Les 13 arrêts sur le droit à l'oubli : des armes contre Google

Le 6 décembre 2019, le Conseil d'Etat a rendu treize décisions relatives aux modalités d'exercice du droit à l'oubli. Il figure dans l'article 17 du Règlement général de protection des données (RGPD) qui affirme que "la personne a le droit d'obtenir du responsable du traitement l'effacement, dans les meilleurs délais, de données à caractère personnel la concernant".  En ce qui concerne les moteurs de recherches, ce droit à l'oubli prend la forme d'un déréférencement des données personnelles sur le domaine concerné (par exemple Google.fr) et d'une désindexation qui interdit au moteur de diffuser comme résultat d'une recherche un lien pointant vers les données personnelles qui sont l'objet du droit à l'oubli.

Ces treize décisions ont été rendues après l'arrêt du 24 septembre 2019 de la Cour de justice de l'Union européenne, réponse à une question préjudicielle précisément posée par le Conseil d'Etat. Cette décision impose le droit à l'oubli dans le cadre européen, en laissant toutefois aux autorités compétentes des Etats membres le soin d'en préciser les conditions de mise en oeuvre. De toute évidence, le Conseil d'Etat prend ce rôle au sérieux, et ces treize arrêts sont autant de directives données à la fois à la CNIL et aux juges du fond.

Le Conseil d'Etat rappelle que le déréférencement est un droit de la personne, "également dénommé droit à l'oubli". Comme tous les droits, il s'exerce dans le cadre des lois qui le réglementent, tant le RGPD que la loi du 6 janvier 1978, dans son actuelle rédaction. Si le droit à l'oubli protège les données personnelles, c'est-à-dire la vie privée de la personne, il doit se concilier avec le droit à l'information du public. Il appartient donc à la CNIL et au juge d'apprécier cet équilibre. Sur ce point, le Conseil d'Etat rejoint la Cour de cassation qui, le 27 novembre 2019, a également confié aux juges du fond le soin de réaliser cet arbitrage.

Précisément, ces treize décisions définissent un critère d'appréciation, à partir du degré de sensibilité des données personnelles à l'origine de la demande de droit à l'oubli.

Les données sensibles, et les autres

Sont considérées comme particulièrement sensibles, depuis l'origine de la loi du 6 janvier 1978, les données qui touchent le plus à l'intimité de la vie privée, comme la santé, la vie intime, les convictions religieuses ou politiques etc. Dans l'affaire 409212, le requérant demande ainsi le déréférencement d'un compte-rendu littéraire faisant état de son homosexualité. 

Dans la plupart des arrêts du 6 décembre 2019, les données personnelles dont le requérant à demandé l'effacement renvoient à une affaire pénale, soit qu'il ait été mis en examen (407776 - 397755- 399999 - 407776), soit qu'il ait été condamné pour attouchements sexuels sur mineurs (401258), pour apologie de crimes de guerre ou contre l'humanité (405464), voire pour violences conjugales (429154). Les données judiciaires sont donc des données sensibles, au sens du RGPD.

Reste qu'il existe des données personnelles qui ne sont pas spécialement sensibles. Celles-là peuvent certes faire l'objet d'une demande de droit à l'oubli, mais cette demande pourra être écartée si le droit à l'information du public peut être utilement invoqué. Dans l'affaire 403868, un médecin demandait ainsi l'effacement de données le concernant sur une page du site Yelp. Les commentaires des internautes sur sa pratique ayant été effacés, il ne reste donc que des données faisant état de son activité de généraliste et précisant l'adresse et le numéro de téléphone de son cabinet. Il s'agit certes de données personnelles, mais ce sont globalement celles qui figurent dans n'importe quel annuaire. Aux yeux du Conseil d'Etat, cette publication est donc justifiée par "l'intérêt prépondérant du public à avoir accès à ces informations" à partir d'une recherche sur le nom du requérant.

La durée poignardée. René Magritte. 1938

Les critères utilisés

Le Conseil d'Etat indique trois critères susceptibles d'être utilisés, tant par la CNIL que par le juge, pour apprécier le bien fondé de la réponse positive ou négative de Google.

Le premier d'entre eux est lié aux données en cause. Il convient alors d'apprécier leur contenu, leur exactitude et leur ancienneté, ainsi, bien entendu, que les conséquences de leur accessibilité sur internet pour la personne concernée. Dans l'affaire 393769, Google avait ainsi refusé le déréférencement d'un article de presse de 2008, mentionnant, après le suicide d'un adepte, l'appartenance de l'intéressé à l'Eglise de Scientologie. Or les faits sont anciens et se traduits par un non-lieu. Quant à l'intéressé, il a quitté l'Eglise depuis plus de dix ans au moment de sa demande. Contrairement à Google, le juge estime donc qu'il n'existe plus "d'intérêt prépondérant" du public à connaître ces informations.

Le second critère se rapporte plus directement à la personne concernée, et plus précisément à sa notoriété. Il ne distingue guère de la jurisprudence traditionnelle qui protège avec davantage de rigueur la vie privée du simple quidam que celle de la célébrité habituée à vivre sous la pression de la presse. Dans l'affaire 409212, le Conseil d'Etat opère ainsi une distinction très claire.  Il estime que la révélation de l'homosexualité d'un auteur justifie un déréférencement, dès lors que l'intéressé n'exerce plus aucune activité littéraire et que le roman autobiographique dont il est question n'est plus publié. Sur ce plan, l'intéressé est redevenu un simple quidam. En revanche, la recension de ce même roman sur un autre site, sans aucune mention personnelle sur son auteur, est justifiée par "l'intérêt prépondérant du public" qui a le droit d'être informé sur cet ouvrage. En écrivant un livre, il a, en quelque sorte, accepté que cet ouvrage soit livré au public.

Le troisième critère repose, quant à lui, sur l'analyse de l'offre d'information sur internet, sur la possibilité d'accéder aux mêmes données à partir d'une recherche ne mentionnant pas le nom de l'intéressé, et aussi sur le rôle de ce dernier. Dans l'affaire 395335, le Conseil d'Etat estime ainsi fondée la demande d'effacement de données relatives à la liaison entretenue par la requérante avec un Chef d'Etat étranger, alors même que celle-ci est bien connue dans ce pays. En effet, ce n'est pas elle qui a donné ces informations à un journal français, et elle peut donc légitimement invoquer le droit à l'oubli sur Google.fr.

Ces trois éléments seront certainement précisés au fil de la jurisprudence, mais ils s'analysent d'ores et déjà comme des armes redoutables dans le conflit qui oppose les autorités européennes et françaises à Google. Il n'a échappé à personne en effet que toutes les demandes de déréférencement étaient dirigées contre le moteur de recherches américain. Or celui-ci donne l'apparence de se conformer au droit à l'oubli en ouvrant aux internautes un formulaire permettant de matérialiser leur demande d'effacement. Mais les critères de la décision finalement prise par Google demeurent d'une remarquable opacité. En permettant à la CNIL et aux juges d'appliquer leurs propres critères, et de les utiliser pour sanctionner des pratiques opaques, le Conseil d'Etat empêche Google de créer son propre droit, opposable aux internautes sans qu'ils puissent réellement le connaître. Ces treize arrêts sont donc autant de pierres posées sur un chemin qui devrait permettra d'imposer aux GAFA le standard européen de protection des données.

Sur le droit à l'oubli : Chapitre 8 Section  5 § 1 B , 3,  du manuel de Libertés publiques sur internet

Le passe sanitaire devant le juge des référés

Saisi par l'association La Quadrature du Net, le juge des référés refuse, dans une ordonnance du 6 juillet 2021, de suspendre l'exécution du décret du 7 juin 2021 organisant le dispositif connu sous le nom de "passe sanitaire". Ce décret modifie un précédent texte antérieur d'une semaine, le décret du 1er juin 2021, lui-même pris en application de la loi du 31 mai 2021 relative à la sortie de crise. Concrètement, cette succession de textes a pour objet de mettre en oeuvre le passe sanitaire prévu par la loi.

 

La décision du Conseil constitutionnel

 

La situation de l'association requérante n'était pas juridiquement très confortable. Dans sa décision du 31 mai 2020, le Conseil constitutionnel a déjà déclaré constitutionnel le principe même du passe sanitaire. Il a notamment écarté des griefs tirés de la méconnaissance de l'objectif de valeur constitutionnelle d'accessibilité et d'intelligibilité de la loi et de la méconnaissance par le législateur de l'étendue de sa compétence. Rien n'interdisait donc au gouvernement de recourir au décret pour fixer les conditions concrètes de mise en oeuvre du passe sanitaire. Certes, le Conseil constitutionnel juge de la conformité de la loi à la Constitution, alors que le Conseil d'État se prononce sur la conformité des actes réglementaires à la loi et aux traités, mais il n'empêche que le message envoyé par le juge constitutionnel n'était pas porteur d'optimisme pour La Quadrature du Net. 

