Le principe de loyauté dans la collecte de données personnelles
Est déloyale, sur le fondement de l’article 226-18 du code pénal, la collecte de données à caractère personnel librement accessibles sur internet effectuée à l’insu de la personne concernée.
Rares sont les décisions françaises relatives à la notion obscure de loyauté du traitement de données à caractère personnel, et exceptionnelles sont les décisions rendues dans cette matière par la Cour de cassation. Publié au Bulletin, l’arrêt rendu par la chambre criminelle de la Cour de cassation le 30 avril 2024 brille par sa clarté, en énonçant que « le fait que les données à caractère personnel collectées par [un enquêteur privé] aient été pour partie en accès libre sur internet ne retire rien au caractère déloyal de cette collecte, dès lors qu’une telle collecte, de surcroît réalisée à des fins dévoyées de profilage des personnes concernées et d’investigation dans leur vie privée, à l’insu de celles-ci, ne pouvait s’effectuer sans qu’elles en soient informées ».
L’arrêt attaqué se fondait sur l’article 226-18 du code pénal qui sanctionne le fait de « collecter des données à caractère personnel par un moyen frauduleux, déloyal ou illicite ». Modifiée par la loi n° 2004-801 du 6 août 2004, cette disposition ne peut se lire qu’en parallèle avec le droit des données personnelles. En effet, la loi n° 2004-801 est le fruit d’une transposition de la directive 95/46/CE du 24 octobre 1995 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, à laquelle le règlement général sur la protection des données (UE) 2016/679 du 27 avril 2016 (RGPD) a succédé.
La loi « Informatique et libertés » n° 78-17 du 6 janvier 1978 (LIL), pilier français du droit des données à caractère personnel, comporte en son article 4, 1°, le principe selon lequel les données à caractère personnel doivent être traitées de manière loyale. Antérieurement à la réforme de la loi par l’ordonnance n° 2018-1125 du 12 décembre 2018 ayant refondu la LIL après l’entrée en vigueur du RGPD, ce principe subsistait à l’ancien article 6, 1°, de la LIL, lui-même issu, comme l’article 226-18 du code pénal, de la loi n° 2004-801 du 6 août 2004. Ainsi, l’arrêt rendu par la chambre criminelle de la Cour de cassation sera analysé sous le double prisme des droits administratif et judiciaire.
En l’espèce, la Haute juridiction apporte une double analyse du principe de loyauté en droit des données à caractère personnel. D’une part, la décision confirme la corrélation entre le principe de loyauté et l’information de la personne concernée et, d’autre part, elle consacre le principe selon lequel des données personnelles librement accessibles sur internet ne peuvent être collectées sans en informer la personne concernée.
Loyauté de la collecte de données et obligations d’information
La chambre criminelle de la Cour de cassation affirme qu’est déloyale la collecte de données à caractère personnel réalisée à l’insu des personnes concernées, sans qu’elles en soient informées. Il en résulte une corrélation entre loyauté du traitement et information des personnes. À cet égard, la doctrine reste unanime. Par exemple, Olivia Tambou affirme que « les principes de loyauté et de transparence sont interdépendants » (Manuel de droit européen de la protection des données à caractère personnel, 1re éd., Bruylant, 2020, n° 123). Se référant à l’ouvrage de Cécile de Terwangne et Karen Rosier (Le règlement général sur la protection des données. Analyse approfondie, Larcier, Crids, 2018, p. 90), Yves Poullet estime également que la loyauté « exige un minimum de transparence quant à l’existence du traitement et à son fonctionnement » (Le RGPD face aux défis de l’intelligence artificielle, Larcier, Crids, 2020, n° 18). Enfin, Thibault Douville considère que l’un des versants de la loyauté « se traduit par l’exigence de transparence du traitement » (Droit des données à caractère personnel, 1re éd., Gualino, 2020, n° 166).
