyen ?La série d’attentats tragiques qui a marqué l’année 2015 a naturellement conduit lepouvoirs publics à s’interroger sur les moyens et l’efficacité des services de renseignement.Le Gouvernement a ainsi pris plusieurs mesures visant à renforcer les moyens d’actiodes services de renseignement, dont certaines intéressent directement la vie privée et lprotection des données personnelles.

La CNIL a donc été particulièrementsollicitée durant cette année sur cesquestions et sur les modalités d’articu-lation entre les impératifs de sécurité etde liberté qu’elles soulèvent. Dans cecadre, son rôle est, au-delà d’une dicho-tomie réductrice entre sécurité et libertés,de s’assurer que des garanties, réelleset effectives, seules à même de garantirl’équilibre nécessaire au pacte républi-cain, accompagnent le renforcement desmoyens mis à la disposition des servicesanti-terroristes et évitent toute atteintedisproportionnée au droit fondamentalau respect de la vie privée.

La lutte contre le terrorisme nécessitela collecte et l’analyse des informationspertinentes et, par conséquent, de don-nées à caractère personnel. Le législateurest dès lors intervenu à de nombreusesreprises en cette matière, tant sur le voletjudiciaire que sur le volet administratif dela lutte anti-terroriste, an de prévoir lesgaranties légales propres à assurer uneconciliation équilibrée entre l’objectif de

valeur constitutionnelle de sauvegarde del’ordre public et le droit au respect de lavie privée. Ainsi, depuis les années 80 etjusqu’à l’adoption de la loi du 24 juillet2015 relative au renseignement,prèsd’une vingtaine de lois sont intervenuesen la matière. Parmi les plus substan-tielles, on peut citer la loi du 10 juillet1991 relative au secret des correspon-dances émises par la voie des communi-

cations électroniques, qui a notammentcréé le dispositif des interceptions desécurité (« écoutes administratives »), laloi du 23 janvier 2006 relative à la luttecontre le terrorisme (« LAT »), ou encorela loi du 18 décembre 2013 relative àla programmation militaire (« LPM »).

La LAT a en effet doté les services derenseignement de nombreux pouvoirs enposant les premiers jalons du cadre juri-

LUTTE CONTRE LE TERRORISME ET PROTECTION DES DPERSONNELLES : UNE LONGUE HISTOIRE


15/100

1BILAN D’ACTIVITÉ

dique applicable aux réquisitions admi-nistratives des données de connexion,en permettant la mise en œuvre de dis-positifs vidéo dans les lieux publics auxns de prévention d’acte de terrorismeou encore en autorisant la surveillancedes déplacements des personnes sus-ceptibles de participer à une actionterroriste, aussi bien au niveau natio-nal (dispositifs de lecture automatiséedes plaques d’immatriculation ou LAPI)qu’au niveau international, en autorisantla mise en œuvre de traitements de don-nées recueillies à l’occasion de déplace-ments internationaux aériens.

La LPM a également permis un ren-forcement des moyens dont disposent lesservices de la« communauté du rensei-

gnement » en leur permettant d’accéderà certains traitements administratifs etjudiciaires, en modiant substantielle-ment le régime juridique applicable auxréquisitions administratives de donnéesde connexion et en permettant, parexemple, la géolocalisation des termi-naux mobiles des personnes en tempsréel. Elle a en outre autorisé la mise enœuvre, à titre expérimental, du système« API-PNR France », qui permet la col-lecte des données relatives aux passa-gers aériens et leur utilisation par lesagents de la police et de la gendarme-rie nationales, des douanes, ainsi quedes services de renseignement spécia-lisés, notamment à des ns de lutteanti-terroriste.

La CNIL s’est prononcée sur la plu-part de ces dispositions législatives,ainsi que sur leurs textes réglementairesd’application. Elle a ainsi pu examiner laproportionnalité de ces différents dispo-sitifs au regard du droit à la protectiondes données et faire état de ses analysesaux pouvoirs publics. Si ces observationsn’ont pas toutes été suivies d’effets, uncadre juridique a été progressivementdéni quant à l’utilisation des différentstraitements de données à caractèrepersonnel auxquels ont recours les ser-vices de renseignement. Ses évolutionstémoignent en outre de l’accroissementdes moyens de surveillance mis à dis-position du renseignement ces dernièresannées.

L’année 2015 se caractérise par lenombre substantiel de mesures légis-latives et réglementaires adoptéesconcernant le traitement de donnéespersonnelles à des ns de lutte anti-terroriste, au premier rang desquellesgurent les nombreuses dispositionsde la loi du 24 juillet 2015 relative aurenseignement.

En outre, des dispositifs d’une nou-velle ampleur, en termes de volume dedonnées traitées comme de modalitésde collecte, ont été légalisés.

Du point de vue de la collecte et dutraitement de données à caractère per-sonnel,trois tendances peuvent ainsiêtre observées :

la création de nouveaux chiersayant pour objet la lutte anti-terroriste,ou la modication de certains chiersexistants utilisés en la matière ;

la surveillance et le contrôle descommunications électroniques, ycompris par l’utilisation de nouvellestechniques d’enquête et de recueil dedonnées ;

l’évolution du renseignement, avecla possibilité de collecter un volumeimportant de données aux ns d’iden-

tier les personnes à surveiller. La loirelative au renseignement contient enelle-même ces trois tendances.

La création de nouveauxfichiers et la modificationde fichiers existants

À la suite des attentats de janvier2015, le Gouvernement avait annoncéla création d’un nouveau chier desuivi des personnes mises en cause ou

condamnées pour des infractions liéesau terrorisme. La CNIL s’est pronon-cée, le 7 avril 2015, sur un projet dedispositions législatives visant à créerun chier national des auteurs d’in-fractions terroristes (FIJAIT), intégréespar voie d’amendement au projet de loirelatif au renseignement. Cet avis a étérendu public par le Gouvernement.

Les conditions de mise en œuvre dece traitement sont très proches de cellesdu chier judiciaire national automa-

tisé des auteurs d’infractions sexuellesou violentes (FIJAISV), sur lequel laCommission s’est prononcée à plusieursreprises et qui a fait l’objet d’un examentant par le Conseil Constitutionnel quepar la Cour européenne des droits del’homme. L’objectif est en effet de dis-poser d’un chier d’adresses des auteursd’infractions liées au terrorisme, and’assurer un suivi de ces personnes autravers de différentes obligations (jus-

tication d’adresses, des déplacementsà l’étranger, etc.).Dans la mesure où des garanties

identiques au FIJAISV ont été prévuespour le FIJAIT, la Commission a consi-déré que celles-ci étaient a priori denature à assurer un équilibre entre lerespect de la vie privée et la sauvegardede l’ordre public. Elle a toutefois formuléplusieurs observations an de limiter austrict nécessaire les atteintes aux droitset libertés fondamentaux.

RETOUR SUR L’ANNÉE2015

En 2015, la CNIL s’est prononcéesur 14 projets de dispositions législativesou réglementaires directement relativesau traitement de données à des nsde renseignement ou de lutte contre

le terrorisme.


16/100


Ainsi, la CNIL a rappelé que la conser-vation d’adresses non mises à jour n’ap-parait pas utile au regard de la nalité desuivi des personnes concernées, ce quiest le cas des adresses conservées au-delà de la date de n des obligations quipèsent sur ces personnes, de même quela conservation, au-delà de cette date,de données qui pourraient déjà gurerdans d’autres chiers judiciaires (TAJet casier judiciaire, par exemple) ou derenseignement (tel CRISTINA). Sur lesdestinataires de ces informations, elle aestimé que les autorités judiciaires et lesservices spécialisés de renseignement nedevaient pouvoir accéder au FIJAIT quedans le seul cadre de leurs missions delutte contre le terrorisme et que, s’agis-

sant des préfets et administrations del’État, le périmètre des enquêtes leur per-mettant de recevoir communication desdonnées devait être précisé et restreint àcertaines activités ou professions en lienavec les infractions pouvant donner lieuà une inscription dans le chier.

