La loi française « Informatique et Libertés » et la loi fédérale russe du 5 mai 2014 : différents équilibres choisis pour la protection des données personnelles dans la balance entre le droit au respect de la vie privée et la sécurité publique
Au jeu du lièvre et de la tortue, le lièvre est le réseau Internet et la tortue est le législateur. Dans le but de remédier à sa lenteur, le législateur prend parfois des raccourcis dans la course avec le développement du réseau de communication mondial qui peuvent s’avérer être de graves entorses aux règles du jeu fixées par les Constitutions.
En France et en Russie, la Constitution et les accords internationaux sont des normes ayant une valeur supérieure à toutes les autres. Ces textes ne décident pas directement de la place des libertés dans la sphère Internet. Comment déterminer si certaines libertés individuelles sont plus importantes que d’autres exigences également de valeur constitutionnelle comme la sécurité publique ? Internet est souvent considéré comme le lieu d’expression qui devrait être le plus « libre » et universel. Pourtant, le comportement d’un individu sur le réseau est bel et bien soumis aux règles et principes contenus dans la Constitution et aux principes à valeur constitutionnelle, tels que le droit au respect de la vie privée.
Pour encadrer le réseau Internet, le législateur russe multiplie les lois encadrant son usage dans une approche tantôt réparatrice, tantôt préventive. Cette activité législative prolifique est très récente en Russie en ce qui concerne la problématique de l’utilisation, la collecte et la conservation des données personnelles. Elle se concentre particulièrement sur les deux dernières années et a atteint son apogée avec l’adoption de la loi du 5 mai 2014[1] sur les données personnelles. En France, le souci de protection des données personnelles est également actuel, mais la première loi significative sur le sujet date de 1978. C’est la loi dite « Informatique et libertés » du 6 janvier 1978[2] (dont la dernière modification est intervenue le 19 mars 2014).
Ces deux lois ont en commun le fait d’organiser le contrôle, par une autorité spécialement désignée, de la protection des données « personnelles » (ou « informations nominatives »[3]) et du contrôle de leur utilisation par des tiers. Il n’y a pas réellement de définition commune des données personnelles. Néanmoins, la synthèse des dispositions des lois russe et française nous apprend que l’on peut désigner par ce terme toute information permettant d’identifier une personne physique. En France, c’est une autorité administrative indépendante qui intervient, la Commission Nationale de l’Informatique et des Libertés (ci-après « CNIL »), tandis qu’en Russie c’est un département dépendant directement du ministère de la communication et des media : le « RosKomNadzor » (abréviation désignant le service fédéral pour la supervision des communications, des technologies de l’information et des media[4]).
Dans le contexte du débat actuel sur la sécurité des données personnelles des utilisateurs d’Internet, on peut se demander si l’adoption de la loi « Informatique et Libertés » en France et de celle du 5 mai 2014 en Russie n’est pas plus liberticide que protectrice des droits garantis par la Constitution.
Et surtout, si ces lois ont un caractère liberticide, dans le but de satisfaire quelles exigences ces libertés peuvent-elles être restreintes tout en restant en conformité avec les principes constitutionnels ? Le Conseil Constitutionnel français et la Cour Constitutionnelle russe tolèrent-ils des entorses aux libertés individuelles pour satisfaire d’autres exigences au caractère plus collectif ?
Le Défenseur des Droits, Jacques Toubon a déclaré le 23 avril, « Entre sécurité et liberté, deux exigences absolues, il faut placer le curseur un peu plus du côté des libertés »[5], lorsqu’il a évoqué le projet de loi français sur le renseignement[6].
Respect de la vie privée et sécurité publique sont deux exigences constitutionnelles pour lesquelles, en France et en Russie, le législateur a essayé de trouver un équilibre en adoptant les lois précitées. Nous verrons dans un premier temps que le principe d’interdiction du traitement des données personnelles est bien établi grâce aux lois du 5 mai 2014 et du 6 janvier 1978 en accord avec le droit au respect de la vie privée garanti par les Constitutions russe et française (I), mais dans un deuxième temps, il faudra souligner l’admission inévitable d’exceptions au principe dans le but de satisfaire d’autres exigences constitutionnelles comme la sécurité publique (II).
