Le dispositif “Informatique et Libertés” à l'épreuve de l'internet

(2) Cet article a été remanié à partir d'une intervention effectuée le 4 mai 2000 lorsdu colloque de Tunis L'Internet et le Droit,organisé par la Chambre de commercefranco-arabe.

(3) V. notamment Andrieu (E.), “Internet et la protection des données personnelles”,Légicom 2000, n° 21/22, p. 155 ; Caron (L.), Protection des données personnellessur l'internet : enjeux et perspectives, Légipresse, septembre 1998, n° 154-II,p. 106 ; Frayssinet (J.), “La protection des données personnelles face aux NTICdans le monde : constantes et nouveautés”, Cahiers Lamy Informatique, n° 118,octobre 1999, p. 2 ; Maisl (H.), Les données confidentielles et les données nominativessur internet, in Internet saisi par le droit, AFDIT, Éd. des Parques 1997,p. 193 ; Mallet-Poujol (N.), La réforme de la loi Informatique et Libertés, RF adm.publ. 1999, n° 89, p. 49.

(4) V. notamment CNIL, 19e rapport d'activité 1998, Doc. fr. 1999, p. 87.

(5) Directive CE n° 95/46 du 24 octobre 1995 relative à la protection des personnesphysiques à l'égard du traitement des données à caractère personnel et à la librecirculation de ces données, sur le point d'être transposée en France.

(6) V. Eudes (Y.), “ www.1800ussearch.com, Pour une poignée de dollars, tout savoirsur toute personne habitant aux États-Unis ”, Le Monde, 11 mars 2000. 6. V. Boyer (J.), “La révolution d'internet”, Petites affiches, novembre 1999,n° 224 , p. 12.

(8) V. la concertation CNIL sur la diffusion sur l'internet de décisions de justice comportantles noms et adresses des parties.

(9) V. la polémique sur le guichet internet américain PACER (Public Access to CourtsElectronic Record) sur les sites www.uscourts.gov, www.privacyfoundation.org etwww.epic.org

(10) Sur la déclaration à la CNIL des sites internet, v. le site : www.CNIL.fr

(11) Comme la limitation de certains sites aux données purement professionnelles,v. délib. CNIL du 9 juillet 1996, à propos des annuaires de chercheurs, CNIL, 17erapport d'activité 1996, Doc. fr. 1997, p. 71 et délib. CNIL du 4 février 1997, à proposdu site internet du Premier ministre et du Gouvernement, CNIL, 17e rapport1996, op. cit. p. 81.

(12) V. l'annuaire universel expurgé de certaines données, in CNIL, 17e rapport 1996,op. cit.p. 72.

(13) V. le site internet du Premier ministre et du Gouvernement, CNIL, 17e rapport,op. cit.p. 82.

(14) CNIL, 17° rapport, op. cit. p. 70.

(15) Crim. 25 octobre 1995 : Bull. crim. n° 320.

(16) Délib. 9 juillet 1996 préc.

(17) ibid ; v. aussi délib. CNIL du 23 septembre 1997, à propos du serveur www.ANPE.Fr, CNIL, 18e rapport 1997, op.cit. p. 109.

(18) infraII. A. 1.

(19) infraI. B. 19. Sur le droit applicable, v. art. 4 de la directive (pour éviter les “paradis informatiques” ou paradis numériques). C'est l'établissement du responsable du traitementqui détermine la loi compétente.

(21) Tous les textes, ci-après évoqués, relatifs au “Safe Harbor”, sont consultables,par liens hypertextes, à partir du site de la CNIL.

(22) Sur l'avis du groupe de l'article 29 sur le niveau de protection assuré par les“principes de la sphère de sécurité”, V. CNIL, 20e rapport d'activité 1999, Dc. fr.2000, p. 347.

(23) Sur l'incertitude sur le champ d'application des principes du Safe Harbor etl'absence de définition précise des concepts fondamentaux, v. Poullet (Y.), Les“Safe Harbor Principles” -Une protection adéquate?, juin 2000, publié sur le sitewww.juriscom.net

(24) Art. 4 de la décision du 26 juillet 2000.