En avril 2015, la CNIL a égalementexaminé un traitement, mis en œuvre parl’administration pénitentiaire, relatif« au

suivi des personnes placées sous mainde justice et destiné à la préventiondes atteintes à la sécurité publique »,dénommé « CAR » . L’avis de la CNIL surle projet de décret en portant créationn’a pas été rendu public, car le minis-tère de la justice a entendu se prévaloirde plusieurs dérogations dont peuventbénécier les traitements intéressant lasécurité publique et la sûreté de l’Etatprévues par la loi du 6 janvier 1978modiée, et en particulier de l’absencede publication dudit décret et de l’avisde la CNIL correspondant. Néanmoins,il n’a pas exclu ce traitement du contrôlede la Commission. Ce traitement, na-

lement créé par décret du 10 novembre2015 et qui est donc pleinement soumisà ses pouvoirs de contrôle, a bénéciéd’un avis « favorable avec réserve » dela CNIL.

En parallèle de la création de cesnouveaux traitements, plusieurs chiersont été modiés en 2015.

Dans le cadre des débats parlemen-taires relatifs à la loi sur le renseigne-ment, le Gouvernement a ainsi déposéun projet d’amendement visant à per-

mettre aux services de renseignementde police et de gendarmerie d’accéderau traitement des antécédents judi-ciaires (TAJ), que la CNIL a déjà exa-miné à de nombreuses reprises. Pourrappel, le TAJ est le chier d’antécédentscommun à la police et à la gendarme-rie nationales, qui s’est substitué auxchiers STIC et JUDEX dénitivementsupprimés.

La CNIL s’est prononcée sur les dis-positions législatives projetées, le 7 mai2015, puis sur le décret d’applicationprévu par la loi relative au renseigne-ment, le 10 décembre. Le cadre juri-dique de l’accès au TAJ par les servicesde renseignement spécialisés ainsi quepar les services concourant à la missionde renseignement a ainsi été substan-

tiellement modié : pour la protectiondes intérêts fondamentaux de la Nation,ces services peuvent dorénavant prendreconnaissance des données relatives àl’ensemble des procédures judiciairesdonnant lieu à enregistrement dans leTAJ, y compris aux procédures en courset aux procédures ayant donné lieu àune mention, à l’exclusion toutefois desdonnées relatives aux victimes.

Le traitementdénommé « FSPRT »a également fait l’objet de modica-

tions. Tout comme le traitement CAR,les décrets relatifs à ce chier ne fontpas l’objet d’une publication mais le pou-voir de contrôle de sa mise en œuvrepar la CNIL n’a pas été écarté par leGouvernement. Si les caractéristiques dutraitement initial lui avaient permis derendre un avis « favorable » n 2014, laCNIL s’est montrée plus réservée sur lesmodications qui lui ont été présentées,ce qui l’a conduit à rendre un avis « favo-rable avec réserve » à ces modications,actées par décret du 30 octobre 2015.

Enn, les conditions de mise enœuvre de quatre autres chiers ont étémodiées cette année dans le cadre del’application de la loi du 13 novembre2014 renforçant les dispositions rela-tives à la lutte contre le terrorisme.

Cette loi a en effet créé les dispositifsd’interdiction de sortie du territoire etd’interdiction administrative du territoire.L’adoption de ces nouvelles mesures anécessité la modication du chier despersonnes recherchées (FPR), du trai-tement automatisé de données à carac-tère personnel relatif aux passeports(TES), du traitement relatif aux cartesnationales d’identité sécurisées (FNG)ainsi que du chier des objets et desvéhicules signalés (FOVeS).

D E R N I È R E M

I N U T E Le FIJAIT créé par décret

du 29 décembre 2015Le 3 décembre 2015, la CNIL a été amenée à se prononcer surle projet de décret d’application des dispositions législativesfinalement adoptées relatives au FIJAIT. Elle a ainsi pu releverune diminution substantielle tant des durées de conservationdes données que des durées des obligations incombant auxpersonnes inscrites dans le FIJAIT, tout en soulignant que,pour certaines des infractions concernées, les durées deconservation des données n’étaient pas similaires aux duréespendant lesquelles les personnes inscrites au FIJAIT sontsoumises à ces obligations. La CNIL a ainsi pu rappeler qu’ilappartenait au ministère concerné de prendre toutes mesuresutiles pour que les données inexactes ou incomplètes soientrectifiées ou effacées, conformément à l’article 6-4° de la loi« Informatique et Libertés ». Le nouveau fichier national desauteurs d’infractions terroristes a finalement été créé pardécret du 29 décembre 2015. La gestion de ce traitement estconfiée au service du casier judiciaire national, sous l’autoritédu ministre de la Justice et sous le contrôle d’un magistrat.


17/100


La CNIL a ainsi été saisie d’un pro-jet de décret portant amélioration deséchanges d’informations entre servicesdans le cadre de la lutte contre le ter-rorisme. Celui-ci visait à tenir comptedu dispositif d’interdiction de sortie duterritoire, qui emporte, dès son prononcéet à titre conservatoire, l’invalidationdu passeport et de la carte nationaled’identité, en permettant la transmissionaux autorités policières des Etats euro-péens la transmission des informationsrelatives à ces titres. Ce décret visaitégalement à permettre l’inscription auFPR des personnes faisant l’objet d’uneinterdiction de sortie du territoire et desétrangers faisant l’objet d’une interdic-tion administrative du territoire. La CNIL

s’est prononcée sur ce décret, publié le15 février 2015, par délibération du 29janvier 2015.

Le FOVeS a également été modié,par arrêté du 18 février 2015 pris aprèsavis de la CNIL, an de permettre l’enre-gistrement des décisions d’invalidationde documents prononcées par les auto-rités administratives. Tout comme pourles trois autres chiers concernés (FPR,TES et FNG), la Commission a notam-ment rappelé l’importance de s’assurerde la mise à jour des données gurantdans ce traitement an de prendre encompte, dans les meilleurs délais, toutchangement dans la situation des per-sonnes ou des objets inscrits ou signalésdans ces chiers. La mise à jour rapideet effective des quatre chiers concernés

est en effet nécessaire an de limiter lesconséquences défavorables qui résulte-raient du maintien, dans ces chiers,de personnes ne remplissant plus lesconditions pour y être enregistrées.

La surveillance d’Internet et descommunications électroniques

L’utilisation croissante, par lescitoyens, des moyens de communica-tion électroniques, et tout particulière-ment d’Internet, a conduit le législateurà adopter plusieurs dispositions ces der-nières années en matière de contrôle etde surveillance de ces moyens par lesservices en charge de la lutte contre leterrorisme.

La loi n° 2014-1353 du 13

novembre 2014 renforçant les dispo-sitions relatives à la lutte contre le ter-rorisme a ainsi autorisé leblocage etle déréférencement administratifs dessites Internet provoquant à des actes

de terrorisme ou en faisant l’apologie,renforçant un arsenal législatif impor-tant en matière de lutte contre ce phé-nomène, régulièrement complété et surlequel la Commission a pu se prononcerà plusieurs reprises.