I- L’établissement par les lois française et russe du principe d’interdiction du traitement des données personnelles, une garantie bien établie du droit au respect de la vie privée
Les acteurs des deux ordres juridiques français et russe ont récemment proclamé, et souvent réaffirmé depuis, le principe de l’interdiction du traitement des données personnelles à des fins commerciales (A), et ils n’ont pas ignoré la nécessité d’assortir aux lois adoptées un aspect très fonctionnel, puisqu’ils mettent en place des mécanismes différents d’engagement de la responsabilité (B). Ces mécanismes semblent a priori plus effectifs en Russie qu’en France.
A- La réaffirmation constante du principe par les lois russes et françaises
Les récentes lois russes et françaises ont ceci en commun qu’elles réaffirment le principe d’interdiction de l’utilisation abusive des données. Il s’agit pour le législateur de préciser et d’élargir la portée du principe dans l’espace et de préciser dans quels cas les individus engagent leur responsabilité. Sans compter que la loi doit constamment s’adapter au développement de la sphère Internet.
La réaffirmation de ce principe dans la loi du 5 mai 2014 (dans la continuité de la loi consacrée aux « données personnelles » du 27 juillet 2006[7]) consiste en un élargissement puisqu’elle vise à créer des obligations pour les « créateurs de sites très visités », précisément qualifiés de « blogueurs », ce que n’envisageait pas la loi de 2007. Le législateur russe prend en effet la mesure de l’importance de ces sites qui brassent de plus en plus de données numériques.
Il n’y a pourtant pas de définition précise de ce que l’on peut entendre par « blogueur » dans cette loi. Cela aurait pu être considéré comme une marge d’appréciation laissée au juge pour englober les phénomènes Internet mais c’est en réalité une lacune que le législateur s’apprête à combler. Le projet de loi N 7449074-6[8] propose des définitions de ce qu’il faudra considérer comme faisant partie des « media » ou bien des « blogueurs » (cela se mesure en termes de nombre de visites sur le site). Cet élément est important pour comprendre que jusqu’à la loi du 5 mai 2014, un grand nombre de sites qui n’étaient pas qualifiés de « media » selon les termes de la loi sur les media[9], ne tombaient pas sous le coup de l’interdiction du traitement commercial des données personnelles. L’article 2 de la loi du 5 mai 2014[10] vise à combler ce vide juridique. Les « blogueurs » existent à partir de ce moment en droit russe pour une meilleure adaptation à la réalité du réseau.
La législation russe se développe en pointillés. En effet, une autre loi, celle du 21 juillet 2014 concerne également le principe d’interdiction d’utilisation des données personnelles. Cette loi produit un nombre conséquent d’obligations nouvelles pour les entrepreneurs et les créateurs de sites basés en Russie détenant des données personnelles de citoyens russes. L’objet affiché de cette loi est de protéger les données personnelles des citoyens et de leur octroyer une possibilité de recours en justice en cas d’abus. Les détenteurs de données devront donc d’ici 2016 être capables de prouver que toutes les données qu’ils détiennent concernant les consommateurs, clients, utilisateurs, employés ou autres personnes de nationalité russe se trouvent sur des serveurs en territoire russe.
Les préoccupations du législateur français suivent la même ligne de conduite que celle évoquée précédemment en Russie et ce depuis la transposition de la directive européenne de 1995 sur la question des transferts de données hors Union Européenne dans un contexte d’essor fulgurant de la sphère Internet.
Ce qui est intéressant en France c’est qu’il existe bien un principe d’interdiction de l’utilisation des données personnelles, mais plus encore, il s’agit d’un droit qui est proclamé à l’article 4 de la loi de 1978, le droit à la protection des informations nominatives. De plus, ce principe en version française ne revêt pas une interdiction absolue puisque le traitement des données personnelles (par les instituts de sondage par exemple) peut être toléré lorsqu’il fait l’objet d’une déclaration à la CNIL. En revanche, si sur le principe et son ancrage profond dans l’ordre juridique, les législations française et russe se rejoignent, la nature des mécanismes d’engagement de la responsabilité des individus se distingue par une réelle différence de sévérité.