(25) CNIL, 18e rapport 1997, op. cit.p. 129

(26) Frayssinet (J.), Cah. Lamy Informatique, n° 118, op. cit. p. 6.

(27) Sur la protection des données personnelles aux États-Unis, v. Frayssinet (J .),Cahiers Lamy Informatique, n° 118, préc. et Rule (J.B.), La protection des donnéespersonnelles aux États-Unis : la réaction à la directive européenne, RF adm.publ. 1999, n° 89, p. 95. 27. CNIL, 19e rapport 1998, op. cit. p. 196.

(29) Conseil d'État, Internet et les réseaux numériques, Doc. fr. 1998, p. 46-47.

(30) CNIL, 18e rapport 1997, op. cit. p. 130.

(31) L'article 26-1 évoque notamment, comme dérogation à l'art. 25, le consentementindubitable de la personne au transfert envisagé, la nécessité du transfertpour l'exécution de certains contrats ou pour la sauvegarde d'un intérêt public importantou de l'intérêt vital de la personne concernée.

(32) V. art. 26 §3 et art. 26 §4 de la directive.

(33) CNIL, 18e rapport 1997, op. cit. p. 122.

(34) Conseil d'État, Internet et les réseaux numériques, op. cit. p. 46.

(35) Avis du groupe de l'art. 29, CNIL, 20° rapport 1999, op. cit. p. 353 ; v. aussi lecontrat type visant à assurer une protection équivalente des données dans le cadredes flux transfrontières des données et le rapport explicatif, ainsi que le rapport deJ. Huet, sur le site du Conseil de l'Europe, www.coe.fr/dataprotection.

(36) Conseil d'État, Internet et les réseaux numériques, op. cit. p. 211.

(37) Conseil d'État, Internet et les réseaux numériques, op. cit. p. 43.

(38) V. Recommandation 1/99 du groupe de l'art. 29 sur le traitement invisible etautomatique des données à caractère personnel sur l'internet effectué par desmoyens logiciels et matériels, 20e rapport CNIL 1999, op. cit. p. 326 ; v. aussiRecommandation n° R (99) 5 du Conseil de l'Europe sur la protection de la vie privéesur Internet et Lignes directrices pour la protection des personnes à l'égardde la collecte et du traitement de données à caractère personnel sur les “inforoutes”.

(39) Sur les atteintes possibles à la liberté d'aller et venir, v. Mallet-Poujol (N.),“Cahiers français”, Doc. fr. n° 296, mai-juin 2000, p. 59.

(40) V. E. Andrieu, L. Caron et J. Frayssinet préc.

(41) CNIL, 17e rapport 1996, op. cit. p. 67. 41. Frayssinet (J.), Cah. Lamy Informatiquepréc. n° 118, p. 5.

(43) V. sur le site de la CNIL (www. CNIL. fr), la démonstration “Vos traces surInternet…”

(44) V. Monot (Ph.) et M. Simon, Habiter le cybermonde, Les éditions de l'atelier,1998, p. 116.

(45) V. Frayssinet (J.), Cah. Lamy, n° 118, op. cit. p. 5, évoquant la possibilité defaire “révéler la ‘ponte' du cookie” avant de s'opposer à le recevoir.

(46) Les “applets java” sont définis par la CNIL (v. formulaire de déclaration de siteinternet) comme un programme exécuté à la demande d'un site par le navigateurd'un utilisateur

(47) V. le modèle d'information relative aux cookies, in CNIL, 19e rapport 1998, op.cit. p. 345

(48) V. Frayssinet (J.), NTIC et protection des libertés des consommateurs, CahiersLamy Informatique, juillet 2000, n° 127, p. 6, évoquant alors une atteinte à la libertéde communication du consommateur.

(49) V. CNIL, 20e rapport 1999, op. cit.p. 107 et le rapport CNIL présenté par C.Alvergnat, adopté le 14 octobre 1999; V. Avis 1/ 2000 du groupe de l'art. 29 surcertains aspects du commerce électronique relatif à la protection des données, inCNIL, 20e rapport, op. cit. p. 343.