De manière générale, ces mesuresadministratives, précisées par deuxdécrets du 5 février et du 4 mars 2015pris après avis de la CNIL, permettentd’associer directement les prestatairestechniques dans la lutte contre le ter-rorisme et de bloquer ou déréférencerdes sites ne faisant pas l’objet d’inves-tigations judiciaires. An de garantir lerespect des libertés individuelles, la loiprévoit qu’une personnalité qualiée,désignée par la CNIL en son sein, s’as-

sure de la régularité de ces différentesdemandes et des conditions d’établisse-ment, de mise à jour, de transmission etd’utilisation de la liste des sites faisantl’objet d’une mesure de blocage.

I N F O + Monsieur Alexandre Linden, commissaire au sein de la CNIL,

a été désigné le 29 janvier comme personnalité qualifiéechargée du contrôle de la mise en œuvre de ce nouveaudispositif. La loi pour la confiance dans l’économie numérique,modifiée par la loi précitée du 13 décembre 2014, prévoitque cette personnalité doit rendre chaque année un rapportpublic d’activité, distinct du rapport annuel de la CNIL, surles conditions d’exercice et les résultats de son activité,remis au Gouvernement et au Parlement.

Un an auparavant, la LPM avait étél’occasion de modier le régime juridiqueapplicable aux accès administratifs auxdonnées de connexion, an d’élargir lesmodalités d’accès à ces données par les

services anti-terroristes.La loi relative au renseignement anéanmoins constitué un tournant s’agis-sant de la surveillance des communica-tions électroniques. En effet, son principalobjet, du point de vue de la protection desdonnées personnelles, a été d’autoriserou de légaliser denouvelles modalitésde collecte, pour certaines déjà utili-sées par les services de renseignement,des données transitant sur les réseauxélectroniques.

La création de plusieurs « techniquesde recueil du renseignement », doréna-vant encadrées par les dispositions ducode de la sécurité intérieure (CSI), a ainsiconsacré l’importance majeure des outils

de surveillance de ces réseaux dans lecadre de la lutte contre le terrorisme.Comme l’a rappelé la CNIL dans sonavis du 5 mars 2015 sur le projet de loi,rendu public à la demande du Présidentde la Commission des Lois de l’AssembléeNationale, ces dispositions ont en outrepermis la mise en œuvre de mesures desurveillance beaucoup plus larges quecelles autorisées ces dernières années.

Les conditions deréquisition « clas-sique » des données de connexion ont

ainsi été modiées, en allongeant subs-tantiellement leur durée de conserva-tion par les services de renseignement :initialement conservées pendant un an,puis trois ans avec la LPM, elles peuvent

dorénavant être conservées cinq ans parces services. Lesinterceptions de sécu-rité, c’est-à-dire les écoutes administra-tives des contenus des conversationsélectroniques (téléphone, mail, chat,etc.), ont été étendues aux personnesappartenant à l’entourage des personnessurveillées.

La loi relative au renseignement a enoutre étendu aux services de renseigne-ment l’emploi de moyens déjà autorisésdans la cadre de la police judiciaire et


18/100


autorisé l’usage de nouvellestechniques.

Par exemple, elle a prévu la possibi-lité denouveaux dispositifs techniquespermettant d’accéder à des donnéesinformatiques stockées dans un systèmeinformatique, qui s’afchent sur l’écrand’un utilisateur, que celui-ci introduitpar saisie de caractères ou encore quisont reçues et émises par des périphé-riques audiovisuels. Ces « key-loggers »,que peuvent utiliser dans certainesprocédures les autorités judiciaires,permettent ainsi de collecter toutes lesdonnées informatiques produites oureçues par une personne sur son termi-nal électronique.

Les dispositions du CSI autorisent la

pose de« sondes » qui permettent derecueillir les informations traitées parles opérateurs relatives à une personnepréalablement identiée comme présen-tant une menace. Ce recueil s’effectueraen temps réel et directement sur sol-licitation du réseau des opérateurs decommunications électroniques.

Elles permettent en outre l’installa-tion, chez les opérateurs, de dispositifspermettant de détecter, par surveillancedu trac, des connexions susceptiblesde révéler une menace terroriste. Ces« boîtes noires » ou « traitements algo-rithmiques » visent ainsi à détecter dessignaux dits faibles de préparation d’unacte de terrorisme à partir de critèrespréétablis.

Des appareils permettant de capterà distance les données de connexioncomme les correspondances échangéespourront également être utilisés par lesservices de renseignement. Ces« IMSI-catchers » constituent en pratique defausses antennes relais, installées à proxi-mité (de l’ordre d’une centaine de mètres,dans l’état actuel des techniques) de la

personne dont on souhaite intercepter leséchanges électroniques, an de capterl’ensemble des données transmises entrele périphérique électronique et la véritableantenne relais.

Dans son avis sur le projet de loi, laCommission a observé que, parmi cestechniques, certaines sont susceptiblesde conduire à une surveillance massiveet indifférenciée des personnes.

Elle a rappelé que de telles atteintesau droit au respect de la vie privée, et

notamment de la protection des donnéesà caractère personnel, peuvent être justi-ées au regard de la légitimité des objec-tifs poursuivis et des intérêts en cause etque les outils nécessaires à l’exercice desmissions des services de renseignementdoivent être adaptés aux nouvelles formesd’actions des personnes et organismesmenaçant ces principes fondamentaux.

Néanmoins, elle a rappelé que lesatteintes portées au respect de la vie privéedoivent être limitées au strict nécessaire.Elles doivent être adéquates et propor-tionnées au but poursuivi et des garantiessufsantes doivent être prévues pour enencadrer et contrôler la mise en œuvre.

À cet égard, si la CNIL a pu releverplusieurs garanties dans le projet qui lui aété soumis, elle a formulé de nombreusesobservations complémentaires, en parti-culier concernant les mesures de surveil-lance des communications électroniques,an que ces dernières soient davantageencadrées. De fait, plusieurs de ses pro-positions ont été prises en compte etintégrées dans la loi nalement adoptée,sensiblement différente du projet de loi

qui lui avait été soumis.

D’une surveillance individuelleciblée à l’identificationde personnes considéréescomme « à surveiller » :un changement d’échelleen matière de renseignement

Au-delà des mesures concrètes adop-tées en 2015 par le législateur ou lepouvoir réglementaire, la Commissiona constaté, dans sa délibération sur la

loi relative au renseignement, que lesmesures de surveillance ne portent plusuniquement sur des personnes identiéescomme présentant une menace terro-riste : elles peuvent également reposersur la collecte généralisée et indifféren-ciée d’un volume important de données,parmi lesquelles les services de rensei-gnement devront ensuite identier lesdonnées utiles à l’accomplissement deleur mission.

À titre d’exemple, si les conditionsexactes de mise en œuvre des « boîtesnoires » ne sont pas encore connues,ces dispositifs reposent sur un postulat :identier les personnes présentant unemenace nécessite de collecter et traiterles données d’un groupe plus large, enl’espèce des utilisateurs des réseaux decommunications électroniques.

En effet, ces traitements de détectiondes connexions obligeront les opérateurs,non plus seulement à conserver les don-nées qui transitent par leurs réseaux auxns de leur éventuelle mise à disposi-tion des autorités, mais à exploiter lesinformations relatives à toutes les com-

munications répondant aux paramètresétablis par les services de renseignement.De nombreuses données, principalementrelatives à des personnes ne présen-tant aucune menace pour la sûreté del’Etat, seront donc concernées par cesdispositifs.

Il est donc nécessaire que ces évolu-tions soient encadrées par des garantiespermettant d’assurer une réelle protectiondes données.