B- La nature très différente des mécanismes d’engagement de la responsabilité en cas de non-respect du principe
L’envergure d’un principe dont la sanction est faible, voire inexistante, risque en conséquence d’être amoindrie. La position du législateur russe ici consiste à démontrer que sans sanction effective, le principe risque de ne pas être respecté et les droits des individus tels que le droit au respect de la vie privée seront inévitablement mis en péril. L‘article 24 de la Constitution de la Fédération de Russie est particulièrement intéressant par sa modernité : « 1. La collecte, la conservation, l'utilisation et la diffusion d'informations relatives à la vie privée d'une personne sans son accord sont interdites. ». Il va de pair avec l’article 23 qui garantit expressément le droit au respect de la vie privée[11].
Néanmoins, certains commentateurs pensent que les sanctions mises en place par la loi russe sont disproportionnées, et en plus d’être privatives de libertés, elles ébranlent la confiance des investisseurs dans le domaine de l’Internet et des technologies. En effet, le pouvoir de sanction accordée au RosKomNadzor est beaucoup plus large que celui de la CNIL. Ce qui est caractéristique des sanctions émises par cet organe de contrôle est tout d’abord le montant des amendes, puis la possibilité de blocage du site web litigieux à tout moment sans garantie procédurale. Depuis la loi du 5 mai 2014, et son « bras armé », la circulaire du 8 avril 2015, le RosKomNadzor a vu ses attributions élargies puisque le recours à l’autorité judiciaire n’est plus nécessaire pour bloquer un site et la limite d’un contrôle tous les trois ans des entreprises détenant des données personnelles de citoyens russes disparaît.
Ces dispositions de la loi qui mettent en œuvre des sanctions administratives n’ont pas été à ce jour contestées mais si l’on se réfère à l’arrêt Otzürk c/ RFA[12] de la Cour Européenne des Droits de l’Homme (ci-après « Cour EDH »), ce type de sanction administrative privative de libertés et sans respect du droit à un procès équitable, comme en l’espèce, pourrait tout à fait être invalidée par des instances constitutionnelles à l’avenir, notamment par la Cour Constitutionnelle russe.
Une piste en ce sens avait déjà été explorée par la Cour constitutionnelle russe dans sa décision du 9 septembre 2013[13]. La Cour a eu l’occasion de reconnaître, dans une affaire relative à la diffamation sur les réseaux sociaux et la responsabilité éventuelle du détenteur du site, la primauté du principe de protection des droits extrapatrimoniaux des individus sur Internet et par conséquent la nécessité de compléter la législation en matière de protection des droits sur Internet Ce genre de recommandation est propre au juge constitutionnel russe mais dans les faits, le législateur russe reste très opportuniste et de nombreux vides juridiques sont apparents dans un domaine qui évolue très rapidement
En France, de telles sanctions ne sont pas envisageables, encore moins leur émission par une autorité administrative indépendante comme la CNIL. Le Conseil Constitutionnel affirme, en se conformant à la jurisprudence de la Cour EDH dès la décision du 28 juillet 1989 relative aux pouvoirs de sanction de la Commission des opérations de bourse [14] ,que les autorités administratives ne peuvent être chargées d’émettre des sanctions privatives de libertés dans la mesure où l’intervention du pouvoir judiciaire est nécessaire pour garantir le droit à un procès équitable. Le Conseil Constitutionnel réaffirmé ce choix récemment dans une décision du 10 juin 2009 concernant la commission HADOPI[15] et la suspension de l’accès à Internet[16]. C’est pourquoi la CNIL qui est une autorité administrative (et malgré son caractère « indépendant ») ne peut remplacer le juge et est seulement habilitée à émettre des avertissements (publics ou non), des sanctions pécuniaires, et des injonctions voire des retraits d’autorisation en cas de collecte, conservation et traitement de données personnelles sans déclaration (ou en cas de fausse déclaration) des entités concernées. Ces mécanismes de sanction sont sans commune mesure avec les mécanismes prévus par la loi russe puisque l’autorité française a en réalité très peu de marge de manœuvre en interne pour traiter les abus. Le droit au respect de la vie privée paraît bien difficile à protéger par les voies ordinaires et les longues procédures judiciaires lorsque l’on sait que des données sont collectées et utilisées par millions en quelques secondes. Il y a ainsi un réel conflit entre des normes semble-t-il de valeur constitutionnelle égale.