 

Le passe sanitaire, définition

 

A cela s'ajoute le fait que le passe sanitaire est aujourd'hui en format européen, ce qui signifie qu'une suspension par le juge français risquait de conduire à la mise en cause d'un dispositif applicable désormais à l'ensemble de l'Union européenne. Il est vrai que le juge des référés a attendu trois semaines pour se prononcer alors qu'un référé-liberté devrait, en principe, être examiné dans un délai de 48 heures. Pendant ce délai, le passe sanitaire est devenu une réalité très concrète, à la satisfaction de ceux qui en bénéficient.

Son principe peut être défini simplement. Il consiste en la présentation numérique (via l'application TousAntiCovid) ou sur papier d'une preuve sanitaire. Concrètement, on peut fournir la preuve d'un parcours vaccinal complet, ou d'un test négatif de moins de 48 h, ou encore d'un test antigénique permettant d'indiquer, pour les anciens malades du Covid, qu'ils ne présentent pas de risque de réinfection rapide. Aux termes du décret du 7 juin 2021, ce passe sanitaire donne accès aux lieux et évènements accueillant plus de mille personnes et permet donc de rouvrir certaines activités. Il facilite également le passage des frontières, notamment dans l'Union européenne.

 

L'"analyse de l'impact"

 

La Quadrature du Net invoque d'abord un vice de procédure. Aux termes de l'article 35-1 du Règlement général de protection des données (RGPD), le responsable du traitement, lorsque celui-ci est "susceptible d'engendrer un risque élevé pour les droits et libertés des personnes physiques", peut préalablement à sa création procéder à une "analyse de l'impact" du traitement envisagé, notamment au regard de la protection des données personnelles. Autrement dit, la procédure demeure purement facultative, et l'on peut regretter que, sur ce point, le RGPD n'impose aucune contrainte. En l'espèce, cette "analyse de l'impact", qui aurait pu être confiée à la Commission nationale de l'informatique et des libertés (CNIL), n'a pas eu lieu. C'est évidemment regrettable mais le juge des référés constate que l'absence de consultation de la CNIL "est sans incidence sur la légalité de l'acte". 

En revanche, le juge des référés ne manque pas de mentionner que le pouvoir d'injonction dont il dispose lui permettrait d'ordonner au gouvernement de procéder à cette "analyse de l'impact". Encore faudrait-il que le passe sanitaire "engendre un risque élevé pour les droits et libertés des personnes physiques".

 Plantu. Le Monde, 5 mars 2021

 

La protection des données

 

C'est précisément à cette question que le juge des référés répond lorsqu'il évoque le moyen fondé sur l'atteinte à la vie privée et la protection des données personnelles. Il n'est évidemment pas contestable que le passe sanitaire repose sur un traitement de données personnelles faisant apparaître l'identité de la personne. Mais le juge des référés observe que des précautions ont été prises pour limiter le risque de dissémination de données personnelles. D'une part, il observe que la version numérique du passe est facultative et que nul n'est contraint de télécharger l'application. Il suffit en effet de télécharger le passe sur le site Ameli de la Sécurité sociale. D'autre part, le système est décentralisé, avec un contrôle local des données (mode "off-line") effectué par les personnes dont la liste est énumérée dans le décret. 

Invité par l'association requérante, le juge des référés s'interroge sur la "minimisation des données", principe prévu par l'article 5 du RGPD et l'article 4 de la loi du 6 janvier 1978. Il précise que les données personnelles collectées et stockées doivent être "adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées". En l'espèce, le juge refuse de suivre l'association requérante qui estimait non pertinente la divulgation de l'identité de la personne. Cette information est en effet indispensable pour s'assurer que le passe présenté est bien celui de la personne qui s'en prévaut. Au demeurant, l'article 1er de la loi du 31 mai 2021 exige que l'information donnée à la personne qui effectue le contrôle consiste seulement dans la mention du droit d'user du passe sanitaire, sans qu'il soit possible de savoir si elle vaccinée, rétablie de la maladie, ou titulaire d'un test négatif. De tous ces éléments, le juge des référés déduit donc que le passe sanitaire n'engendre pas un risque élevé pour la vie privée et la protection des données personnelles.

L'analyse du juge des référés s'arrête là, et il ne croit pas utile de répondre aux autres moyens développés dans la requête. Il s'agissait en effet de dénoncer comme atteinte aux libertés de circulation et de manifestation un dispositif qui en effet porte atteinte à ces libertés, mais seulement au détriment de ceux qui ont refusé de se faire vacciner, ou refusé de faire un test. Pour les autres, le passe sanitaire a au contraire pour conséquence de réintroduire une liberté de circulation qui avait été fortement malmenée durant le confinement. Est également réintroduite la liberté d'entreprendre, dès lors que des activités auparavant fermées peuvent désormais reprendre leur activité

Certes, La Quadrature du Net se donne pour mission de lutter pour la protection des données personnelles et elle a souvent fait avancer le droit dans ce domaine. Sans doute n'avait-elle guère d'illusions sur le succès de son référé. Mais, bien au-delà de l'association requérante, ce type de contentieux s'inscrit dans une tendance générale qui consiste à invoquer une discrimination, une atteinte à telle ou telle liberté, pour se soustraire au principe d'égalité devant la loi et faire prévaloir ses convictions personnelles sur l'intérêt général. Il risque ainsi d'être perçu comme un soutien indirect apporté à ceux qui refusent de se faire vacciner et compter sur l'immunité collective apportée par les autres.

Il ne fait aucun doute que le passe sanitaire vise d'abord à permettre à ceux qui bénéficient d'une protection de retrouver une large partie de leur liberté. Mais il a aussi pour objet d'inciter les autres à se faire vacciner. En quoi serait-il illicite d'avoir une politique incitative en ce domaine ? Quant aux esprits chagrins qui se plaignent des atteintes que le passe sanitaire porte à leur liberté, ils ont une solution simple : se faire vacciner.

Sur l'état d'urgence sanitaire : Manuel de Libertés publiques version E-Book et version papier, chapitre 2, section 3

 

Transferts de données vers les États-Unis : vers un arrêt Schrems III ?

L'Américaine Fiona Scott Morton a été nommée économiste en chef à la Direction générale de la concurrence par la Commission européenne. Elle se trouve directement sous l'autorité de la commissaire européenne à la concurrence, Margrethe Vestager, celle-là même qui a pour mission de combattre les pratiques anti concurrentielles des Gafam. 

Ce choix suscite bon nombre d'interrogations. D'une part, on peut s'étonner qu'une Américaine, fut-elle très compétente, soit nommée haut fonctionnaire de l'Union européenne, surtout à un poste clef. N'existe-t-il pas d'économistes de talent ayant la nationalité d'un État membre ? D'autre part, Mme Morton a consacré une partie de sa riche carrière à défendre les grands groupes du secteur numérique comme Apple, Amazon et Microsoft,  ce qui lui fait courir un gros risque de conflits d'intérêts. Au-delà même de ces éléments, une question plus globale se pose et on peut se demander si les groupes américains, après avoir utilisé tous les instruments de lobbying possibles pour faire prévaloir leurs intérêts auprès des bureaux n'ont pas tout simplement décidé de les occuper. 

Cette malencontreuse nomination contribue évidemment au considérable déclin de l'image de l'Union européenne. Conçue à l'origine comme l'instrument d'une paix durable entre les États européens, elle apparaît aujourd'hui comme un champ de bataille entre les lobbyistes, au plus grand profit des intérêts américains.

L'affaire Morton fait sans doute passer au second plan un autre problème, finalement de même nature. La Commission européenne vient d'annoncer le 10 juillet 2023, une "décision d'adéquation" qui permet l'échange de données personnelles entre l'Union européenne et les États-Unis, à la suite d'un accord "Data Privacy Framework". Cette formule figure dans l'article 45 du Règlement général de protection des données (RGPD). Il est ainsi rédigé : "Un transfert de données à caractère personnel vers un pays tiers ou à une organisation internationale peut avoir lieu lorsque la Commission a constaté par voie de décision que le pays tiers, un territoire ou un ou plusieurs secteurs déterminés dans ce pays tiers, ou l'organisation internationale en question assure un niveau de protection adéquat. Un tel transfert ne nécessite pas d'autorisation spécifique". La récente "décision d'adéquation" est donc celle par laquelle la Commission constate que les systèmes juridiques européens et américains offrent des niveaux de protection des données personnelles jugés équivalents. 