19/100


Des garanties substantiellescontenues dans la loi relativeau renseignement

La CNIL avait souligné, dans son avisdu 5 mars 2015, certaines mesures denature à limiter les atteintes dispropor-tionnées à la vie privée des citoyens, aupremier rang desquelles gurent la déli-mitation du périmètre des activités desservices de renseignement, la dénitionde leurs missions, des techniques qu’ilspeuvent mettre en œuvre et des condi-tions de contrôle a prioriet a posteriori de ces mesures. Des garanties supplé-

mentaires ont ensuite été prévues dans lecadre des travaux parlementaires, repre-nant pour partie les recommandationsde la CNIL.

Le projet de loi nalement adopté aété examiné par le Conseil constitution-nel, qui a estimé que, à l’exception desmesures de surveillance internationale etdes procédures dites « d’urgence opéra-tionnelle », les dispositions relatives auxtechniques de recueil du renseignementprévoient des moyens d’encadrement suf-sants au regard des principes constitu-tionnellement garantis (droit au respectde la vie privée, liberté de communicationet droit à un recours juridictionnel effectif)et ne portent dès lors pas d’atteinte dis-proportionnée à ces droits fondamentaux.

Ces dispositions ont donc été décla-rées conformes à la Constitution, notam-ment au regard des garanties principalessuivantes :

les nalités précises pour lesquelleschacune de ces techniques peut être miseen œuvre, les techniques les plus intru-sives ne pouvant être mises en œuvre quepour certaines de ces nalités ;

le respect du principe de subsidia-rité pour la mise en œuvre de ces tech-niques, certaines n’étant autorisées quelorsque les renseignements ne peuventêtre recueillis par un autre moyen ;

les modulations de leurs conditionsexactes de mise en œuvre, permettantd’assurer la proportionnalité des mesures :en ce qui concerne leurs modalités etleurs durées d’autorisation de mise enœuvre, les durées d’exploitation et deconservation des informations recueil-

lies, les lieux dans lesquels les dispo-sitifs techniques peuvent être installésou encore les catégories de personnesfaisant l’objet de telles mesures (avocats,parlementaires, etc.) ;

la possibilité de mettre en œuvrede telles techniques réservée aux seulsagents individuellement désignés et spé-cialement habilités ;

le contrôle hiérarchique sur les auto-risations de mise en œuvre de ces tech-niques, qui relèvent du Premier ministre ;

le contrôle exercé par une nouvelleautorité administrative indépendante, la

Commission Nationale de Contrôle desTechniques de Renseignement (CNCTR),notamment chargée d’examiner préala-blement toute demande d’autorisationd’une telle technique et de contrôler lamise en œuvre de cette dernière ;

l’indépendance de la CNCTR et l’ef-fectivité de son contrôle ;

la possibilité pour toute personne desaisir la CNCTR et le Conseil d’Etat auxns de vérier qu’aucune technique derenseignement n’est irrégulièrement miseen œuvre à son égard.

Ainsi, le législateur a soumis les tech-niques de renseignement àdeux types decontrôle, le premier exercé par la CNCTRet le second par le Conseil d’État. La nou-velle autorité administrative indépendanteest ainsi chargée d’examiner les motifs dela demande des services de renseigne-ment, sa nalité ainsi que la proportion-nalité du recours à la technique invoquée.Le Conseil d’État est quant à lui chargéd’examiner les recours contentieux dansle cadre du recours illégal à l’une destechniques de recueil du renseignement

et peut donc exercer un contrôle juridic-tionnel sur ces activités.Concrètement, le citoyen peut ainsi

saisir d’une réclamation la CNCTRlorsqu’il souhaite vérier qu’aucunetechnique de renseignement n’est irré-gulièrement mise en œuvre à son égard.Cette commission doit alors procéder aucontrôle de la ou des techniques invo-quées, en vue de vérier qu’elles ont étéou sont mises en œuvre dans le respectdu cadre juridique, et peut adresser des

recommandations aux autorités compé-tentes dans le cas contraire.

À l’issue de cette procédure, le citoyenpeut en outre saisir le Conseil d’Etat auxns d’obtenir l’annulation de l’autorisa-tion de mise en œuvre d’une techniquede recueil du renseignement, la destruc-tion des renseignements irrégulièrementcollectés et l’indemnisation du préjudicesubi.

Ces garanties s’ajoutent ainsi àcelles que contient la loi « Informatiqueet Libertés ». En effet, les informationscollectées par l’intermédiaire de ces tech-

niques de recueil du renseignement ontvocation à alimenter les chiers utiliséspar les services en charge de la lutteanti-terroriste.

La création et la modication de ceschiers sont soumises à l’examen préa-lable de la Commission, qui dispose enoutre d’un pouvoir de contrôle des condi-tions de mise en œuvre de la plupart deces traitements. Toute personne peuten outre saisir la CNIL d’une demanded’exercice de ses droits d’accès et de rec-tication aux données qui la concernent.Depuis la loi relative au renseignement,le Conseil d’Etat est compétent pourconnaître des requêtes concernant la miseen œuvre du droit d’accès à ces chiers.

Enn et de manière plus générale,l’ensemble des dispositions de la loi devraégalement faire l’objet d’une évaluationpar le Parlement, dans un délai maximalde cinq ans à l’issue de l’entrée en vigueurde cette loi.

Cette « clause de rendez-vous » per-mettra donc au législateur de réexaminerles dispositifs qu’il a créés, à l’aune deleurs conséquences concrètes pour les

citoyens. Il s’agit d’un point fondamen-tal, au vu du caractère particulièrementintrusif de certaines techniques et desprémices de l’avènement d’une nouvellelogique d’action des services de rensei-gnements, basée sur la collecte et l’ex-ploitation indifférenciées de données àcaractère personnel.

Par ailleurs, dans son champ de com-pétence, la CNIL s’assurera du respectdes garanties posées par la loi informa-tique et libertés.

QUELLES GARANTIES POUR LES CITOYENS ?


20/100


Les caméras-piétons utiliséepar les forces de l’ordre

Depuis quelques années se multiplient de nouveaux usages en matière de camérasutilisées par des personnes pour des besoins de plus en plus variés, dans des lieuxnouveaux et en recourant à des technologies de plus en plus avancées. Par exemple, ldispositifs de caméras embarquées (sur des véhicules ou des personnes) se développentaujourd’hui à grande échelle et, en particulier, les caméras dites « boutonnières » dose dotent notamment des agents de sécurité privée, de police municipale ou encore d

police et de gendarmerie nationales.En ce qui concerne les « caméras-pié-

tons » utilisées par les forces de l’ordre,des expérimentations souhaitées par leministère de l’intérieur ont été mises enœuvre dans plusieurs zones de sécuritésprioritaires (ZSP). Des initiatives localesont également donné lieu à l’équipementde personnels. Depuis 2013, plusieurscentaines de caméras ont ainsi été affec-tées dans des services de police et unitésde gendarmerie.

Ce développement imposait quela CNIL examine plus précisément lesconditions de mise en œuvre de ces dis-positifs et fasse connaître son analyseen la matière.

De manière générale, l’installation decaméras sur la voie publique ou dans deslieux ouverts au public soulève de nom-breuses questions en matière de respectdes libertés individuelles. C’est pourquoile Législateur a précisément encadré lamise en œuvre de ces dispositifs, notam-ment an de limiter les atteintes à la vieprivée qu’ils peuvent occasionner.