Enfin, même si le principe d’interdiction d’utilisation abusive est a priori bien protégé de manière préventive et répressive par les lois russes et françaises, d’autres exigences constitutionnelles peuvent restreindre son étendue.
II- L’admission inévitable d’exceptions « liberticides » satisfaisant d’autres exigences constitutionnelles au sein des droits français et russe
Le néologisme « liberticide» est ici entendu au sens de « préjudiciable », attentatoire aux libertés. Les lois du 5 mai 2014 et du 6 janvier 1978 peuvent, d’après nos éléments d’analyse, se révéler préjudiciables du fait de la place qui est accordée dans ces textes aux exigences de sécurité publique (A), et en matière de « souveraineté numérique » (B).
A- Les libertés individuelles dans les lois russe et française à l’épreuve de l’exigence constitutionnelle de sécurité publique
Chaque liberté individuelle peut en théorie être « adaptée » dans cette sphère d’expression publique qu’est Internet. L’exigence de sécurité publique est prévue à l’article 72 de la Constitution russe et englobée par la notion d’ordre public en droit français. Elle s’applique aussi dans la sphère numérique où les données personnelles « gravitent ».
En France, le glissement sécuritaire inquiète déjà depuis quelques années, et particulièrement depuis 2001. Cela transparaît par exemple dans la décision du Conseil Constitutionnel du 29 juillet 2004[17] concernant la loi « Informatique et libertés ». L’ensemble des requérants dénonce « un des reculs les plus manifestes opérés par cette loi quant au niveau des garanties légales constitutionnellement exigées », « une situation constitutionnellement préjudiciable » (considérant 25). La loi française a été remise en question devant le juge constitutionnel, notamment son nouvel article 26, dans la mesure où cette disposition plaçait justement le curseur du côté de la sécurité plus que du côté du respect de la vie privée des individus.
Néanmoins, le Conseil Constitutionnel a considéré dans sa décision du 29 juillet 2004 que « les dispositions critiquées, qui ne privent pas de garanties légales le droit au respect de la vie privée, ne sont contraires à aucun principe ni à aucune règle de valeur constitutionnelle. » (considérant 27). Sur ce point précis, le Conseil souligne la proportionnalité des mesures mises en place. A l’opposé, en Russie, lorsqu’il est question de proportionnalité, le curseur est toujours placé du côté de la sécurité publique ou de l’ordre public en général.
Comme évoqué précédemment, la loi du 5 mai 2014 met en place une série de mesures très restrictives pour les libertés individuelles garanties par la Constitution. De plus, un registre, sorte de « liste noire » des créateurs de sites ou entreprises qui sont suspectés de ne pas conserver les données des citoyens russes sur le sol russe. La Commission du RosKomNadzor peut exiger de la part des sites notamment : la liste des utilisateurs, les statistiques d’utilisation, les messages des utilisateurs ainsi que d’autres documents (dont certains ne sont pas mentionnés dans ceux que la loi considère comme ceux à conserver). Que ce soient les sites de rencontre, de messagerie ou les réseaux sociaux, ils sont soumis à l’obligation de coopération avec la Commission du RosKomNadzor qui invoque la sécurité publique pour passer outre les libertés individuelles. Ces dispositions sont en vigueur depuis l’émission de la circulaire du 8 avril 2015.
La sécurité publique a pris récemment une dimension plus large avec le développement de l’Internet et la souveraineté de l’Etat dans la sphère numérique est en jeu.