Mais ces niveaux de protection n'ont jamais été équivalents, ne serait-ce que parce que les fondements juridiques de la protection des données personnelles sont bien différents. Elle est régie au plan européen par le RGPD, texte impératif qui n'interdit d'ailleurs pas aux États d'adopter une législation encore plus protectrice. Aux États-Unis, la protection des données personnelles est assurée par un système de certifications et de codes de conduite auxquels les entreprises déclarent se conformer. Quant aux transferts de données effectués au profit des services de renseignement américains, ils sont demeurés très largement incontrôlés. Les citoyens européens sont évidemment victimes de cette situation, notamment ceux installés aux États-Unis qui ne disposent d'aucune voie de recours sérieuse lorsque leurs données personnelles sont captées, au nom de la sécurité nationale américaine.

Cette différence dans les standards de protection est si importante que la Cour de justice de l'Union européenne (CJUE) a déjà annulé deux décisions d'équation. Elle a été saisie à deux reprises par l'avocat autrichien Maximilian Schrems, l'un des acteurs européens les plus engagés dans la protection des données personnelles. Depuis des lustres, il combat inlassablement ces accords d'équivalence, sans équivalence. Et il a déjà obtenu deux victoires importantes devant la CJUE.

 

Schrems I et le Safe Harbor

Maximilian Schrem a contesté une première décision d'adéquation de la Commission, datée du 26 juillet 2000. A l'époque, elle trouvait son origine dans un premier accord intervenu entre l'UE et les Etats Unis, le Safe Harbor. Maximilian Schrems obtient satisfaction, et la CJUE, dans un premier arrêt du 6 octobre 2015, rendu sur question préjudicielle, déclare cette décision non conforme au droit européen de la protection des données, faisant en quelque sorte exploser le Safe Harbor.

A l'époque, le recours s'appuyait sur la directive du Parlement et du Conseil du 24 octobre 1995, dont l'article 25 précisait que "les Etats membres prévoient que le transfert vers un pays tiers de données à caractère personnel (...) ne peut avoir lieu que si (..) le pays tiers acquiert un niveau de protection adéquat".  

La CJUE remarquait alors que le caractère "adéquat" de la protection américaine relèvait de l'auto-proclamation. Les entreprises américaines déclaraient adhérer aux principes du "Safe Harbor", c'est-à-dire offrir un espace de sécurité aux données personnelles provenant de pays de l'Union européenne. Quant au contrôle, il se faisait par certification. Il ne s'agissait cependant pas d'un système de certification par un organisme indépendant, mais d'un système d'"auto-certification" par laquelle l'entreprise déclarait respecter les principes généraux de protection des données, et se contrôlait elle-même. Enfin, la captation des données par les services de renseignement américains n'était pas même envisagée.

Pas dupe sur l'efficacité du système, la Cour a donc pulvérisé le Safe Harbor. Les lobbys se sont remis au travail, et un nouvel accord a été conclu, le Privacy Shield.

That's Hell Folks. Nathalie Faintouch (née en 1965)

 

Schrems II et le Privacy Shield

 

Entrée en vigueur le 1er août 2016, une seconde décision de la Commission a déclaré l'"adéquation" de la protection des données assurée par l'accord Privacy Shield. Aux termes de cet accord, les firmes américaines pouvaient conduire un nouveau processus d'auto-certification et s'inscrire sur un registre géré par le ministère du commerce américain. Les entreprises européennes étaient alors autorisées à transférer leurs données personnelles aux firmes figurant sur cette liste, une autre décision de la Commission prévoyant des "clauses types" pour ce type d'échanges. C'est ce que faisait Facebook, dont la filiale irlandaise transférait massivement les données des abonnés européens du réseau social à la maison mère américaine.  

Et précisément Maximilian Schrems veillait. Cette fois, il était en conflit ouvert avec Facebook. Invoquant les révélations d'Edward Snowden, il demandait la cessation des transferts de données personnelles de Facebook Irlande à Facebook Etats Unis, dès lors que ces données conservées sur des serveurs américains sont accessibles aux services de renseignements des Etats-Unis, la NSA en particulier. Le requérant s'appuyait une nouvelle fois sur le droit européen de l'époque, c'est-à-dire sur la directive de 1995 sur la protection des données. Quant à Facebook, il invoquait le respect du Privacy Shield.

Saisie par Maximilian Schrems, la Grande Chambre de la Cour de Justice de l'Union européenne (CJUE) a donc invalidé, dans un arrêt du 6 juillet 2020, la nouvelle décision de la Commission déclarant l'"adéquation" de la protection des données assurée par l'accord Privacy Shield.  La seule différence avec l'arrêt Schrems 1 réside dans le fondement juridique retenu par la Cour, puisque, cette fois, le RGPD était en vigueur. Pour le reste, est surtout sanctionnée l'absence de dispositions relatives aux données captées par les services de renseignement américains. Une vague annexe II de la décision d'adéquation se borne à mentionner que des ingérences dans les données personnelles ayant ainsi transité de l'Europe vers les Etats Unis sont possibles, fondées notamment sur "des exigences relatives à la sécurité nationale et à l’intérêt public ou sur la législation interne des États-Unis". Autrement dit, les données des internautes européens pouvaient faire l'objet d'une collecte de masse par l'administration américaine, collecte qui, au regard du droit européen, s'analyse comme une ingérence dans la vie privée.

Toujours pas dupe, la CJUE a donc pulvérisé le Privacy Shield comme elle avait pulvérisé Safe Harbor.

 

Schrems III et le "Data Privacy Framework" ?

La question de la durée de vie de la décision d'adéquation du 10 juillet 2023, et l'on peut supposer que Maximilian Schrems est déjà occupé à peaufiner son recours. 

Il est toujours délicat d'annoncer le succès ou l'échec d'une requête avant qu'elle ait été déposée, et la plus grande prudence s'impose. On s'interroge tout de même sur la manière dont la Commission a géré les échecs des accords successifs, sans finalement tenir compte des observations de la Cour. Car le nouvel accord "Data Privacy Framework"n'est guère plus sérieux que les précédents. Il énonce en toute simplicité que les transferts de données pourront se faire « en toute sécurité de l'UE vers des entreprises américaines participant au cadre », sans nécessité de « mettre en place des garanties supplémentaires en matière de protection des données ».

Quant à l'accès des services de renseignement américains aux données personnelles des internautes européens, la question est régie aux États-Unis par un Executive Order purement cosmétique signé par la Président Biden. Il précise qu'il sera limité à "ce qui est nécessaire et proportionné pour la sécurité nationale". En cas de litige, est prévu "un mécanisme de recours indépendant et impartial". Observons bien qu'il ne s'agit pas d'un tribunal mais d'un "délégué à la protection des libertés civiles" directement issu de la communauté du renseignement. Si celui-ci écarte la requête, l'internaute pourra se tourner vers une "Cour" composée de "membres extérieurs au gouvernement". Observons cette fois qu'il ne s'agit pas nécessairement de magistrats. 

Surtout, et c'est sans doute ce qui fera le plus frémir Maximilian Schrems, l'Exécutive Order énonce que la surveillance de masse prévue par le Foreign Intelligence Surveillance Act (FISA Act) est "proportionnée" en vertu d'une "interprétation américaine" non divulguée. Or le FISA Act permet aux agences américaines de surveiller les communications des étrangers à à l'étranger... Cette "interprétation américaine" non divulguée s'analyse donc comme une gigantesque claque infligée aux Européens qui doivent accepter d'être espionnés au nom des intérêts américains. Bien entendu, la "protection équivalente" ne suppose tout de même pas que les Etats européens puissent espionner les citoyens américains sur leur sol... Il reste à se demander comment la CJUE va apprécier l'insulte.

Evidemment la question essentielle est la suivante : comment la Commission européenne a-t-elle pu accepter le "Data Privacy Framework" . Car il faut qu'il ait été signé, et ceux qui l'ont signé ne pouvaient ignorer qu'il allait à l'encontre des droits les plus élémentaires des citoyens européens en autorisant tout simplement qu'ils soient espionnés par les services américains. La réponse se trouve dans le lobbying, ce qui nous ramène évidemment au cas de Mme Morton. Les États-Unis seraient-ils en traint de faire une OPA hostile sur l'Union européenne ?