Cette assimilation se retrouve à la lecture des textes. Sous l’empire de la directive 95/46/CE, il était expressément spécifié que « le traitement loyal des données suppose que les personnes concernées puissent connaître l’existence des traitements et bénéficier, lorsque des données sont collectées auprès d’elles, d’une information effective et complète au regard des circonstances de cette collecte » (consid. 38). Cette analogie se retrouvait indirectement aux articles 10 et 11 in fine relatifs à l’information à fournir en cas de collecte directe ou indirecte des données, parmi lesquels la directive listait les informations supplémentaires à fournir lorsqu’elles étaient « nécessaires pour assurer à l’égard de la personne concernée un traitement loyal des données ». Le RGPD semble englober transparence et loyauté dans l’information. Par exemple, ses considérants énoncent qu’il est nécessaire de délivrer toutes les informations « visant à assurer un traitement loyal et transparent » (consid. 39) ou plus directement que « le principe de traitement loyal et transparent exige que la personne concernée soit informée de l’existence de l’opération de traitement et de ses finalités » (consid. 60).
La Cour de justice de l’Union européenne suit cette logique, en énonçant ainsi qu’« il incombe à la juridiction de renvoi de vérifier si l’information des personnes concernées satisfait aux exigences de l’article 10 de la directive 95/46 et de l’article 13 du règlement 2016/679, qui énoncent les informations que le responsable du traitement doit fournir à la personne auprès de laquelle il collecte des données la concernant pour assurer à son égard un traitement loyal des données » (CJUE 11 nov. 2020, Orange România SA, aff. C-61/19, spéc. pt 48, Dalloz actualité, 1er déc. 2020, obs. C. Crichton ; D. 2020. 2236 
; ibid. 2022. 2002, obs. W. Maxwell et C. Zolynski ; Dalloz IP/IT 2021. 290, obs. T. Douville ; Légipresse 2020. 585 et les obs. ; RTD eur. 2021. 143, obs. B. Bertrand ).
Dès lors, se pose la question de l’autonomie de la loyauté par rapport à l’information. Si le principe de loyauté ne se manifeste que dans l’information, les juges du fond auraient pu se fonder sur l’illicéité de la collecte, sanctionnée également par l’article 226-18 du code pénal. En l’espèce, le prévenu procédait à une collecte indirecte des données sans délivrer les informations listées à l’article 14 du RGPD. En d’autres termes, la collecte était illicite en méconnaissance dudit article.
Loyauté de la collecte de données librement accessibles sur internet
Il semble que l’autonomie de la loyauté par rapport aux obligations d’information se retrouve dans le fait de collecter des données personnelles à l’insu de la personne concernée, sans information sur l’existence même du traitement. L’interprétation de la Cour de cassation suit en effet celle des autorités de contrôle, en particulier celle de la Commission nationale de l’informatique et des libertés (CNIL).
Lors de sa délibération Carrefour Banque (18 nov. 2020, délib. n° SAN-2020-009, spéc. pts 24 à 38, Dalloz actualité, 11 déc. 2020, obs. I. Gavanon et V. Le Marec), le rapporteur de la délégation de contrôle de la CNIL reprochait à la société poursuivie un manquement à son obligation de loyauté du traitement au sens de l’article 5, § 1, a), du RGPD. Face à la formation restreinte de la CNIL, la société relevait notamment que « la notion de loyauté n’étant pas définie dans le règlement, le rapporteur ne saurait demander à la formation restreinte d’en sanctionner la violation » (pt 29) et que « le principe de loyauté peut tout au plus être rattaché à l’obligation de transparence, prévue à l’article 12 du règlement » (pt 30). À cela la CNIL répond que la loyauté est un « principe autonome » résultant de l’article 5, § 1, a), du RGPD, lu à la lumière de son considérant 60. L’emploi de l’expression « principe autonome », au lieu de « notion » autonome, sous-entend que le principe de loyauté est autonome par rapport au principe de transparence. En l’espèce, et d’une part, Carrefour Banque mentionnait l’existence du destinataire des données – Carrefour Fidélité – sans pour autant préciser son rattachement à une autre société – Carrefour France –, ce qui ne permet pas aux personnes concernées de comprendre que le réel destinataire des données est cette seconde. D’autre part, le nombre de données transmises au destinataire était supérieur aux types de données figurant dans ses mentions d’information, constituant une information déloyale. Sanctionnant à la fois sur le fondement de la loyauté et à la fois sur le fondement de l’information, la CNIL distingue les principes en assimilant la méconnaissance du principe de loyauté en présence d’une manœuvre destinée à tromper les personnes concernées.