B- La « souveraineté numérique », un enjeu juridique et politique actuellement sensible en Russie et en France
La Russie accorde une importance sans commune mesure, par rapport à ce que l’on connaît en France, aux questions de souveraineté de l’Etat. Depuis la chute de l’URSS et la perte des territoires « satellites », les Russes ressentent le besoin d’affirmer constamment l’indivisibilité de leur nation, les limites géographiques de leur Etat et la légitimité de leur gouvernement[18].
Selon l’expression d’Alexandre Saveliev, consultant juridique pour la société IBM, la Russie veut reconquérir sa « souveraineté numérique »[19]. Cette notion n’est certes pas entrée dans le vocabulaire juridique mais le concept est intéressant lorsqu’il s’agit de décrire ce phénomène de multiplication des objets et des sujets dans la réglementation du domaine numérique. Ce spécialiste se réfère en particulier à l’adoption, en addition à la loi du 5 mai 2014, de la loi du 21 juillet 2014 sur « la localisation des données en territoire russe »[20]. Cette dernière vient modifier la loi de juillet 2006 sur les données personnelles.
Cette loi sur la localisation des données en territoire russe doit entrer en vigueur le 1er septembre 2016, et d’ici là, tous les détenteurs de services Internet qui conservent des données d’utilisateurs de nationalité russe devront s’assurer de placer ces données sur des serveurs situés sur le territoire russe (art. 2 de la loi du 21 juillet 2014). Selon certains commentateurs, la loi vise spécialement les vendeurs sur Internet, les réseaux sociaux, et les sites de réservation d’hôtels et de billets[21]. Ce qui nous interpelle dans cette loi, c’est la volonté du législateur d’appréhender toutes les situations dans lesquelles les consommateurs russes sont impliqués et par là-même de protéger un des attributs de sa souveraineté même au dépend des règles du droit international privé. Le législateur russe désigne aussi bien les sociétés russes que les sociétés étrangères ayant des clients russes.
Cependant, plus qu’un enjeu juridique, l’enjeu est politique puisque les députés ont déclaré prendre la mesure de la facilité avec laquelle les services de renseignement étrangers peuvent obtenir des données personnelles de citoyens russes, notamment depuis l’affaire Snowden. Un des objectifs clairs de la loi consiste à protéger la Russie d’attaques terroristes via l’Internet et la volonté de préserver un large contrôle pour affirmer sa souveraineté est omniprésente.
Cela dit, les objectifs de la loi ne seraient pas préjudiciables aux individus si le législateur n’avait pas attribué de larges compétences au RosKomNadzor qui privent le détenteur de services Internet de garanties procédurales suffisantes (ces attributions sont les mêmes que celles évoquées supra :partie I, B). Les justiciables russes craignent des dérives vers une censure « extrajudiciaire ».
En France également, et notamment depuis la présentation à l’Assemblée Nationale du projet de loi sur le renseignement (précité), le législateur français recherche un équilibre entre exigences de préservation de la souveraineté contre les actes de terrorisme et protection des libertés individuelles. Le Président de la République a lui-même déclaré vouloir soumettre le projet de loi au Conseil Constitutionnel pour s’assurer de sa conformité avec la Constitution. Comme en Russie, l’enjeu juridique réside principalement dans la préservation du droit au recours au juge, du droit au respect de la vie privée et du droit à l’oubli.
Mots clefs : Loi « Informatique et Libertés » -données personnelles – Conseil Constitutionnel – Constitution russe – souveraineté numérique – CNIL – RosKomNadzor - censure
Bibliographie/Webographie
Articles de sites juridiques ou blogs spécialisés (en français) :
http://www.numerama.com/magazine/13114-hadopi-conseil-constitutionnel-la-decision.html
http://www.cil.cnrs.fr/CIL/spip.php?article1390
Sites institutionnels français :
Articles de sites russes spécialisés (en russe) :
http://www.garant.ru/article/589918/ article publié le 18 décembre 2014 par E. Dobrykova.
http://www.garant.ru/article/606315/ article publié le 9 février 2015, par E. Dobrykova.