---

Les juges du fond et le droit à l'oubli

Dans une décision du 27 novembre 2019, la première chambre civile de la Cour de cassation précise l'étendue du contrôle des juges du fond sur le droit à l'oubli.

Rappelons qu'en droit français, le droit à l'oubli est une notion bien antérieure à internet. Il apparaît précisément en droit de la presse, lorsqu'une personne réinsérée dans la société demande l'oubli de ses erreurs et fautes du passé. 

Les fondements du droit à l'oubli

 

Tel est précisément le cas du requérant, M.  X. , qui exerce la profession d'expert-comptable et qui a été condamné pour escroquerie en 2011 par le tribunal correctionnel de Metz, condamnation à dix mois de prison avec sursis confirmée en appel en 2013. Archivée sur le site du Républicain lorrain, deux articles de presse relatant ces deux audiences sont toujours accessibles. Le fait de taper le nom de M. X. sur Google, en 2017, renvoie ainsi immédiatement à ces deux articles. Invoquant le droit à l'oubli, M. X. a demandé au moteur de recherches leur désindexation, opération qui ne fait pas disparaître les articles concernés des archives du journal, mais seulement les liens qui y renvoient. Quoi qu'il en soit, Google a refusé de procéder à cette désindexation, et M. X. a donc assigné le moteur de recherche en invoquant son droit à l'oubli. 

Le fondement juridique de la demande de M. X. se trouve dans la directive européenne du 24 octobre 1995  qui consacrait un droit de rectification des données inexactes, incomplètes ou qui ne sont plus pertinentes. C'est ce texte qui était en vigueur au moment du recours, en 2017. Il était d'ailleurs directement inspiré de l'article 6 al. 4 de la loi française du 6 janvier 1978, qui mentionne que les données inexactes doivent être effacées ou rectifiées, à la seule demande de l'intéressé. 

Aujourd'hui, le droit à l'oubli est formellement garanti par l’article 17 du Règlement général de protection des données (RGPD), qui affirme que « la personne concernée a le droit d’obtenir du responsable du traitement l’effacement, dans les meilleurs délais, de données à caractère personnel la concernant et le responsable du traitement a l’obligation d’effacer ces données à caractère personnel ». La loi du 20 juin 2018 a fait de la Commission nationale de l'informatique et des libertés (CNIL) l'autorité de contrôle du RGPD. Celle-ci a mené, au nom de l'Union européenne, une véritable bataille contentieuse, dans le but d'imposer à Google le respect de ce droit. Elle a obtenu des succès dans ce domaine, succès renforcée par l'arrêt Google Spain du 13 mai 2014 qui reconnaît expressément le droit à l'oubli sur internet. Depuis lors, Google a accepté de faire figurer sur son site le formulaire qui a permis à M. X. de faire sa demande de désindexation. 

L'oubli. Lynda Lemay

Le contrôle des motifs

Le problème est que la firme Google fait ce qu'elle veut, dans la plus grande opacité. En effet, elle réalise elle-même une appréciation de l'équilibre entre le droit à l'information et le droit à l'oubli et ne diffuse aucun élément sur les motifs qu'elle prend en compte pour accepter ou écarter la demande. Prend-elle en considération l'ancienneté de la condamnation ? sa gravité ? la notoriété de l'affaire ou celle des organes de presse, voire les liens commerciaux qu'elle entretient avec tel ou tel média ? Nul n'en sait rien. Elle fait ce qu'elle veut et n'entend pas communiquer aux juges internes les motifs de ses décisions. 

Précisément, par son arrêt du 27 novembre 2019, la Cour de cassation confère aux juges du fond une compétence générale pour apprécier le choix fait par la firme. Ils doivent ainsi apprécier de manière concrète la demande de déréférencement, se prononcer "sur son bien-fondé" et "vérifier (...)  si l’inclusion du lien litigieux dans la liste des résultats, affichée à la suite d’une recherche effectuée à partir du nom d’une personne, répond à un motif d’intérêt public important, tel que le droit à l’information du public, et si elle est strictement nécessaire pour assurer la préservation de cet intérêt". En l'espèce, les juges du fond sont sanctionnés pour avoir seulement fait référence au droit à l'information des internautes, sans se pencher sur la protection des données personnelles de M. X. 

La Cour de cassation, en l'espèce, se fonde directement sur la jurisprudence de la Cour de justice de l'Union européenne (CJUE). Dans une décision du 24 septembre 2019, celle-ci énonce en effet que le responsable du traitement est, en principe, tenu de faire droit aux demandes de désindexation de liens menant vers des pages web sur lesquelles figurent des données personnelles. Et l'exploitant d'un moteur de recherches ne peut se soustraire à cette obligation que si l'inclusion du lien dans la liste de résultats s'avère "strictement nécessaire pour protéger la liberté d'information des internautes". Il lui appartient donc d'exprimer clairement cette mise en balance entre l'ingérence dans les données personnelles et le droit à l'information. S'il ne le fait pas, cette mission incombe au juge du fond qui risque de sanctionner systématiquement Google, si l'entreprise persiste à refuser de motiver ses décisions.

Les juges français s'efforcent donc d'imposer à Google le respect du droit européen. Ils ne sont pas les seuls et le tribunal de Karlsruhe vient de renvoyer aux juges du fond allemands une affaire très semblable, leur imposant de se livrer à une appréciation identique. Certes, nul n'ignore le cadre territorial du droit à l'oubli. Dans une seconde décision du 24 septembre 2019, la CJUE a ainsi précisé que la territorialité du droit européen limitait les effets du désindexation aux résultats de recherches effectuées sur les moteurs européens du Google. Les données couvertes par le droit à l'oubli demeurent donc accessibles par les moteurs non européens, à commencer par le moteur américain. Il n'empêche que l'Europe entend toujours imposer à Google le respect de la vie privée, dans sa définition européenne : les données personnelles ne sont pas des biens dont on fait commerce, mais des éléments liés à la vie privée sur lesquels l'intéressé doit conserver une certaine maîtrise.

Sur le droit à l'oubli : Chapitre 8 Section  5 § 1 B , 3,  du manuel de Libertés publiques sur internet

Covid-19 : Le Conseil d'Etat arrive en retard

Le Conseil d'Etat présente avantageusement sur son site plusieurs ordonnances rendues par le juge des référés le 18 mai 2020, saisi sur le fondement du référé-liberté. Dans la première, "Le Conseil d'Etat ordonne à l'Etat de cesser immédiatement la surveillance par drone du respect des règles sanitaires", et, dans une série de quatre autres, il "ordonne au Premier ministre de prendre des mesures moins contraignantes" dans le cas des "rassemblements dans les lieux de culte". Ces formulations sont de nature à rassurer ceux qui sont attachés à l'image du "Conseil-d'Etat-protecteur-des-libertés". Depuis le début de la crise sanitaire, les décisions défavorables à l'Exécutif sont bien rares, à l'exception de l'ordonnance lui enjoignant de reconnaître la liberté d'aller et de venir à vélo.

Observons toutefois que ces ordonnances interviennent après le 11 mai, date d'un déconfinement progressif et différencié selon les régions. Certes, l'état d'urgence sanitaire n'est pas levé, mais le juge administratif considère tout de même que les préoccupations de santé publique sont devenues un peu moins urgentes. Il peut donc se permettre de réintégrer un peu de droit dans une pratique qui s'est caractérisée, pendant de longues semaines, par un oubli des règles les plus élémentaires gouvernant la protection des libertés, oubli auquel le Conseil d'Etat n'a posé aucune limite. Aujourd'hui, il affiche son attachement aux libertés, dans des domaines qui n'entravent pas réellement la liberté d'action de l'Exécutif.

La surveillance par drones

Cette évolution apparaît clairement dans l'ordonnance relative à la surveillance aérienne par drone. L'association La Quadrature du Net et la Ligue des droits de l'homme avaient en effet saisi le juge le 6 mai, soit cinq jours avant la fin du confinement. Mais celui-ci, qui aux termes de l'article L 521-2 du code de justice administrative, aurait dû se prononcer dans les quarante-huit heures, a finalement rendu son ordonnance le 18 mais, douze jours après sa saisine, et une semaine après la fin du confinement.