(50) Sur les registres “opt-out” anti-spamming, v. art. 7 de la directive “Commerceélectronique” du 8 juin 2000, JOCEL 178 du 17 juillet 2000.

(51) CNIL, 20e rapport 1999, op. cit. p. 345.

(52) V. en ce sens le communiqué de presse de l'AFA du 10 février 2000 à proposde données de connexion (site www.afa-france.com).

(53) Reproduite in Légipresseoctobre 1999, n° 165-IV, p. 114.

(54) CNIL, 17e rapport 1996, op. cit. p. 65.

(55) CNIL, 20e rapport 1999, op. cit. p. 105 ; V. Gobert (D.) et Salaün (A.), La labellisationdes sites Web : inventaire des initiatives existantes, Communications &Stratégies, 1999, n° 35, p. 229 ; Olivier (F.) et Mascré (F.), Labellisation des sitesInternet : quel cadre juridique?, CCE décembre 2000, n° 24.

(56) CNIL, 20e rapport 1999, op. cit.p. 106.

(57) CNIL, 20e rapport 1999, op. cit. p. 353 ; v. aussi le générateur de déclarationsde politique de protection de la vie privée de l'OCDE, sur le site www.oecd.org 57. V. Poullet (Y.), Le droit de participer à la société de l'information et le droit des'en exclure, Ubiquités, novembre 1998-1, p. 26.

(59) V. notamment le 17e rapport CNIL, op. cit. p. 68 et les sites www. anonymizer.secuser.com et www.zeroknowledge.com

(60) CNIL, 17e rapport 1996, op. cit. p. 65.

(61) CNIL, 18e rapport 1997, op. cit. p. 117.

(62) Conseil d'État, Internet et les réseaux numériques, op. cit.p. 47 ; v. par exemple,l'art. 43-9 de la loi du 30 septembre 1986, modifiée par la loi du 1er août 2000, JO,2 août, relatif à la conservation des données identifiant les personnes ayant contribuéà la création d'un contenu.

(63) V. délib. CNIL ANRS du 9 juillet 1996, 17e rapport CNIL, op. cit. p. 85.

(64) V. L. Cadoux, “Les réponses technologiques”, Petites affiches, novembre1999, n° 224, p. 50.

(65) V. CNIL, 19e rapport 1998, op. cit. p. 95 et 96.

(66) V. aussi la pratique des “logiciels espions” couplés avec des logiciels gratuitsainsi que le recours à des logiciels “renifleurs”, Andrieu (E.), op. cit. p. 164.

(67) CNIL, Dix ans d'informatique et libertés, Economica, 1988, p. 46.

(68) CNIL, 18e rapport 1997, op. cit. p. 117.

(69) CNIL, 18e rapport 1997, op. cit. p. 118.

(70) ibid. 70. CE 7 juin 1995, Caisse régionale du Crédit agricole de la Dordogne : Rec. CE229 ; AJDA1996. 162, note Frayssinet ; Dr. adm. août-septembre. 1995, n° 514,obs. Denis-Linton ; Expertises janvier 1996. 35, note Frayssinet ; JCP 1995. IV.

(1989) Le Conseil d'État rejette le recours en annulation pour excès de pouvoir dela délibération n° 93-032 de la CNIL du 6 avril 1993 : CNIL, 14e Rapport d'activité1993, Doc. fr. 1994, p. 62.

(72) Délib. CNIL du 6 avril 1993 préc. ; v. également Délib. CNIL n° 97-012 du18 février 1997 portant recommandation relative aux bases de données comportementalessur les habitudes de consommation des ménages constituées à desfins de marketing direct, JO9 septembre.

(73) CNIL, 18e rapport 1997, op. cit. p. 118.

(74) CE 7 juin 1995 préc.

(75) Délib. CNIL du 6 avril 1993 préc.; V. aussi le code de déontologie pour les mégabasesde données élaboré par le syndicat des entreprises de vente par correspondanceet à distance, mentionné in CNIL, 19e rapport 1998, op. cit. p. 21.

(76) CNIL, 18e rapport 1997, op. cit. p. 118.