Plan du site | Mentions légales | Crédits | Espace rédacteur

Docteur en droit

Chargée de cours à l’Université d’Evry Val d’Essonne

Nos mots-clefs

Brevet   Au jour le jour   Contrats   Vie privée   Signes distinctifs   Consommateurs   Conférences et colloques   Lettre du Cejem   Professions   Contenu illicite   Bases de données   Marques   Droit d’auteur   Régulation   Noms de domaine  

Cliquez sur un mot pour afficher la liste des articles correspondant

A Noter

Les contrats informatiques par Jérôme Huet et Nicolas Bouche

Présentation de l’éditeur L’ouvrage Les contrats informatiques vise à donner au lecteur, étudiant ou praticien, sous (...)

Droit de la communication numérique de Jérôme Huet et Emmanuel Dreyer

Présentation de l’éditeur : Le droit de la communication numérique est une discipline récente mais en pleine (...)

« Publier n’est pas transférer » ou la difficile application de la directive 95/46 aux publications de données à caractère personnel sur l’internet

Mots-clefs : Vie privée |

par Claude Bourgeos, le lundi 16 février 2004

Dans un arrêt du 6 novembre 2003 (rendue sur une question préjudicielle du Gotä Hovrätt dans une affaire Lindqvist), la Cour de justice des communautés européennes considère « qu’il n’existe pas de « transfert vers un pays tiers de données » au sens de l’article 25 de la directive 95/46 lorsqu’une personne qui se trouve dans un Etat membre inscrit sur une page Internet, stockée auprès de son fournisseur de services d’hébergement qui est établi dans ce même Etat ou un autre Etat membre, des données à caractère personnel, les rendant ainsi accessibles à toute personne qui se connecte à Internet, y compris des personnes se trouvant dans des pays tiers ».

I. Inadaptabilité de la directive

Cet arrêt montre l’inadaptabilité de certaines dispositions de la directive à l’internet. La Cour le justifie en affirmant qu’eu égard, d’une part, à l’état du développement d’Internet à l’époque de l’élaboration de la directive 95/46 et, d’autre part, à l’absence, dans son chapitre IV, de critères applicables à l’utilisation d’Internet, on ne saurait présumer que le législateur communautaire avait l’intention d’inclure prospectivement dans la notion de « transfert vers un pays tiers de données » l’inscription, par une personne de données sur une page Internet, même si celles-ci sont ainsi rendues accessibles aux personnes de pays tiers possédant les moyens techniques d’y accéder. Si l’article 25 de la directive 95/46 était interprété en ce sens qu’il existe un « transfert vers un pays tiers de données » chaque fois que des données à caractère personnel sont chargées sur une page Internet, ce transfert serait nécessairement un transfert vers tous les pays tiers où existent les moyens techniques nécessaires pour accéder à Internet. Le régime spécial prévu par le chapitre IV de ladite directive deviendrait donc nécessairement, en ce qui concerne les opérations sur Internet, un régime d’application générale. En effet, dès que la Commission constaterait, en application de l’article 25, paragraphe 4, de la directive 95/46, qu’un seul pays tiers n’assure pas un niveau de protection adéquat, les Etats membres seraient obligés d’empêcher toute mise sur Internet de données à caractère personnel. Le problème de droit qui a été posé à la Cour n’est pas sans précédent. En effet, le même problème s’est posé lors de la mise en ligne des annuaires téléphoniques (V. C. Chassigneux, recommandation de la CNIL relative aux annuaires en matière de télécommunications, Dr. inf. et téléc., n° 1998/2, p. 81). La directive spécifique du 12 juillet 2002 vient régler le problème des annuaires en prévoyant l’accord préalable des abonnés (V. Dir. CE n° 2002/58 du 12 juill. 2002, art. 12). Cependant cette directive spécifique ne s’applique pas au cas de figure qui était ici soumis à l’appréciation de la Cour qui a résolu le problème de droit qui lui était posé en s’appuyant sur le terme « transférer » utilisé par la directive 95/46.

II. Publier n’est pas transférer

Selon la Cour, l’article 25 de la directive 95/46 doit être interprété en ce sens que des opérations telles que celles effectuées par la personne ici poursuivie ne constituent pas en elles-mêmes un « transfert vers un pays tiers de données ». Il n’est donc pas nécessaire de rechercher si une personne d’un pays tiers a eu accès à la page Internet concernée ou si le serveur de ce fournisseur est physiquement situé dans un pays tiers. Pourtant, on opposera au raisonnement de la Cour que le fait de consulter une page internet nécessite son téléchargement préalable et donc son transfert à destination de la machine de l’utilisateur dans une zone de stockage temporaire. Il n’est pas faux que la publication de données sur un site web ne constitue pas en lui-même un transfert de données mais il constitue l’opération préalable qui rend ce dernier possible dès la première consultation du contenu de la page en question par un utilisateur. Le projet de loi de transposition de cette directive en droit interne permet de résoudre cette question par une autre voie. Dans son dernier état après première lecture par le Sénat, le projet prévoit d’une part que la communication par transmission, diffusion ou toute autre forme de mise à disposition de données à caractère personnel constitue un traitement soumis aux dispositions de la loi qui reprend l’interdiction de transfert des données vers un pays tiers n’assurant pas un niveau de protection suffisant, de même que leur simple consultation. La dérogation qu’elle accorde aux copies temporaires ne s’applique qu’aux fournisseurs d’accès au réseau internet et non aux utilisateurs. Ainsi, dans une affaire telle que celle qui a été soumise à la sagacité des juges de la CJCE, en l’état du projet de loi de transposition de la directive, la mise en ligne de données à caractère personnel sur un site internet ouvert au public pourrait s’analyser comme un traitement de données, de même que la consultation de ce site par un utilisateur se trouvant dans un pays n’assurant pas un niveau de protection suffisant. Si la publication des données sur le site ne constitue pas ipso facto un transfert, elle le permet. Or, la mise en ligne de données à caractère personnel constituant un traitement, elle est soumise à l’information préalable et à l’absence d’opposition de la personne concernée. Le consentement de celle-ci constitue également une dérogation à l’interdiction de transfert des données vers un pays n’assurant pas un niveau de protection suffisant. Par conséquent, lorsqu’une personne acceptera que des données personnelles la concernant soient publiées sur un site internet ouvert au public, on pourra légitimement en déduire qu’elle ne s’oppose pas à leur transfert à destination de pays n’assurant pas un niveau de protection suffisant.

Conclusion Dans le cas de la publication sur un site internet de données à caractère personnelles sans l’accord de la personne concernée, c’est plutôt le manquement à l’obligation d’information préalable de cette personne qu’il faudra sanctionner que le non respect de l’interdiction de transfert des données vers des pays n’assurant pas le niveau de protection attendu.