Sur le fond, la lecture de l'ordonnance conduit à nuancer sérieusement la présentation faite par le Conseil d'Etat sur son site. D'une part, l'interdiction est territorialement limitée à la ville de Paris, sans doute parce que c'est la seule ville dans laquelle la surveillance par drone a été effective. D'autre part, et c'est plus important, le juge des référés ne sanctionne finalement qu'une règle de procédure.

Les forces de police disposaient en l'espèce de quatre drones équipés d'un zoom optique et d'un haut-parleur, utilisés deux à trois heures par jour. Le télépilote du drone filmait les lieux dans lesquels des rassemblements étaient susceptibles de se former, en violation des mesures prescrites par l'état d'urgence sanitaire. Les images étaient transmises en temps réel dans un centre de commandement, où il était décidé de la conduite à tenir, soit ne rien faire, soit utiliser le haut-parler pour diffuser un message de mise en garde aux personnes présentes sur le site, soit envoyer des agents susceptibles de verbaliser.

Le juge des référés ne considère pas, en soi, une telle pratique comme illicite. Il estime d'abord sa finalité légitime, dès lors qu'il s'agit d'assurer la sécurité publique "dans les circonstances actuelles". Il affirme ensuite que la doctrine d'emploi, formalisée dans une note du 14 mai 2020, n'est pas de nature, "en tant que telle" à porter une atteinte grave et manifestement illégale à une liberté fondamentale. Dans le cas présent, le drone n'est pas équipé d'une carte mémoire et il n'est donc procédé à une aucun enregistrement ni conservation d'images. Il est constant enfin qu'un tel équipement entre dans le champ du règlement général sur la protection des données personnelles (RGPD), qui s'applique aux traitements de données à caractère personnel, "y compris [pour] la protection contre les menaces pour la sécurité publique et la prévention de telles menaces".

C'est précisément l'objet du débat : Le drone utilisé par les forces de police est-il un traitement de données à caractère personnel ? Le gouvernement répond par la négative, en invoquant rapidement l'usage qu'il fait de ces appareils. En pratique, il n'y a pas d'identification des personnes filmées, les drones opérant de trop loin, et les images ne sont pas conservées.

C'est vrai, mais, comme bien souvent, le gouvernement a préféré l'analyse technique à l'analyse juridique. L'article 3 du RGPD défini un traitement comme « toute opération (...) effectuée ou non à l'aide de procédés automatisés et appliquée à des données à caractère personnel ou des ensembles de données à caractère personnel, telles que la collecte, l'enregistrement, l'organisation, la structuration, la conservation, l'adaptation ou la modification, l'extraction, la consultation, l'utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l'interconnexion, la limitation, l'effacement ou la destruction ». En l'espèce, le drone capte des données et les transmet au centre de commandement. Et si le gouvernement affirme que les drones volent trop haut pour identifier des personnes, aucun dispositif technique ne les empêche de voler plus bas, et donc de capter des données identifiantes, susceptibles, éventuellement, d'être utilisées à d'autres fins que la surveillance du confinement ou du déconfinement, par exemple pour identifier les participants à une manifestation).

Le juge des référés en déduit que le gouvernement a violé la procédure imposée par l'article 31 de la loi du 6 janvier 1978 Informatique et Libertés. L'utilisation des drones dans cette situation aurait en effet dû donner lieu à un acte réglementaire précédé d'un avis de la CNIL. Or l'autorité indépendante a été totalement écartée de la procédure. On est bien loin d'une censure rigoureuse, et le juge des référés indique même au gouvernement la marche à suive. Il a en effet le choix entre deux actions : soit engager une procédure régulière avec un avis de la CNIL, soit doter ses drones d'un dispositif rendant totalement impossible l'identification des personnes filmées.

Choeur des carabiniers. Les Brigands. Jacques Offenbach

Direction : F. X. Roth. Mise en scène J. Deschamps. Opéra Comique. 2011

La liberté de culte

La situation est bien différente dans les quatre ordonnances par lesquelles le juge des référés enjoint au Premier ministre de modifier, dans un délai de huit jours, l'article 10 du décret du 11 mai 2020 qui prévoit que, même après le déconfinement, tout rassemblement ou réunion au sein des établissements de culte est interdit, à l’exception des cérémonies funéraires, qui sont limitées à vingt personnes.

Cette fois, le juge se fonde sur une jurisprudence classique relative à la police administrative. Depuis l'arrêt Daudignac de 1951, le Conseil d'Etat estime qu'une mesure de police ne peut prononcer une interdiction générale et absolue d'exercer une liberté, sauf hypothèse où aucun autre moyen de garantir l'ordre public ne peut être mis en oeuvre.

Il ne fait aucun doute que la liberté de culte est une liberté fondamentale susceptible de donner lieu à un référé, au sens de l'article L 521-2 du code de la justice administrative. Dans une décision du 29 mars 2018 Rouchdi B. et autres, le Conseil constitutionnel a donc logiquement considéré que la fermeture des lieux de culte peut et doit faire l'objet d'un contrôle approfondi par le juge administratif. Celui-ci examine donc avec minutie les circonstances qui ont justifié l'atteinte à la liberté de culte. Dans une décision du 22 novembre 2018, le Conseil d'Etat justifie ainsi la fermeture d'une salle de prière à la Grande Scynthe par la tenue de "prêches, de propos tendant légitimer le Djihad armé, s'accompagnant d'un endoctrinement de la jeunesse". Aux yeux du juge, l'interdiction générale et absolue est donc justifiée dans ce cas, les propos tenus constituant, en soi, une atteinte à l'ordre public et à la sécurité publique.

Dans le cas de la fermeture décidée par le décret du 11 mai 2020, le ministère de l'intérieur, chargé des cultes, s'appuie sur deux séries d'éléments. D'une part, il rappelle que le risque de contamination est surtout élevé dans le cas de réunions se déroulant dans des espaces clos. D'autre part, il invoque le rassemblement évangéliste qui s'est déroulé dans la troisième semaine de février, près de Mulhouse, et qui est à l'origine de la diffusion massive du virus, en particulier, mais pas seulement, dans l'est de la France.

Le juge des référés écarte ces arguments. Il rappelle que ce rassemblement a eu lieu à une date à laquelle aucune règle de sécurité particulière n'avait été imposée. Surtout, il observe que d'autres rassemblements dans des espaces clos sont soumis des règles moins contraignantes, notamment dans les transports publics, les centres commerciaux, les établissements d'enseignement, les bibliothèques, qui peuvent accueillir du public, à la condition de respecter les règles applicables et notamment de prévoir un espace sans contact de 4m2 par personne. Le juge en déduit donc que l'interdiction générale et absolue qui pèse sur les lieux de culte est disproportionnée au regard de l'intérêt poursuivi.

Certes, tout cela peut sembler convaincant, si ce n'est que le juge qualifie l'article 10 du décret d'interdiction "générale et absolue" un peu rapidement. Il porte au contraire en lui une dérogation, dès lors que les cérémonies funéraires, elles, peuvent être organisées, avec une assistance de vingt personnes. Il aurait donc pu aussi bien considérer que ces dispositions n'emportaient aucune interdiction générale et absolue.

Le juge des référés donne ainsi une satisfaction aux associations catholiques qui l'ont saisi. Mais, là encore, l'Exécutif va modifier le décret, et il a le choix entre deux voies de droit. D'un côté, il pourrait reprendre la même disposition en la motivant davantage, par exemple en mentionnant que les forces de police ont beaucoup de difficultés pour réaliser un contrôle dans un lieu de culte, et plus particulièrement une église catholique. Les fidèles perçoivent en effet l'édifice comme un lieu dans lequel la police ne saurait pénétrer, même si cette croyance ne repose pas sur un fondement juridique réel. De l'autre, et c'est probablement la solutions qui sera choisie, il pourrait tout simplement intégrer le régime des cultes sur celui des lieux publics ouverts aux rassemblements de moins de dix personnes.

Dans tous les cas, le Conseil d'Etat se présente comme le protecteur des libertés, sans entraver sérieusement l'action de l'Exécutif. Ce dernier va sans doute autoriser dix personnes à pénétrer dans une église et utiliser des drones "bridés" de manière à ne pas permettre d'identification des personnes, ce qui d'ailleurs n'a jamais été le but à atteindre. Rien de grave, en somme.

La lecture de ces deux ordonnances laisse plutôt penser que la juridiction administrative arrive après la bataille. Les atteintes aux libertés les plus graves sont intervenues pendant le confinement, et les interdictions générales et absolues concernaient alors, non pas la liberté d'entrer dans une église, mais celle de sortir de chez soi, d'exercer la liberté d'entreprendre ou la liberté de réunion. Mais le Conseil d'Etat cultivait alors la plus grande discrétion.