http://virtuallaws.ru/postanovlenie-ks-rf-ot-09-07-2013-n-18-p/
Sites institutionnels russes :
http://eng.rkn.gov.ru/about/powers_of_roskomnadzor/ (en anglais)
http://www.constitution.ru/fr/part1.htm
Décisions de la Cour Constitutionnelle de la Fédération de Russie :
Décision du 9 juillet 2013 : Постановление Конституционного Суда РФ от 9 июля 2013 г. N 18-П "По делу о проверке конституционности положений пунктов 1, 5 и 6 статьи 152 Гражданского кодекса Российской Федерации в связи с жалобой гражданина Е.В. Крылова"
Décisions du Conseil Constitutionnel français :
Conseil Constitutionnel, n°2004-499 DC
Conseil Constitutionnel, n°2009-580 DC
Conseil Constitutionnel, n°89-260 DC
Cour Européenne des Droits de l’Homme :
Arrêt de la Cour Européenne des Droits de l’Homme du 21/02/1984 (n°8544/79)
[1] Loi N 97-ФЗ du 5 mai 2014 (« Закон о внесении изменений в Федеральный Закон об информации, информационных технологиях и о защите информации»).
[2] Loi 78-17 du 6 janvier 1978, dite « Loi Informatique et Libertés », dernière modification par la loi n°2014-344.
[3] Selon l’expression de l’article 4 de la loi du 6 janvier 1978.
[4] En russe : « Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций»
[5] http://www.challenges.fr/politique/20150423.CHA5216/loi-sur-le-renseignement-les-reserves-de-jacques-toubon.html
[6] Projet de loi n°2669 déposé le 19 mars 2015.
[7] Loi fédérale du 27/07/2006 N 152 ФЗ ( «О персональных данных»).
[8] Projet de loi introduit le 20/03/2015, en cours d’examen.
[9] Loi sur les media du 27-12-1991(Закон « о СМИ »).
[10] Extrait de l’article 2 : «(…) не допускать распространение информации о частной жизни гражданина с нарушением гражданского законодательства». Traduction proposée : …Veiller à ne pas autoriser la diffusion d’informations sur la vie privée d’un citoyen en violation du droit civil.
[11] Article 23 de la Constitution russe : « 1. Chacun a droit à l'inviolabilité de la vie privée, au secret personnel et familial, à la défense de son honneur et de sa réputation. 2. Chacun a droit au secret de la correspondance, des entretiens téléphoniques, des communications postales, télégraphiques et autres. La limitation de ce droit n'est permise que sur la base d'une décision judiciaire. ».
[12] Arrêt de la Cour Européenne des Droits de l’Homme du 21/02/1984 (n°8544/79).
[13] Décision de la Cour Constitutionnelle russe, références : « Постановление КС 09-07-2013 N 18П ».
[14] Conseil Constitutionnel, n°89-260 DC cons. 2 à 25.
[15] HADOPI, abréviation de « Haute Autorité pour la Diffusion des Œuvres et la Protection des droits sur Internet ».
[16] Conseil Constitutionnel, n°2009-580 DC du 10 juin 2009.
[17] Conseil Constitutionnel, n°2004-499 DC
[18] Extrait de l’article 3 de la Constitution russe « 1. Le détenteur de la souveraineté et l'unique source du pouvoir dans la Fédération de Russie est son peuple mutitinational. » et de l’article 4 « 1. La souveraineté de la Fédération de Russie s'étend à l'ensemble de son territoire. ».
[19] Article rassemblant des témoignages d’experts sur le site juridique spécialisé GARANT.ru : http://www.garant.ru/article/589918/.
[20] Loi fédérale du 21/07/2014 N 242 (dernière modification le 31/12/2014) «Федеральный закон от 21 июля 2014 г. N 242-ФЗ "О внесении изменений в отдельные законодательные акты Российской Федерации в части уточнения порядка обработки персональных данных в информационно-телекоммуникационных сетях" ».
[21] Selon l’article écrit par A. Filomonov publié le 31 août 2014 sur le site GARANT.ru .