Ainsi, le code de la sécurité intérieure(CSI) prévoit notamment :

les nalités pouvant justier l’ins-

tallation de caméras de vidéoprotection(prévention des atteintes à la sécuritédes personnes et des biens, préventiond’actes de terrorisme, mais égalementsecours aux personnes et défense contrel’incendie, régulation des ux de trans-port, etc.) ;

les lieux que ces caméras peuventlmer (la voie publique et les lieux et éta-blissements ouverts au public lorsqu’ilssont particulièrement exposés à desrisques d’agression ou de vol, à l’exclu-

sion de l’intérieur des immeubles d’habi-tation et de leurs entrées) ;une durée maximale de conservation

des enregistrements, xée à un mois ;des droits pour les personnes concer-

nées par ces enregistrements (d’être infor-mées « de manière claire et permanentede l’existence du système de vidéopro-tection et de l’autorité ou de la personneresponsable », d’accéder aux enregistre-ments qui les concernent et d’en vérierla destruction dans le délai prévu) ;

QUELS ENJEUX DU POINT DE VUE DE LA PROTECTIONDE LA VIE PRIVÉE ?


21/100


des modalités de contrôle de cesdispositifs, préalablement à leur ins-tallation (autorisation préfectoraleprise après avis d’une commissiondépartementale de vidéoprotection) etdurant leur mise en œuvre (contrôle dela CNIL).

Or, certaines de ces garanties sontdifcilement applicables aux camérasembarquées. En effet, ces caméras sont,par dénition, susceptibles de lmer lavoie publique, des lieux et établisse-ments ouverts au public, des lieux nonaccessibles au public, ainsi que deslieux privés, le tout dans le cadre d’unemême opération, en fonction des cir-constances de l’intervention présidant àl’utilisation de ces dispositifs. En outre,

ces caméras sont susceptibles, par dé-nition, de lmer indifféremment tout cequi se trouve dans leur champ de vision,alors que l’orientation des caméras xesest strictement délimitée.

La possibilité de lmer des zonesprivées, et en particulier des domicilesprivés, soulève d’importantes questions :elle est susceptible de porter atteinte à

l’intimité de la vie privée des personnesconcernées. Une telle ingérence de l’au-torité publique nécessite dès lors quedes garanties substantielles soient pré-vues an d’assurer la proportionnalitédu dispositif.

L’obligation d’information prévuepour les caméras de vidéoprotectionpeut également poser des difcul-tés s’agissant des caméras-piétons. Ilfaut en effet s’assurer par un dispositifadapté que les personnes lmées sontpleinement conscientes de l’enregistre-ment dont elles font l’objet et, par consé-quent, de leur possibilité d’exercer undroit d’accès aux enregistrements qui lesconcernent, puisqu’il s’agit de garantiesessentielles du point de vue du respect

des droits des personnes concernées.Les caméras-piétons utilisées parles forces de l’ordre sont en outre fré-quemment dotées de microphonespermettant d’enregistrer les parolesprononcées par les personnes lmées. La collecte de telles informations n’estpas prévue explicitement par les dispo-sitions précitées du CSI.

Le Législateura encadrél’installationde caméras surla voie publiqueou dans deslieux ouvertsau public carcelle-ci soulèvede nombreuses

questionsde respectdes libertésindividuelles.

Des questions similaires se posent pour l’ensemble des caméras mobiles utilisées par les autoritéspubliques, qu’il s’agisse de caméras embarquées sur des véhicules par exemple ou encore de drones.

Pour des raisons diverses, l’ensemble des garanties prévues par le législateur s’agissant des camérasfilmant la voie publique semble difficilement applicable à de tels dispositifs. Leur utilisation croissantesoulève dès lors des enjeux importants en matière de vie privée qu’il importe de mieux prendre encompte.

Dans ce contexte, la CNIL estimequ’un encadrement légal, spécique etadapté à de tels dispositifs, est nécessaire.Un tel encadrement doit être de naturelégislative : seule la loi peut en effet xerles règles concernant les garanties fon-damentales accordées aux citoyens pourl’exercice des libertés, au titre desquellesgure le droit au respect de la vie pri-vée. L’intervention du législateur sembledonc nécessaire, à l’instar de ce qui aété fait au milieu des années 90 dans le

cadre du développement des caméras devidéosurveillance, an de concilier, sousle contrôle du Conseil constitutionnel, lerespect de la vie privée et la sauvegarde del’ordre public et la recherche des auteursd’infractions.

Un encadrement qui doit êtrede nature législative

Ce cadre juridique devrait en premierlieu préciser les nalités exactes de cesdispositifs. En effet, les caméras-piétons,

à la différence des caméras de vidéopro-tection classiques, ne sont pas utiliséescomme des instruments de surveillancecontinue. Ils visent à prévenir les inci-dents susceptibles de survenir au coursdes interventions des agents de la policeet de la gendarmerie nationales, par leureffet modérateur, et à déterminer les cir-constances de tels incidents, en permet-tant l’utilisation des enregistrements à desns probatoires dans le cadre de procé-dures engagées à l’encontre de ces agents

QUEL ENCADREMENT PRÉVOIR POUR LES CAMÉRAS EM

À R E T E N I R


22/100


ou de la personne lmée. Le déploie-ment de ces dispositifs entend doncprincipalement répondre à un besoin desécurisation physique et juridique desinterventions des agents de la police etde la gendarmerie nationales.

Ces objectifs, qui se distinguent deceux prévus par le code de la sécuritéintérieure, devraient donc être clairementétablis dans la loi, de même que touteautre nalité envisagée pour les camé-ras-piétons, comme par exemple leurutilisation à des ns pédagogiques et deformation. En conséquence, ce cadre juri-dique devrait également dénir les caté-gories de personnes pouvant utiliser ces

dispositifs.En deuxième lieu, le cadre juridiquedevraitpréciser les lieux dans lesquelsces enregistrements pourraient inter-venir,le cadre juridique permettant cesenregistrements ainsi que les catégoriesde données susceptibles d’être collectées.

Ainsi, la possibilité de procéder à desenregistrements audio, non prévue parle CSI mais qui peut être nécessaire auvu des objectifs poursuivis, devrait êtreexpressément prévue. Elle impose néan-

moins, du fait de son caractère davantageintrusif que le seul enregistrement visuel,des mesures de condentialité stricte desenregistrements.

Le périmètre exact de mise en œuvredes dispositifs de caméras individuellesdevrait également être précisé, et notam-ment la détermination des lieux dans les-quels les interventions des agents de lapolice et de la gendarmerie nationalespourraient permettre de tels enregistre-ments. S’il est envisageable, au vu desnalités assignées à ces caméras, quetoute intervention soit concernée, sansdistinction du caractère public ou privédu lieu en cause, un tel champ d’applica-

tion exigerait la mise en œuvre de fortesgaranties, juridiques et techniques, and’assurer la proportionnalité du dispositif,tout particulièrement si cette captation dedonnées est autorisée au sein de domicilesprivés dans le cadre d’interventions desforces de sécurité.

C’est pourquoi l’encadrement juridiquede ces dispositifs devrait prévoir, en troi-sième lieu, des mesures permettant des’assurer d’une utilisation strictementconforme à ces caractéristiques. Ainsi,

ces caméras ne devraient pas procéderà des enregistrements permanents maisdevraient uniquement pouvoir être acti-vées dans certaines circonstances.Lesagents du ministère de l’intérieur devraienten outre disposer de lignes directricesclaires, dans le cadre d’une doctrined’emploi, par exemple, dont le respectdevra être strictement contrôlé, quantaux circonstances permettant l’activationde leurs caméras. Ces règles devraientréserver un sort particulier aux enregis-trements réalisés au sein des domicilesprivés, que seules certaines circonstancesimpérieuses devraient autoriser.

