Espace client
Vous êtes ici :
  1. Accueil
  2. Qu’est-ce qu’une donnée au sens juridique ?
Qu’est-ce qu’une donnée au sens juridique ?

Qu’est-ce qu’une donnée au sens juridique ?

Auteur : François Viangalli
Publié le : 21/10/2024 21 octobre oct. 10 2024
Actus du cabinet

Tout le droit du numérique repose sur une notion indéterminée, qui, pourtant, en commande l’application.

Cette notion indéterminée est celle du concept de donnée ou de data.

Aussi curieux que cela puisse paraître, la notion de donnée n’est pas clairement définie en droit comparé, ni davantage en droit de l’Union européenne, ni encore en droit national, en particulier en droit français.

Il peut paraître étranger d’instituer un régime particulièrement protecteur des données personnelles, notamment à travers le Règlement n°679/2016 de l’UE (RGPD), sans pour autant définir préalablement ce qu’est une donnée.

Cette lacune manifeste trouve son origine dans deux faits différents.

Le premier est celui de la nouveauté de la technologie numérique et de son avance, sans cesse entretenue, sur le législateur. Pour le dire autrement, depuis la loi Informatique et Libertés (1978), le droit positif est toujours en retard, d’une ou plusieurs guerres, sur la technologie numérique. Comme il n’existe pas, par ailleurs, de concept de donnée, du moins en apparence – car telle est précisément le biais communément emprunté pour appréhender ce phénomène – dans la tradition juridique classique, il n’y a, à ce jour, ni compréhension de la donnée numérique, ni anticipation de ses propriétés futures.

Le second fait réside dans l’intérêt méthodique que présente le fait de ne pas avoir une définition claire. Le propre d’une véritable définition est en effet de fixer la compréhension de l’objet qu’elle appréhende, et donc de limiter le régime juridique correspondant à ce qui le concerne, c’est-à-dire à l’exclure quand l’objet considéré ne correspond pas à la définition.

De la même manière que la Constitution, dans un État de droit, limite les pouvoirs du Gouvernement, du Parlement et de l’institution judiciaire, en définissant leurs prérogatives respectives, la définition du concept de donnée aurait, si elle était bien réalisée, pour effet de limiter ce qui relève du régime de la protection des données, et de maintenir dans le champ de la liberté ce qui n’en relève pas. A l’inverse, le fait de disposer d’une pseudo-définition, qui ne présente ni clarté ni précision, a pour avantage de laisser au législateur, spécialement européen, le champ libre à une intervention potentielle en toute matière, et de conférer au juge, par une sorte de délégation, le pouvoir de contrôler des règles existantes ; et, le cas échéant, de les remettre en cause, par le truchement d’une notion européenne indéfinie que le juge peut ajuster au cas par cas pour s’en servir aux fins de contrôle.

Mais ce caractère indéterminé, nominal ou à tout le moins flou, des définitions contemporaines de la donnée, présente à l’inverse un grand inconvénient pour le développement de la technologie, et tout simplement pour les acteurs privés ou publics qui manipulent des informations via des appareils numériques.

En effet, si une information peut être qualifiée de donnée, en particulier de donnée personnelle, alors le régime de la protection des données y est applicable, avec toutes les responsabilités, les assurances requises, et les précautions à prendre qui en découlent.

Inversement, si une information n’est pas qualifiable de donnée, alors c’est la liberté qui prime ; car le droit des données ne sera plus applicable.

L’on mesure ici à quel point l’absence de définition est étonnante.

L’économie numérique, à elle seule, génère des milliers de milliards de dollars par an, et tout cela à partir de la donnée. Or cette économie est potentiellement soumise au droit des données, qui peut en infléchir l’activité, voire la remettre en cause, selon ce que l’on qualifie ou pas de données.

L’économie traditionnelle n’en est pas en reste. Tous les commerçants et toutes les entreprises, depuis l’enseigne familiale jusqu’à la multinationale, utilisent un système informatique. Dès lors, tout ce qu’elles font est susceptible d’être, ou pas, selon la définition retenue, générateur de données, et donc de responsabilités découlant du droit des données.

Voilà pourquoi il n’est pas inutile de s’essayer à définir la donnée, selon les réflexions ci-après.

Selon le sens commun, les données sont un « renseignement qui sert de point d’appui à un raisonnement » (Dictionnaire Larousse, V° Donnée).

En droit comparé, les définitions varient d’un système à l’autre.

Ainsi, tout d’abord, en Asie.
 