Dès lors, une nouvelle question se pose quant à la distinction entre déloyauté et manœuvre dolosive. L’arrêt de la chambre criminelle de la Cour de cassation restreint l’acte déloyal à la collecte de données librement accessibles sur internet et effectuée à l’insu de la personne concernée. Ces éléments présentent une importance non négligeable.
En effet, l’autorité de protection des données anglaise, l’Information Commissioner’s Office (ICO) utilise la notion d’attente raisonnable de la personne concernée pour évaluer la loyauté du traitement, en énonçant qu’il est nécessaire de traiter les données de telle manière que les personnes concernées s’attendent raisonnablement à ne pas subir des effets négatifs injustifiés (ICO Guidance : Principle (a) : Lawfulness, fairness and transparency).
Or, les personnes concernées s’attendent rarement à ce qu’un tiers collecte ses données à caractère personnel librement accessibles sur Internet, « de surcroît réalisée à des fins dévoyées de profilage […] et d’investigation dans leur vie privée » comme l’a relevé la chambre criminelle de la Cour de cassation. Celle-ci avait déjà eu l’occasion de qualifier une collecte déloyale de données personnelles sur le même fondement « en ce qu’elles ont été utilisées sans rapport avec l’objet de leur mise en ligne » et que « les personnes concernées n’en ont pas été avisées » (Crim. 14 mars 2006, n° 05-83.423 P, D. 2006. 1066 ; ibid. 2007. 399, obs. G. Roujou de Boubée, T. Garé et S. Mirabail ; AJ pénal 2006. 260, obs. G. Roussel ; RTD com. 2006. 925, obs. B. Bouloc ).
Pour sa part et antérieurement au RGPD, la CNIL s’est prononcée sur une affaire similaire lors de sa délibération Pages Jaunes du 11 septembre 2011 (délib. n° 2011-203), portant sur une société qui aspirait des données personnelles librement accessibles sur les réseaux sociaux pour les faire figurer dans un annuaire enrichi. Dans sa délibération, la CNIL fournit une définition de la collecte déloyale de données personnelles, qui serait constituée en présence d’une technique prévoyant « d’aspirer les profils issus des réseaux sociaux sur internet sans que les personnes concernées en aient été préalablement informées ». La société prétendait en l’espèce qu’une personne ne pouvait ignorer que des données volontairement rendues publiques sur internet seraient susceptibles d’être réutilisées par des tiers, notamment par des moteurs de recherches. Selon elle, la publication sans restriction des droits d’accès témoignerait alors d’un consentement à la réutilisation de ses données. En réponse, la CNIL expose que ce n’est pas parce qu’une personne a sciemment accepté de diffuser publiquement des données personnelles qu’elle consent à ce que ses données soient récupérées et agrégées par des tiers. Si la personne concernée ne s’attend pas à la réutilisation de ses données pour l’enrichissement d’un annuaire, le traitement est en conséquence déloyal, ce qui n’est pas sans rappeler les solutions relatives à l’attente légitime en matière contractuelle. La sanction de la CNIL sera confirmée par un arrêt du Conseil d’État rendu le 12 mars 2014 (n° 353193).