Dans la mesure où les enregistrements

doivent uniquement permettre de dispo-ser de preuves en cas d’infraction ou demanquement,seule l’ouverture d’uneprocédure judiciaire, administrative oudisciplinaire nécessitant de consulterces enregistrements devrait permettrel’exploitation de ces vidéos.

De même, l’utilisation des enregistre-ments à des ns de formation des agentscommande la suppression de tout élé-ment permettant l’identication directeou indirecte des personnes lmées, qui


23/100


Ces analyses de la CNIL concernantles caméras-piétons utilisées par lesagents de police et de gendarmerie ontété transmises au ministère de l’inté-rieur à l’été 2015. Le ministère a suivi leraisonnement de la Commission s’agis-sant de la nécessité d’un cadre législatifad hoc pour encadrer la mise en œuvrede ces dispositifs et s’est engagé à pré-voir plusieurs des garanties identiéespar la Commission.

Cet encadrement législatif est essen-tiel. En effet, la préservation du droitfondamental à la protection des donnéespersonnelles constitue non seulement uneobligation juridique, mais également unecondition d’acceptabilité, par les citoyens,

de ces nouvelles caméras. Il importe dèslors que le cadre juridique applicable àces dispositifs concilie efcacement lesdifférents intérêts en cause.

La Commission aura en tout état decause l’occasion de préciser ses analysesdans le cadre de son avis sur le projet dedécret d’application de ces dispositionslégislatives. Elle aura en outre la possi-bilité de contrôler et de sanctionner toutmanquement à ce cadre.

QUEL AVENIR POUR LES CAMÉRAS-PIÉTONS ?

La préservation du droit fondamentalà la protection des données personnellesconstitue une condition d’acceptabilité,par les citoyens, de ces nouvellescaméras.

D E R N I È R E M I N U T E Le projet de loi renforçant

la lutte contre le crime organisé,

le terrorisme et leur financementet améliorant l’efficacité etles garanties de la procédure pénaleCe projet de loi, déposé le 3 février 2016, contient des dispositionsspécifiques relatives aux caméras-piétons (article 32 du projetde loi), qui reprennent plusieurs des garanties demandées par laCNIL. Par exemple, l’absence d’enregistrement permanent desinterventions, l’information des personnes filmées et l’impossibilité,pour les personnels dotés de ces caméras individuelles, d’accéderdirectement aux enregistrements sont expressément prévusdans le projet de loi. Celui-ci prévoit en outre que les modalitésd’application de ces dispositions sont fixées par décret en Conseild’Etat pris après de la Commission.

n’apparaît pas nécessaire dans ce cadre.Des procédés de outage des visages etde déformation du son devraient dès lorsêtre mis en œuvre.

Les droits des personnes doivent éga-lement faire l’objet d’une attention touteparticulière. Tout comme pour les camé-ras de vidéoprotection, le principe detransparence à l’égard du public doit êtrela règle,et ce d’autant plus que l’utilisa-tion des caméras-piétons a notammentpour objet de prévenir tout incident enapaisant les tensions qui peuvent survenirà l’occasion de certaines interventions.

Plusieurs mesures pourraient êtreprévues pour assurer cette transparence.L’information des personnes concernées

sur l’enregistrement dont elles font l’ob-jet doit ainsi être obligatoire. Le recoursà des signaux visuels spéciques, per-mettant à la personne lmée de prendreconscience qu’elle est effectivement enre-gistrée, devrait également être privilégié.En outre, le public devrait pouvoir accéderdirectement aux enregistrements qui leconcernent, dans les mêmes conditionsque celles qui prévalent pour les camérasde vidéoprotection.

Des mesures de sécurité devraientégalement garantir l’absence de visualisa-tion des enregistrements avant l’ouverturede toute procédure, la traçabilité totaledes consultations de ces enregistrements,ainsi que l’intégrité de ces derniers, de

l’activation de la caméra à l’exploitationdes images collectées.

Enn, des mesures de contrôle del’ensemble de ces dispositions devraientêtre prévues.Dans la mesure où serontcollectées par l’intermédiaire de ces dis-positifs de nombreuses données person-nelles, dont certaines touchant à l’intimitéde la vie privée, il semble naturel que leurmise en œuvre soit soumise au contrôlea posteriori de la Commission, qui dis-pose déjà de telles prérogatives pour lescaméras de vidéoprotection comme pouttout traitement de données à caractèrepersonnel.


24/100


Comment concilierprotection de la vie privéeet liberté de la presse ?

L’application de la loiInformatique et Libertésaux traitements journa-listiques résulte de l’infor-matisation de l’ensem-ble de la chaîne de pro-duction de l’information,de la rédaction d’unarticle à sa diffusion. Ellerésulte aussi de la volontéexpresse du législateurqui, tout en aménageant un régime dérogatoire propre, n’a pas souhaité exclurcomplètement cette activité du champ de la loi. Il convient ainsi de trouver un juste

équilibre entre liberté de la presse et protection des données.

La question de l’articulation entre laprotection des données et l’activité desorganes de presse a été abordée dès lestravaux parlementaires relatifs à la futureloi Informatique et Libertés. Interrogé lorsde la séance publique du 5 octobre 1977,

le rapporteur du projet de loi a en effetsouligné qu’il n’y avait pas d’oubli sur cepoint : « C’est une question délicate surlaquelle le Gouvernement estime que nuln’est mieux placé que vous-mêmes pour

se prononcer. Nous avons donc décidéde nous en remettre sur ce point à la

sagesse du Parlement. Vous représentez,mesdames, messieurs les députés, toutesles nuances des opinions politiques fran-çaises. C’est à vous qu’il appartient légi-timement de trancher cette question. ».

DES LIENS ANCIENS Aujourd’hui pour l’informatique,comme hier pour la presse, les chosesvont vite. De même que le droit sur laliberté de la presse ne se présentait plusdu tout dans les mêmes conditions aprèsl’invention des rotatives en 1867 quesous la Révolution française, de même,aujourd’hui, le droit de l’informatiquedoit tenir compte de l’évolution de latechnique depuis une trentaine d’années. Jean FOYER,rapporteur du projet de loi relatif à l’informatiqueet aux libertés devant l’Assemblée Nationale 5 octobre 1977


25/100


Le législateur a donc décidé d’appli-quer la loi du 6 janvier 1978 à la presseécrite et audiovisuelle, tout en prévoyantles nécessaires aménagements dictés parla spécicité du secteur.

Il a ainsi adopté une position médianeen Europe, à mi-chemin des pays ayantchoisi de ne pas appliquer leur loi deprotection des données aux organesde presse et ceux qui, à l’inverse,avaient fait le choix de la leur appliquerintégralement.

Les organes de presse installés en Francen’ont donc pas été soumis, et ce dèsl’origine, à :

l’interdiction de traiter informatique-ment les données dites sensibles (originesraciales ou ethniques, opinions politiques,philosophiques et religieuses, apparte-nances syndicales, mœurs) ;

la limitation du traitement des in-fractions, condamnations et mesures desûreté ;

l’encadrement des transferts de don-nées d’un pays vers l’autre.

Cependant, l’obligation d’informa-tion préalable à la mise en œuvre d’untraitement, l’obligation de choisir et derespecter une durée de conservation desdonnées traitées et la possibilité d’exer-cer les droits d’opposition, d’accès, derectication et de suppression n’ont pasété écartés.

Par ailleurs, le législateur de 1978a subordonné l’application du régimed’exception à deux conditions : que lesdonnées considérées soient traitées parles organes de presse« dans le cadre deslois qui les régissent » et dans les seulscas « où leur application aurait poureffet de limiter l’exercice de la libertéd’expression ».