Covid-19 : "StopCovid" devant la CNIL

La Commission nationale de l'informatique et des libertés (CNIL) a rendu, le 24 avril 2020, un avis sur le projet d'application mobile dénommée Stopcovid. Cet avis est favorable, mais s'accompagne de nombreuses mises en garde. 

L'application, téléchargeable sur smartphone, a pour objet d'informer les personnes du fait qu'elles ont été, tout récemment, à proximité d'une ou plusieurs personnes positives au Covid-19. Cette proximité induisant un risque de transmission, l'intéressé, jugeant de l'importance de son exposition au virus, pourra alors demander à se faire tester. Sur le plan technique, StopCovid repose sur la technologie Bluetooth qui permet aux smartphones de communiquer entre eux, sans qu'il soit nécessaire de recourir à la géolocalisation.

La Commission était saisie par le secrétaire d'Etat en charge du numérique, Cédric O, conformément à l'article 8-I-2°-e  de la loi du 6 janvier 1978 qui oblige les pouvoirs publics à solliciter son avis préalablement à toute création d'un traitement collectant et conservant des données à caractère personnel.

Dans le cas présent, force est de constater que cet avis intervient dans des conditions particulièrement difficiles. D'une part, la CNIL a dû délibérer extrêmement rapidement, puisque l'avis est rendu quatre jours après la saisine. D'autre part, le terrain juridique est incertain, et la CNIL mentionne qu'elle n'a pu disposer que "des premiers éléments de réflexion sur l'architecture fonctionnelle et technique d'une telle application". Son avis prend ainsi l'allure d'une recommandation in abstracto, un moyen de dire au gouvernement quelles sont les contraintes juridiques qui pèsent sur la création de StopCovid.

Un traitement de données personnelles

En saisissant la CNIL, le gouvernement lui a fait part de ses doutes sur la nature des données ainsi collectées. A ses yeux, il ne s'agit pas nécessairement de données personnelles au sens de la loi du 6 janvier 1978. Il fait ainsi valoir que le traitement reposera sur l'usage de pseudonymes et ne consistera pas à suivre tous les mouvements des personnes, mais simplement à dresser la liste des porteurs du virus éventuellement rencontrés. A l'évidence, le fait de ne pas considérer StopCovid comme un traitement de données personnelles faciliterait considérablement la tâche du gouvernement, car depuis le Réglement général de protection des données (RGPD), les fichiers de données non personnelles ne sont plus soumis à aucune procédure préalable.

Mais la CNIL ne lui accorde pas satisfaction sur ce point. Elle affirme au contraire que ce traitement "pose des questions inédites en termes de protection de la vie privée" et que le fait de recourir à des pseudonymes ne change rien au fait qu'il s'agit de dresser une liste des personnes que le porteur du téléphone a rencontrées. Certes, le serveur central lui-même utilisera des pseudonymes, mais ils demeurent attachés à une application téléchargée sur un téléphone qui est généralement la propriété d'une personne identifiée. La ré-identification de la personne physique demeure donc possible.

La CNIL rappelle, à ce propos, que comme tout fichier relatif à la vie privée, l'application StopCovid devra respecter le principe de proportionnalité, ce qui signifie concrètement que la collecte et la conservation des données devront être limitées à ce qui est strictement nécessaire à sa finalité, y compris dans son caractère temporaire. Toutes les données devront donc être supprimées dès que l'application ne sera plus utile.

Le Prisonnier. Je ne suis pas un numéro. 

Patrick Mac Goohan. 1967

La recherche d'un fondement légal

Le débat ne s'arrête pas là, car le gouvernement considère que le caractère volontaire du téléchargement de StopCovid s'analyse comme un consentement formel de l'intéressé, suffisant à lui conférer un fondement légal. Or les deux termes ne sont pas synonymes, et le consentement éclairé de la personne ne peut être déduite d'un téléchargement. La CNIL fait observer que la notion de volontariat ne saurait se réduire au simple fait de pouvoir télécharger, ou pas, l'application. Elle impose aussi que le refus de téléchargement n'emporte aucune conséquence négative pour l'intéressé, par exemple en termes d'accès aux tests ou aux soins, ou encore en matière de levée du confinement. De la même manière, ceux qui téléchargeront l'application ne devront pas se voir contraints d'emporter leur téléphone à chaque déplacement. C'est seulement si ces conditions sont remplies que l'on pourra parler de "volontariat", sans pour autant en faire un consentement.

La CNIL préfère donc chercher le fondement légal de StopCovid dans la mission d'intérêt public poursuivie, mentionnée dans l'article 5-5° de la loi. Il assure en effet davantage de sécurité juridique. D'une part, le droit à la santé est constitutionnellement garanti par le Préambule de 1946. D'autre part, le RGPD prévoit formellement que des traitements de données personnelles peuvent être mis en oeuvre "dans le domaine de la santé publique, tels que la protection contre les menaces transfrontalières graves pesant sur la santé", à la condition, bien entendu, que le droit interne prenne les mesures appropriées. La Commission reconnaît ainsi que StopCovid répond à cet intérêt public.

En admettant l'intérêt public de l'application, la CNIL n'entend pourtant pas donner un blanc-seing au gouvernement.

Quelques avertissements

 

La CNIL fait observer qu'elle entend suivre le dossier. Elle note que StopCovid ne sera utile que si une proportion suffisante de la population accepte de l'utiliser. Or, une part significative de celle-ci, notamment les personnes âgées, ne dispose pas des équipements adéquats ou ignorent comment installer une application. Par ailleurs, les personnes asymptomatiques ne pourront évidemment pas déclencher d'alerte. Cette initiative ne saurait donc résoudre tous les problèmes, et elle doit donc s'inscrire dans un plan d'ensemble impliquant notamment "la disponibilité de masques et de tests", l'organisation de dépistages et de mesures de soutien. Et la CNIL de mettre en garde le gouvernement contre "le solutionnisme technologique".

La CNIL adresse aussi au gouvernement un autre avertissement portant cette fois sur la procédure suivie. Elle avertit que le présent avis est donné en l'état actuel du dossier et que "les modalités exactes de mise en oeuvre, sur les plans juridique, technique et pratique ne sont pas encore arrêtés à ce stade". Elle affirme donc qu'elle devra être de nouveau saisie "après la tenue du débat au Parlement, et s'il était décidé de recourir à un tel instrument". Or on se souvient que ce débat parlement a donné lieu à quelques atermoiements. Dans un premier temps, le Premier ministre avait accepté un débat, sans vote. Ensuite, le Président de la République a accepté l'idée d'un débat suivi d'un vote. Enfin, et sans doute parce que les députés LaRem ne semblent pas tous d'accord sur cette question, il a été décidé de "noyer" le débat sur StopCovid dans la discussion plus générale sur le plan de déconfinement. Sur ce point, la CNIL risque d'être déçue. Car l'organisation du débat parlementaire qu'elle appelait de ses voeux témoigne surtout d'une volonté, à peine dissimulée, d'empêcher toute discussion de fond.

Veut-on fermer l'Open Data ?

La loi Lemaire du 7 octobre 2016 pour une République numérique confère un fondement législatif au principe d'Open Data des données publiques. En matière d'accès au droit, l'Open Data se définit comme un droit d'accès et de réutilisation des normes juridiques, qu'il s'agisse des règles juridiques comme la loi et les actes réglementaires, ou des décisions rendues par les différentes juridictions. Mis en oeuvre comme un service public gratuit, ce qui n'interdit pas une réutilisation des données à des fins commerciales, l'Open Data s'est développé à partir du site Legifrance.

Si l'accès aux normes législatives et réglementaires est désormais entré à la fois dans le droit et dans les moeurs, il n'en est pas tout à fait de même de l'accès à la jurisprudence, c'est-à-dire à l'ensemble des décisions de justice. Legifrance ne diffuse de manière exhaustive que les décisions des juridictions suprêmes que sont le Conseil d'Etat et la Cour de cassation. L'Open Data peine à s'imposer dans ce domaine et de nombreuses réticences se font jour. En témoignent deux initiatives discrètes, visant à restreindre sa portée.