Se retrouve alors dans la déloyauté la volonté délibérée de collecter des données à l’insu de la personne concernée, en l’absence d’attente légitime de celle-ci. À ce jour, la prééminence des réseaux sociaux permet désormais un siphonnage aisé et massif de données personnelles, permettant une analyse fine des personnes concernées. À ce titre, le scandale Clearview AI est représentatif de l’interdiction de la collecte de données librement accessibles sur internet sur le fondement de la loyauté. Révélée par un article publié dans le New York Time (K. Hill, The secretive company that might end privacy as we know it, 18 janv. 2020), l’affaire concernait une société qui commercialisait une solution de reconnaissance faciale à partir d’une immense base de données constituée de visages de personnes. Fonctionnant sur du web scraping, une technique de siphonnage de données disponibles sur le web, le robot de Clearview AI téléchargeait ainsi des photographies de personnes librement accessibles sur internet et les agrégeaient dans un système de reconnaissance faciale. Les clients de Clearview AI soumettaient une image dans un moteur de recherche, lequel proposait un ensemble de photographies ayant une empreinte similaire, fourni avec l’URL source et, le cas échéant, quelques données associées.
En France, la CNIL a adressé à la société une mise en demeure (26 nov. 2021, délib. n° MED-2021-134, Dalloz IP/IT 2022. 9, obs. C. Crichton ; ibid. 220, obs. C. Lequesne-Roth), suivie d’une sanction (17 oct. 2022, délib. n° SAN-2022-019, Dalloz actualité, 9 nov. 2022, obs. C. Crichton) dépourvue de réponse (17 avr. 2023, délib. n° SAN-2023-005). Sans se fonder sur la loyauté, la CNIL sanctionne la société pour défaut de base légale. En l’absence notamment du recueil du consentement des personnes, la société ne pouvait se fonder que sur son intérêt légitime (RGPD, art. 6, § 1, f). Or l’appréciation du respect de ce principe s’effectue par une mise en balance des intérêts, y incluant les attentes raisonnables des personnes concernées (RGPD, consid. 47 ; G29, avis 06/2014 sur la notion d’intérêt légitime, 9 avr. 2014, 844/14/FR, WP 217, p. 44). En l’espèce, expose la CNIL, les personnes ne pouvaient raisonnablement s’attendre à une telle réutilisation de leurs données, notamment car « il n’existe aucune relation entre la société et les personnes concernées » et que, vis-à-vis du logiciel, « la grande majorité des personnes concernées ignorent son existence ».
Contrairement à la position française, l’autorité de protection anglaise a expressément sanctionné la société Clearview AI sur le fondement du principe de loyauté (v. le communiqué de presse, ICO fines facial recognition database company Clearview AI Inc more than £ 7.5 m and orders UK data to be deleted, 23 mai 2022). L’autorité énonce ainsi que le traitement est déloyal en raison du fait que les personnes concernées n’ont pas été informées du traitement et ne s’attendaient pas raisonnablement à un tel traitement (Monetary penalty office, 18 mai 2022, pt 66). Et l’ICO d’ajouter que les personnes concernées ne peuvent s’attendre à ce que des images d’elles fassent l’objet d’une technologie de web scraping, soient intégrées à une base de données mondiale, et soient mises à la disposition d’un large éventail de clients – y incluant des forces de l’ordre – dans l’objectif de trouver des images correspondantes (ibid.).
Ces positions se retrouvent ainsi dans la solution de la chambre criminelle de la Cour de cassation. Plus encore que la violation des seules obligations d’informations, les responsables du traitement ont procédé en toute connaissance de cause à une collecte de données effectuée de sorte que les personnes concernées n’aient pas connaissance de l’existence du traitement et ne pouvaient raisonnablement s’y attendre.
Par conséquent, la solution riche de la Cour de cassation confirme, par une lecture combinée des différentes applications du principe de loyauté en droit des données personnelles, une autonomisation progressive du principe.
Crim. 30 avr. 2024, FS-B, n° 23-80.962
© Lefebvre Dalloz