UNE APPLICATION ADAPTÉE DÈS L’ORIGINE

C’est à l’issue d’une mission d’informa-tion menée en 1994 dans les locaux duFigaro que la CNIL a pris conscience desdifcultés que pouvait poser l’applicationde la loi à la presse et, notamment, quel’exercice des droits reconnus aux per-sonnes par la loi avant publication pouvaitconduire à une forme de censure.

La Commission a donc engagé de sapropre initiative des travaux pour xer deslignes directrices conciliant protection desdonnées et liberté de la presse.

À l’issue d’une série d’auditions etde visites sur place dans l’ensemble del’Hexagone,la Commission a adopté le 24

janvier 1995 une recommandation rela-tive « aux traitements journalistiques et

rédactionnels des données personnelles

par les organismes de la presse écrite ou audiovisuelle ».

La CNIL y mettait en avant troispréconisations :

l’adoption de mesures techniquesparticulières destinées à préserver lasécurité des données traitées ;

la mise en place systématique d’unlien informatique entre l’article faisantl’objet d’une rectication, d’un droit deréponse ou d’une décision judiciaire dé-nitive et les précisions apportées ;1

la désignation d’un correspondantde la CNIL, chargé de l’application dela recommandation au sein de chaqueorgane de presse.

Cette première initiative a été com-plétée, en 2001, par une seconde

recommandation concernant plus spé-ciquement les chroniques judiciairesdiffuséesen ligne. La CNIL émettaitnotamment le souhait qu’une réexiondéontologique« puisse être entamée ou

se poursuivre, à l’initiative des organes de presse et en concertation avec la CNIL,dans le souci de ménager la vie privée etla réputation des personnes concernéeslorsque, en tout cas, la liberté d’infor-mation ne paraît pas nécessiter qu’elles

soient citées nominativement ».

L’article 67 de la loi Informatique etLibertés, créé par la loi du 6 août 2004 àla suite de la transposition de la directiveeuropéenne du 24 octobre 1995 sur laprotection des données, a élargi le nombrede dispositions de la loi ne s’appliquantpas aux traitements journalistiques.

Aux trois exceptions déjà prévues en1978 se sont effet ajoutées :

la possibilité de traiter les donnéessans limitation de durée ;

l’absence d’obligation d’informationdes intéressés ;

l’exclusion des droits d’accès, de rec-tication et de suppression.

En dépit de ces dispositions expli-cites, l’application à la presse de la loiInformatique et Libertés et, notamment,

du droit d’opposition aux organes depresse a pu être contestée au motif queles éventuelles atteintes à la liberté de lapresse, constitutionnellement protégée,doivent nécessairement bénécier desgaranties instituées par la loi du 29 juil-let 1881 (formalisme des demandes etdes actes de procédure, délais de rigueur,prescriptions courtes, etc.). Toutefois, les

DES AMÉNAGEMENTS COMPLÉMENTAIRES PROMUS PAR

1 Cette préconisation a d’ailleurs été imposée le 25 juin2009 par le tribunal de grande instance de Paris qui,dans une ordonnance de référé, a ordonné à l’éditeurd’un site web de prendre toute mesure propre à assurerque la consultation en ligne d’un article depuis son fondsd’archives « s’accompagne d’un texte joint qui devra êtreimmédiatement accessible par lien hypertexte, depuis lapage consultée », au titre du « droit de suite ».

UN RENFORCEMENT DU RÉGIME DÉROGATOIRE EN 2004


26/100


En définitive, et depuis la modification de la loi Informatiqueet Libertés en août 2004, restent seulement applicables aux

organes de presse :• l’obligation de mise à jour, prévue par l’article 6 de la loi ;2• le respect du droit d’opposition pour motifs légitimes,

prévu par l’article 38 de la loi ;• l’obligation de déclaration des fichiers informatisés,

sauf si l’organe de presse désigne un correspondant« informatique et libertés ».

À R E T E N I R

2 Rejoignant par là l’article 13 de la loi du 29 juillet 1881 modiée qui offre une possibilité particulière de« mise à jour » à la personne mise hors de cause dans une procédure pénale, la charte européenne des devoirset des droits des journalistes, qui rappelle l’obligation de « rectier toute information publiée qui se révèleinexacte » et la charte d’éthique professionnelle des journalistes adoptée par le Syndicat National des Journalistes,qui indique qu’un journaliste digne de ce nom « dispose d’un droit de suite, qui est aussi un devoir, sur lesinformations qu’il diffuse et fait en sorte de rectier rapidement toute information diffusée qui se révèleraitinexacte. ».3 Selon l’exposé des motifs du projet de loi modiant la loi du 6 janvier 1978 présenté par Madame MaryliseLEBRANCHU, Garde des sceaux, ministre de la Justice, cette disposition rappelle que les dérogations à la loidu 6 janvier 1978 applicables aux traitements journalist iques « ne font pas obstacle à l’application desdispositions civiles et pénales ayant pour objet la protection de la vie privée, ainsi que la protection despersonnes contre les atteintes à leur réputation ».

Une personne citée dans un articlede presse en ligne peut donc s’opposer,pour des motifs légitimes, à la diffusiondes données le concernant (en pratique,son identité complète). Elle ne peut enrevanche demander la rectication ou lasuppression de l’article en se fondant surla loi Informatique et Libertés, qui exclutcette possibilité depuis 2004.

Cette demande d’opposition doit êtreaccompagnée d’un justicatif d’identité etêtre motivée au regard, par exemple, dutemps écoulé depuis la première diffusionde l’article (notion d’actualité), des consé-quences de cette diffusion sur le deman-deur (réinsertion, recherche d’emploi,sécurité personnelle…), etc.

L’organe de presse saisi doit répondre,positivement ou négativement, dans undélai de deux mois.

Si la demande d’opposition est incom-plète (adresse, justicatif d’identité…) ouimprécise (article concerné, motifs de lademande…), l’organe saisi doit inviter le

demandeur à les lui fournir en précisant enquoi ces éléments complémentaires sontnécessaire au traitement de sa demande.

Si l’organe de presse, considérant lesmotifs invoqués comme légitimes, choisitde faire droit à une demande d’opposition,il peut, en pratique,anonymiser l’articleconcerné, désindexer volontairement lapage web correspondante4 ou le suppri-mer de son site web ou de ses archivesen ligne. Il n’appartient pas à la CNILd’imposer l’une de ces solutions, maisà l’organe de presse de recourir à cellequi lui semble la plus adaptée eu égardà la situation.

L’anonymisation d’un article impliquede signaler aux moteurs de recherche

(signalement d’un lien « périmé ») lamodication effectuée an que l’identitécomplète du demandeur, disparue de l’ar-ticle, n’apparaisse plus dans les résultatsd’une interrogation au moyen d’un moteurde recherche.

Un organisme qui refuse de faire

droit à une demande d’opposition doitmotiver sa décision au regard des raisonsinvoquées par le demandeur à l’appui desa demande. En effet, tant la demanded’opposition de la personne que l’éventuel

refus de l’organe de presse ne peuventreposer sur des motifs généraux (atteinteà la réputation, à la vie privée ou « droità l’oubli » sans plus de détail pour lespersonnes / liberté de la presse, respectdu travail accompli pour les organes depresse).