En Corée du Sud, les données personnelles sont définies par l’article 2 du Personal Information Protection Act (2016) (PIPA) comme « toute information relative à une personne physique vivante qui peut être identifiée ou identifiable, notamment le nom, la résidence, l’image ».
  
En Chine, la Cybersecurity Law (2016) se réfère aux données personnelles mais ne les définit pas. En revanche, la Information Security Technology Personal Information Security Specification (ISTPISS), y fait référence en visant « toute information enregistrée électroniquement ou non qui permet, à elle seule ou par combinaison avec d’autres informations, d’identifier la personne ».

De même, ensuite, en Amérique du Nord.
  
Aux Etats-Unis, il n’existe pas de définition générale des données, personnelles, réelles ou machines, dans le droit fédéral ; pas plus, du reste, qu’il n’existe de définition générale de la Privacy. En droit fédéré, la situation est différente.
 
En Californie, le California Consumer Privacy Act (2018, dit CCPA) définit les données personnelles comme « l’information qui identifie, rapporte ou décrit ou est capable d’être associé à, ou peut être raisonnablement liée à, directement ou indirectement, avec un consommateur ou un foyer ».
 
S’en suit une liste non exhaustive incluant, notamment, les éléments suivants :
 
  • L’information olfactive
  • Les tendances psychologiques
  • L’intellect
  • Les prédispositions naturelles.

En droit européen, la situation est analogue.
 
Le Règlement général sur la protection des données personnelles de 2016 (RGPD) définit les données personnelles comme « toute information se rapportant à une personne physique identifiée ou identifiable » (article 4).
 
Le Règlement sur le libre flux des données du 14 novembre 2018 définit les données comme « les données autres que les données à caractère personnel » (article 3).
 
La proposition de règlement général sur les données dite Data Act définit les données comme « toute représentation numérique d'actes, de faits ou d'informations et toute compilation de ces actes, faits ou informations, notamment sous la forme d'enregistrements sonores, visuels ou audiovisuels ».

Sur ces fondements, la jurisprudence de la Cour de justice considère que constituent des données personnelles, de façon casuistique :
 
  • Les données de connexion (adresse IP, adresse MAC, historique) ;

CJUE SR (2022) C 339/20
 
  • Les bandes de vidéosurveillance du domicile comprenant embrassant également l’espace public ;

CJUE Rynes (2014) C 212/13
  • Les empreintes digitales ;

CJUE Schwarz (2013) C 291/12
 
  • Les informations figurant dans un registre du temps de travail, incluant les temps de repos ;
CJUE Worten (2013) C 342/12
 
  • Les informations traitées portant sur les noms et prénoms des personnes ainsi que leurs revenus et niveaux d’imposition, même si elles ont déjà été publiées dans les médias préalablement de façon casuistique ;

                                                                              CJUE Satamedia (2008) C 73/07
 
  • Les réponses d’un candidat énoncées dans sa copie d’examen, ainsi que les annotations du correcteur 

                                                                       CJUE Nowak (2017) C 434/16

A l’inverse, ne constituent pas des données personnelles, de façon casuistique :
 
  • Les informations collectées et traitées par une personne dans le cadre strict de la vie privée familiale ou domestique ;

CJUE Lindqvist (2003) C 101/01
 
  • Une analyse juridique des faits, portant sur la régularité d’un titre de séjour de la personne ;

CJUE YS (2014) C 141/12.


Le droit français n’énonce pas de définition générale de la donnée, qu’elles soient personnelle, réelle ou système.

Il contient en revanche une définition de la donnée personnelle, qu’énonce la loi de 1978.
 
Selon celle-ci la donnée personnelle se conçoit comme « toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, par référence à un numéro d’identification ou à un ou plusieurs éléments qui lui sont propres ».

La jurisprudence française a qualifié de données, de façon casuistique :
 
  • La photographie comportant les caractéristiques techniques permettant le recours à un dispositif de reconnaissance faciale ;           

CE 26 avril 2022 La Quadrature du Net, n° 442364
 
  • Les données de flux de piétons et des axes de déplacement sur une place urbaine, ressortant des adresses MAC des téléphones portables, collectées par un dispositif de comptage WIFI installé sur du mobilier publicitaire, même si elles sont hachées, avec sel et à clé, dès lors que le responsable de traitement conserve les moyens d’une réidentification ; 
CE 8 février 2017 JC Decaux
 
  • La liste des actionnaires individuels d’une société, dont aucun ne détient plus de 25% du capital (données demandées par la CGT pour contester un plan social) ;

CAA Douai 10 septembre 2019, n°19DA01421
 
  • L’identité du plaignant signalant un manquement à la déontologie d’un chauffeur de taxi à la commission de discipline, dès lors anonymisée par souci de protection ;

CAA Paris 20 novembre 2018, n°17PA02910
 
  • L’identité d’un témoin attestant du comportement d’un salarié protégé ayant fait ultérieurement l’objet d’une autorisation de licenciement par l’inspection du travail ;

CAA Paris 21 janvier 2020, n°18PA00293.