L'article 18 du projet de loi de programmation pour la justice prévoit ainsi de modifier tant le code de la justice administrative que celui de l'organisation judiciaire, en précisant que "les tiers peuvent se faire délivrer copie des décisions, sous réserve que leur demande ne soit pas abusive ou n'ait pas pour objet ou pour effet la délivrance d'un nombre important de décisions. La délivrance de la copie de la décision est précédée d'une occultation des éléments d'identification des parties et des tiers mentionnés dans la décision, lorsqu'elle est de nature à porter atteinte à la sûreté des personnes ou à l'intimité de la vie privée".

De son côté, Madame Joissains, rapporteur au Sénat du projet de loi sur la protection des données personnelles a déposé un amendement  précisant que les modalités de mise à disposition des décisions de justice "préviennent tout risque de ré-identification des magistrats, des avocats, des parties et de toutes les personnes citées dans les décisions, ainsi que tout risque, direct ou indirect, d'atteinte à la liberté d'appréciation des magistrats et à l'impartialité des juridictions".

Ces deux initiatives révèlent une double préoccupation, d'une part empêcher la communication en masse des décisions de justice, d'autre part imposer des contraintes d'anonymisation extrêmement lourdes, si lourdes qu'elles risquent de se révéler impossibles à mettre en pratique, au moins dans un avenir proche.

La communication en masse des décisions

Si l'on en croit l'article 18, l'accès à la jurisprudence peut s'exercer, sous la réserve que les tiers ne fassent pas de "demandes abusives" ou visant à la "délivrance d'un nombre important de décisions". Les notions employées frappent par leur incertitude. Comment définir une demande abusive ? A partir de combien le nombre de décisions dont la communication est sollicitée devient-il important ? Ces incertitudes sont loin d'être neutres, car elles conduisent à laisser à la juridiction elle-même, voire au greffe, le soin d'apprécier le bien-fondé de la demande.

On ne peut s'empêcher de penser qu'une telle mesure vise avant tout la Legal Tech, c'est à dire les entreprises qui proposent des services de mise à disposition des décisions de jurisprudence, avec l'aide de moteurs de recherches très élaborés apportant à l'utilisateur des résultats aussi adaptés que possibles à la spécificité de sa demande. Comment serait-il matériellement possible  de mettre en oeuvre de tels systèmes en accédant aux décisions une par une, ou deux par deux, selon les choix définis par juridictions elles-mêmes, c'est-à-dire le plus souvent par les greffes ? Il est évident qu'une entreprise qui propose un traitement de masse des décisions de justice voit son activité entravée par une telle restriction.

Le problème est que cette restriction heurte directement le droit à la réutilisation des informations publiques à d'autres fins que celles pour lesquelles elles sont détenues ou élaborées, droit consacré par l'ordonnance du 6 juin 2005 et qui fait partie intégrante du principe d'Open Data.

Le poison. René Magritte. 1939

Anonymisation ou pseudonymisation

Aux termes Les articles 20 et 21 de la loi Lemaire, les "jugements sont mis à la disposition du public à titre gratuit dans le respect de la vie privée des personnes concernées. Cette mise à disposition du public est précédée d'une analyse du risque de ré-identification des personnes". Les bornes de l'Open Data se trouvent dans la vie privée des personnes, principe d'ailleurs conforme tant à la législation française qu'au règlement général sur la protection des données (RGPD) qui entrera en vigueur le 25 mai 2018. Pour assurer l'exercice des droits d'accès et de réutilisation, il convient ainsi d'élaborer des outils, c'est-à-dire des algorithmes, qui exploiteront les décisions de justice, en livreront le contenu sans porter atteinte à la vie privée des personnes. L'exigence est élevée, car l'anonymisation ou la pseudonymisation doit s'accompagner d'une analyse visant à prévenir le risque de ré-identification. 

Il est vrai que, dans ce domaine, la réflexion est bien loin d'être achevée. L'intelligence artificielle permet aujourd'hui d'envisager un traitement quantitatif des données qui pourrait avoir de lourdes conséquences. Le justiciable pourrait savoir si un magistrat est plus indulgent qu'un autre au sein d'un même tribunal, ou s'il accorde des réparations plus élevées, ou pire, si l'avocat qu'il a choisi gagne ses causes, ou s'il les perd. A l'inverse, l'anonymisation complète risquerait peut-être de conduire à une justice irresponsable ? Par ailleurs, à qui doit-on confier cette anonymisation ? La solution la plus évidente serait de la confier au service public lui-même, mais il a peu de moyens financiers et techniques. Le choix de la confier au secteur privé, à ceux là mêmes qui demandent accès ne pourrait se justifier que s'il s'accompagnait d'un véritable contrôle des algorithmes et d'accords de confidentialité assez proches de ceux qui existent, par exemple, dans le domaine de l'armement. Toutes ces questions doivent être posées et des règles doivent être définies.

Pour le moment, les deux initiatives prises dans le projet de loi de programmation comme dans celui sur la protection des données ne vont pas dans le sens de la réflexion mais dans celui d'un accroissement de la contrainte. L'article 18 de la loi de programmation prévoit ainsi une occultation systématique de tout élément d'identification "lorsqu'il est de nature à porter atteinte à la sûreté des personnes ou à l'intimité de la vie privée". L'impératif de sûreté est ainsi ajouté à celui de vie privée. Le problème est que la sûreté désigne juridiquement la situation de la personne qui n'est ni arrêtée ni détenue, ce qui semble bien peu en rapport avec la diffusion des décisions de justice. S'agit-il d'une rédaction un peu trop hâtive ou de la recherche d'une notion permettant d'occulter l'ensemble des décisions ?

Le débat d'intérêt général

L'amendement Joissains va encore plus loin, puisqu'il imposerait de prévenir "tout risque de ré-identification", non seulement des magistrats, des avocats, des parties mais aussi de toute personne citée dans les décisions. Mais comment peut-on prévenir un tel risque ?  Comment empêcher, par exemple, la "ré-identification" du maire de Ploërmel dans le contentieux de la statue du Pape Jean-Paul II installée au milieu de sa ville ? Il faudrait occulter le nom de l'élu, mais aussi celui la ville, celui de l'artiste qui a créé l'oeuvre, et enfin... le nom du pape. Tout cela manque de sérieux car les commentateurs, comme avant eux les magistrats qui ont rendu la décision, ont besoin de connaître les faits à l'origine du litige pour pouvoir mener à bien leur analyse.

Surtout, la question de la liberté d'accès à l'information est posée. Imaginons un instant qu'un homme politique soit condamné pour un détournement de fonds publics, ou pour des propos injurieux ou diffamatoires. Les citoyens se verront-ils refuser l'accès à une décision de justice qui participe à l'exercice du débat public sous le seul motif que l'on peut reconnaître l'homme politique en question ? Depuis un arrêt Dupuis et autres c. France de 2007, la Cour européenne des droits de l'homme affirme régulièrement que l'on "ne saurait penser que les questions dont connaissent les tribunaux ne puissent, auparavant ou en même temps, donner lieu à discussion ailleurs, que ce soit dans des revues spécialisées, la grande presse ou le public en général. A la fonction des médias consistant à communiquer de telles informations et idées s'ajoute le droit, pour le public, d'en recevoir. » L'actualité judiciaire s'analyse comme un élément du débat d'intérêt général, susceptible d'être protégé par l'article 10 de la Convention européenne des droits de l'homme. Une pratique qui consisterait à empêcher toute identification des personnes dans les décisions de justice pourrait ainsi constituer une atteinte à cet article 10. 

Ces deux dispositions ont pour caractéristique commune de vouloir freiner l'Open Data des décisions de justice. Les causes d'une telle méfiance sont certainement multiples. D'une part, l'idée est solidement ancrée que la jurisprudence est un outil à disposition de ceux qui savent, magistrats, avocats etc. Les citoyens n'ont qu'à s'adresser aux experts qui leur expliqueront ce qu'ils doivent comprendre et ne pas chercher à comprendre par eux-mêmes. D'autre part, les juridictions suprêmes entendent conserver leur maîtrise de l'information, y compris dans l'accès aux décisions des juges du fond. Le rapport Cadiet suggère ainsi de placer l'Open Data sous leur pilotage, proposition de nature à les rassurer. Enfin, on affirme souvent que la communication en masse des décisions, en vue de leur réutilisation, est surtout demandée par les Legal Tech, au premier rang desquelles figure Doctrine.fr. Or, l'idée dominante est que ces données publiques ne doivent pas être réutilisées à des fins mercantiles.