L’EXERCICE DU DROIT D’OPPOSITION

4 La désindexation volontaire d’une page web par le responsable du site web considéré n’a pas les mêmes effets que le déréférencement d’un résultat de recherche par un motde recherche. Dans le premier cas, c’est l’ensemble des informations diffusées par l’intermédiaire de la page web en question ; dans le second, seul un résultat apparaissant surdes critères dénis ne gurera plus dans les résultats d’une recherche utilisant ces critères (imaginons, par exemple, que M. Roger Cuniculi, éleveur de lapins à Rambouillet,obtienne le déréférencement du résultat apparaissant sur interrogation de son identité ; l’information reste néanmoins accessible si l’on utilise d’autres critères de recherche –notamment ici « éleveur » + « lapin » + « Rambouillet ». Dans l’hypothèse d’une désindexation volontaire de la page web correspondante, il ne serait pas possible d’accéderà l’information, quels que soient les critères de recherche utilisés.).

organes de presse ne sont pas soumisà cette seule loi, mais également à desdispositions diverses, telles que l’article9 du code civil, certaines dispositions ducode pénal, ou encore l’article 6 de la loipour la conance dans l’économie numé-rique. L’article 67 de la loi Informatique etLibertés se borne à rappeler que le droitd’opposition pour motifs légitimes est unoutil juridique parmi d’autres.3

Enn, il convient de rappeler à ce stadeque,lorsque la CNIL intervient à l’appuid’une demande d’opposition, ce n’estpas pour obtenir le retrait de l’articleconcerné, mais pour s’assurer que lademande sera bien examinée et qu’ellefera l’objet d’une réponse motivée,ainsique le prévoit les textes applicables.


27/100


Alors que les plaintes concernant lesorganes de presse sont en augmentationconstante depuis quelques années (cf.encadré), la CNIL est parfois confrontéeà des difcultés, de nature diverse, dansleur instruction :

l’absence de réponse : si le silencede l’organe de presse pendant deux moisest constitutif d’un refus à la demanded’opposition la Commission préconised’indiquer, a minima, au demandeur lesmotifs de ce refus.

Dans tous les cas, les organes depresse ne sont pas dispensés de répondre

à la Commission lorsqu’elle intervient àl’appui d’une demande d’opposition.Il en est de même des réponses qui

se contentent d’indiquer aux plaignantsque leur demande ne peut être examinéecar elle n’est pas conforme aux conditionsposées par les textes en vigueur (cf. plushaut).

Comme on l’a vu, c’est à l’organe depresse saisi d’inviter le demandeur à com-

pléter sa requête. les refus mal fondés : certains

organes de presse considèrent qu’ilsrelèvent exclusivement du droit de lapresse et refusent de faire droit auxdemandes d’opposition dont ils sont sai-sis en arguant, par exemple, que la loi« informatique et libertés » ne leur est pasapplicable, qu’un site web n’est pas untraitement ou que la loi prévoit un régimedérogatoire pour les archives de presse.

Or, comme rappelé plus haut, c’estvolontairement que le législateur n’a pasécarté l’application du droit d’opposition

pour motifs légitimes aux traitementsjournalistiques.Certains organes de presse refusent

aussi de faire droit aux demandes dontils sont saisis par un simple courrier sté-réotypé, sans examen au fond des motifsinvoqués. Or, leur refus doit être motivédès lors que la demande n’est pas abusive.La CNIL a ainsi dû adopter une mise endemeure à l’égard d’un organe de presse

qui adressait la même lettre-type de refusà tous les demandeurs.

la lourdeur de démarches : dans cer-tains cas, des articles anonymisés restentréférencés de façon nominative par lesmoteurs de recherche. Une rechercheeffectuée sur la base de l’identité du plai-gnant renvoie donc toujours vers l’articleen cause.

Une demande d’opposition acceptéepar un organe de presse ne peut produiretous ses effets que si l’article anonymiséou supprimé fait l’objet d’un signalementvolontaire aux moteurs de recherche anque la page web correspondante soitindexée dans sa version modiée.

Ainsi, un journal qui fait droit à lademande d’une personne doit s’assurer

qu’aucune recherche sur la base de sonidentité ne permette de renvoyer vers l’ar-ticle anonymisé ou désindexé.

Si le nombre de plaintes a augmenté, laCNIL relève toutefois que la multiplicationdes contacts avec les organes de pressea permis une très sensible améliorationdu traitement des demandes d’oppositionformulées par des personnes auprès desorganes de presse.

LES DIFFICULTÉS RENCONTRÉES

La reconnaissance, en mai 2014,du droit au déréférencement a modiél’équilibre et provoqué une certaine confu-sion dans l’utilisation des outils juridiquesdisponibles.

En effet, la désindexation de la pageweb concernée était souvent utilisée, plu-tôt que la suppression ou l’anonymisationde l’article. Cette solution permettait dene pas modier l’article, qui était tou-

jours diffusé sur le site web de l’organede presse ; elle satisfaisait le plaignant,l’article ne gurant plus dans les résultatsd’une recherche effectuée sur son identitécomplète.

Or, la reconnaissance du droit au déré-férencement a pu donner l’impression quecette nouvelle procédure se substituait àl’exercice du droit d’opposition auprès desorganes de presse.

Pourtant, cette voie juridique nouvellen’a aucune incidence sur la possibilité pourle plaignant d’exercer son droit d’oppo-sition ou sur la qualité de responsablede traitement des organes de presse. LaCour de justice de l’Union européenne a eneffet explicitement jugé que ces deux voiesd’action étaient ouvertes parallèlement. Eneffet, si les personnes sont désormais enmesure de solliciter le déréférencement

des pages contenant des informationsles concernant directement auprès desmoteurs de recherche, cela n’exonèrecependant pas les organes de presse, entant que responsable de traitement, dedonner suite aux demandes qui leurs sontadressées sur le fondement de l’article 38de la loi Informatique et Libertés.

Ainsi, sur les 132 plaintes concernantdes articles de presse adressées en 2015

à la CNIL, 75 % portaient sur des difcul-tés dans l’exercice du droit d’opposition,8 % portaient sur des demandes de déré-férencement5 et 16 % portaient sur cesdeux aspects.6

En outre, si le droit d’opposition et ledroit au déréférencement se ressemblent,leurs effets sont différents : le premier per-met d’obtenirla suppression à la source d’une information diffusée en ligne et

l’autre permet uniquement d’obtenirlasuppression d’un résultat d’une rechercheeffectuée sur l’identité d’une personne.

L’INSTAURATION DU DROIT AU DÉRÉFÉRENCEMENTET SES CONSÉQUENCES

132PLAINTES REÇUES EN 2015CONCERNANT DES ARTICLESDE PRESSE

5 Le dernier pour cent concerne une interrogation générale sur droit d’opposition et droit au déréférencement.6 Certains plaignants justient leur demande de déréférencement par l’ignorance que leurs propos ou leur photographe seraient diffusés en ligne ou diffusés de façon nominat


28/100


À l’issue de ces auditions, laCommission a décidé de poursuivre sesefforts de conciliation de la liberté de lapresse et de la protection des données,en concertation avec les professionnelsdu secteur.

Dans ce but, la Commission s’apprêteà communiquer sur le bilan des auditionsmenées en 2015 et à diffuser deux chespratiques « Comment exercer son droitd’opposition » et « Comment répondre àune demande d’opposition » à destinationdu grand public et des organes de presse.

De même, elle organisera, à destina-tion des organes de presse,une journéed’information et d’échanges sur les moda-

lités de traitement des demandes d’oppo-sition (forme des demandes, possibilitésde réponse, rôle de la CNIL, conséquenced’une réponse positive, etc.) et le droitau déréférencement (acteurs, effets, cri-tères, etc.).

Enn, elle proposera aux organes depresse un accompagnement juridique dansle traitement des demandes d’oppositionqui leur sont adressées directement etenvisageune mise à jour de la recom-mandation du 21 janvier 1995.

LES INITIATIVE

Documents

Rapport annuel 2015 de la CNIL