Si l’on appréhende la question de façon théorique la question, la donnée peut être appréhendée de différentes manières, parmi lesquelles on peut citer, pour l’essentiel :
 
  • L’approche personnaliste, qui considère que la donnée personnelle est une extension immatérielle de la personne physique ou morale, laquelle est donc la seule à disposer de droits sur elle, sauf consentement à l’utilisation par un tiers ;
 
  • L’approche réelle, qui consiste à considérer que la donnée est une chose, et qu’elle peut donc faire l’objet d’un droit de propriété ;
 
  • L’approche grammatique, qui consiste à considérer que la donnée n’est qu’un texte, et qu’elle relève par conséquent de la liberté d’expression ;
 
  • L’approche monétaire, qui voit dans la donnée un moyen de payer un service (par exemple en acceptant le traitement de ses données personnelles en contrepartie de la consultation gratuite d’un site) ;
 
  • L’approche concurrentielle, qui voit dans la donnée un avantage concurrentiel sur le marché.

Aucune de ces approches n’est explicitement retenue, ni de façon générale, ni de façon particulière. Mais on en retrouve des applications implicites dans les différentes branches du droit du numérique, à l’exception peut-être de la conception réelle, puisqu’il semble acquis, en Europe tout au moins, qu’il n’existe pas de propriété des données, même si de nombreux contrats de recherche et développement utilisent à tort cette expression.

A notre sens, la donnée peut être définie d’une manière plus satisfaisante.

Il faut entendre par donnée l’énoncé du résultat de l’observation d’un état de chose ou de personne.

Entendue ainsi, la donnée n’est pas une notion de droit, mais un élément de fait.

Elle peut être exacte, ou fausse (même fausse, une donnée ainsi entendue reste une donnée au sens juridique).

Elle peut découler de l’observation d’une personne, auquel cas il s’agira d’une donnée personnelle, ou d’une chose, auquel cas il s’agira d’une donnée réelle. Elle peut enfin découler de l’observation d’un système informatique, auquel cas il s’agira d’une donnée-machine.

Autrement dit, la donnée n’est pas :
 
  • L’objet de l’observation préalable ;
  • La simple écriture du résultat (la graphie sur le support informatique)
  • La signification ou l’interprétation de son contenu.

Ainsi entendue, la donnée est en réalité un fait générateur de responsabilité, voire un fait anticipatoire de responsabilité, susceptible d’appréhension par le mécanisme du contrat d’assurance.

Dès lors, pour identifier une donnée, il y a lieu de se demander, au premier chef, quel dommage pourrait être causé, à un niveau significatif de responsabilité, du fait de son mauvais usage. Ce n’est que si un tel dommage peut être causé, aujourd’hui ou demain, qu’il est concevable de qualifier une information de donnée.

L’examen de la jurisprudence montre que, en filigrane, c’est toujours le risque de la responsabilité qui préside, consciemment ou inconsciemment, à la qualification par le juge d’une information en donnée, spécialement en donnée personnelle à ce titre protégé.

De ce point de vue, l’on ne saurait que recommander, pour arguer de ce qu’une information constitue une donnée, ou à l’inverse n’en constitue pas, de se fonder sur le risque de dommage, la responsabilité potentielle et l’assurance qui peut en découler, pour emporter la conviction.

Ceci, bien évidemment, sous réserve qu’une définition internationale ne soit adoptée par les États, ce qui semble peu probable à ce jour, étant donnée l’opposition manifeste existant entre l’UE, où les données sont très protégées et l’innovation de ce fait freinée, et les Etats-Unis, où la liberté en la matière est bien plus grande, et le développement technologique grandement facilité, de ce fait.
 

François Viangalli, Avocat Of Counsel, cabinet BOREL & DEL PRETE

 

 
Partager sur
Publier cet article Partager sur LinkedIn Partager sur Facebook Envoyer par E-mail

Historique

<< < 1 2 3 4 5 6 7 ... > >>