Il est vrai que la Legal Tech tire bénéfice de données en principe gratuites. Mais force est de constater qu'elle n'est pas la seule et que cela n'a rien d'illicite.  La Cour de cassation elle-même, peu suspecte de vouloir tirer des bénéfices indus de son activités, gère la base de données JuriCa réunissant les décisions des cours d'appel. Or, si l'accès est gratuit pour les magistrats, il est payant pour les éditeurs juridiques. Ces derniers donnent également accès à leurs bases de données, moyennement paiement d'un abonnement. Ni les uns ni les autres ne sont des philanthropes et tous exercent une activité commerciale parfaitement légitime. Mais, dans l'état actuel des choses, force est de constater que les éditeurs juridiques traditionnels exercent leur activité au sein d'un marché protégé, fruit d'une longue tradition de proximité avec les juridictions suprêmes. Le principe d'égalité exigerait aujourd'hui que les entreprises de la Legal Tech soient traitées de la même manière. Considérées sous cet angle, les deux initiatives déployées au parlement peuvent apparaître comme des instruments de nature à maintenir un statu quo. Des esprits chagrins ou taquins pourraient même y voir l'expression d'un certain lobbying...

L'accès aux algorithmes de Parcoursup

Le tribunal administratif de Basse-Terre, dans un jugement du 4 février 2019, enjoint à l'Université des Antilles de communiquer à l'UNEF les algorithmes utilisés par l'Université dans le cadre du système Parcoursup d'orientation des étudiants ainsi que les codes sources correspondants. Sont donc considérés comme communicables les critères pris en compte ainsi que leur articulation. On se souvient que la première expérience de Parcoursup pour la rentrée universitaire de 2018 s'était caractérisée par l'opacité des critères utilisés pour gérer les voeux d'affectation des jeunes bacheliers. Il n'est donc pas surprenant qu'un syndicat étudiant ait demandé communication de ces éléments.

Algorithmes et transparence administrative

L'UNEF se fonde tout simplement sur la loi du 17 juillet 1978 désormais codifiée dans les articles L 311-1 et L 300-2 du code des relations entre le public et l'administration, loi qui consacre l'existence d'un droit d'accès aux documents administratifs. Depuis un avis du 8 janvier 2015 DGFIP, la Commission d'accès aux documents administratifs (CADA) estime ainsi que le code source utilisé pour le calcul de l'impôt sur le revenu est un document communicable, principe confirmé par le tribunal administratif de Paris, dans un jugement du 10 mars 2016. Par la suite, dans un avis du 23 juin 2016, Association Droits des Lycéens, la CADA s'est déclarée favorable à une transparence de même nature pour le code source du logiciel d'admission post-bas (APB), système qui a précédé Parcoursup.

La loi Lemaire pour une République numérique du 7 octobre 2016 a intégré ce principe dans la loi, en ajoutant les codes sources à la liste des documents administratifs communicables. Le décret du 14 mars 2017 précise ensuite que toute personne à laquelle est appliquée une décision issue d'un traitement algorithmique doit pouvoir obtenir communication des règles définissant ce traitement ainsi que des caractéristiques principales de sa mise en oeuvre. Pour faire bonne mesure, l'article L 312-1-3 du code des relations entre le public et l'administration (crpa) impose aux administrations la publication en ligne de ces algorithmes, lorsqu'ils fondent des décisions individuelles. L'État a effectivement rempli cette obligation en mai 2018 pour le système centralisé Parcoursup.

La transparence devrait donc s'imposer, si ce n'est qu'en l'espèce la CADA a rendu le 10 janvier 2019 un avis défavorable à la communication, avis écarté par le TA de Basse-Terre.

Nous participons, ils sélectionnent. Affiche Atelier populaire de Reims, mai 1968

Loi spéciale et loi générale

La loi du 8 mars 2018, celle qui précisément est à l'origine de Parcoursup, écarte en effet l'obligation générale de transparence imposée par la loi Lemaire dans le cas particulier de la mise en oeuvre de Parcoursup par les Universités. Son article 1er énonce en effet : "Afin de garantir la nécessaire protection du secret des délibérations des équipes pédagogiques chargées de l'examen des candidatures", les obligations de transparence "sont réputées satisfaites dès lors que les candidats sont informés de la possibilité d'obtenir, s'ils en font la demande, la communication des informations relatives aux critères et modalités d'examen de leurs candidatures ainsi que des motifs pédagogiques qui justifient la décision prise".

Une distinction est ainsi établie entre les deux étapes du traitement de Parcoursup par les Universités. Une première phase est d'abord menée à terme, à partir d'algorithmes, conduisant à un premier classement des étudiants candidats. Une seconde phase se conclut ensuite par une décision définitive prise par une équipe pédagogique. Les algorithmes ne sont donc qu'un outil de première phase, d'aide à une décision qui intervient en seconde phase. L'obligation d'information des candidats ne concerne que cette seconde phase, celle de la "délibération des équipes pédagogiques". Aux yeux de la CADA, ces dispositions excluent toute communication des algorithmes, que ce soit aux étudiants concernés ou aux tiers.

Le TA raisonne tout autrement car il considère que la loi de mars 2018 ne s'applique pas à l'UNEF qui n'est pas "candidat" dans la procédure Parcoursup. Le syndicat peut donc fonder sa requête sur la loi générale, c'est à dire la loi Lemaire qui reste applicable dans le cas d'une demande formulée par un tiers à la procédure. Sa demande de communication est donc parfaitement légale, dès lors qu'elle s'appuie sur la loi Lemaire. Cette analyse du juge administratif est conforme au principe général d'interprétation étroite de la loi spéciale.

La solution donnée par le tribunal est donc fondée en droit, mais elle présente la caractéristique de mettre en lumière un certain nombre de problèmes liés à la mise en oeuvre de Parcoursup.

Sur le plan juridique, cette distinction entre les deux phases de la procédure devant les Universités heurte directement les principes posés par le règlement général de protection des données (RGPD), entré en vigueur le 25 mai 2018. Ce texte précise en effet que le responsable du traitement doit "pouvoir expliquer, en détail et sous une forme intelligible, à la personne concernée la manière dont le traitement a été mis en œuvre à son égard". Il impose donc à l'Université d'expliquer en détail à un étudiant pourquoi il a été évincé de la filière choisie. Cette explication peut-elle être considérée comme suffisante si la motivation ne concerne que la seconde phase de la procédure, l'étudiant étant tenu dans l'ignorance des critères mis en oeuvre par l'algorithme durant la première phase ? Sur le plan strictement juridique, la communication des algorithmes s'analyse pourtant comme un élément de la motivation des actes administratifs, puisque celle-ci doit inclure tous les éléments de fait et de droit qui fondent la décision. Or les algorithmes sont un élément lié à cette décision, même si l'on sait qu'elle ne peut être prise sur son seul fondement.

Sur le plan pratique, la distinction formulée par le TA de Basse-Terre semble largement illusoire. Dès lors que l'UNEF, ou n'importe quel groupement, peut avoir communication de ces algorithmes sur le fondement de la loi générale, rien ne lui interdit de les communiquer ensuite à un candidat évincé et qui n'aura pas pu avoir accès aux algorithmes en raison du blocage posé par la loi spéciale. Rien n'interdit même à l'UNEF de publier ces algorithmes sur internet. La restriction établie par la loi du 8 mars 2018 est alors largement vidée de son sens. Ce ne serait sans doute pas une mauvaise chose, s'il l'on considère qu'il il est surprenant qu'un syndicat soit mieux traité qu'une personne privée directement concernée par une décision qui lui fait grief.

Un retour du secret

Il ne reste qu'à attendre que la question des algorithmes de Parcoursup donne lieu à une décision du Conseil d'État pour lever ces incertitudes. Pour le moment, Force est de constater une tendance actuelle du législateur à réduire le champ de la transparence administrative. De la directive secret des affaires à l'Open Data des décisions de justice, une série de textes vont toujours dans le même sens, celui d'un rétablissement du secret administratif et la loi du 8 mars 2018 s'inscrit dans ce mouvement. Les Universités, quant à elles, n'ont pas intérêt à exiger le secret de leurs propres algorithmes. Au contraire, leur diffusion devrait seulement montrer qu'elles s'efforcent de remplir la mission liée à Parcoursup avec honnêteté, dans des conditions difficiles, et sous le contrôle d'un État qui n'hésite pas à bouleverser totalement les choix des établissements. Il est vrai que l'autonomie des Universités n'a jamais été autre chose qu'un élément de langage destiné à justifier le désengagement financier de l'État, tout en maintenant un contrôle absolu la procédure d'inscription des étudiants.