Edward S. Dove et Jiahong Chang ont publié récem­ment un article sur les consé­quences juri­diques de la publi­ca­tion volon­taire de données person­nelles à l’aune du RGPD (Edward S. Dove/​Jiahong Chang, What does it mean for a data subject to make their perso­nal data ‘mani­festly public’ ? An analy­sis of GDPR Article 9(2)(e), in International Data Privacy Law, Vol. 11, No. 2, pp. 107 ss). Ils dépeignent aussi certains exemples, dans le secteur des données géné­tiques ou géno­miques, mais nous nous borne­rons à circons­crire la présente contri­bu­tion aux réflexions juri­diques théo­riques de l’article.

En intro­duc­tion, les auteurs rappellent notam­ment que le trai­te­ment de données sensibles (ou portant sur des caté­go­ries parti­cu­lières de données à carac­tère person­nel selon la termi­no­lo­gie euro­péenne) requiert deux condi­tions : (i) le trai­te­ment doit repo­ser sur l’une des six bases de légi­ti­mité ancrées à l’art. 6 par. 1 RGPD et  (ii) le trai­te­ment doit se préva­loir de l’une des dix excep­tions prévues par l’art. 9 par. 2 RGPD. En effet, le trai­te­ment de données person­nelles sensibles est en géné­ral prohibé.

Parmi ces excep­tions, lorsque des données sensibles sont rendues mani­fes­te­ment publiques, l’interdiction géné­ral de trai­te­ment ne s’applique plus (art. 9 par. 2 let. e RGPD) – pour autant que le trai­te­ment repose, en sus, sur une base de légi­ti­mité (art. 6 RGPD). Par commo­dité, nous utili­sons le terme de ‘données sensibles’ pour dési­gner les caté­go­ries parti­cu­lières de données person­nelles dont fait l’objet cet article (qui regroupent notam­ment les données de santé, les données ethniques, les convic­tions reli­gieuses ou poli­tiques, etc.). Les auteurs rappellent aussi que les rares guides trai­tant du sujet se bornent à expli­quer que cette excep­tion doit être inter­pré­tée restrictivement.

À la suite d’exemples trai­tant de registres ou plate­formes publics permet­tant l’accès à des données géné­tiques ou géno­miques, les auteurs constatent que le choix de l’exception invo­quée entraîne des consé­quences juri­diques diffé­rentes. En effet, le respon­sable de trai­te­ment qui trai­tera des données sensibles hési­tera entre les excep­tions suivantes pour légi­ti­mer son trai­te­ment de données person­nelles : le consen­te­ment expli­cite (art. 9 par. 2 let. a RGPD), la recherche scien­ti­fique (art. 9 par. 2 let. j RGPD), ou la publi­ca­tion volon­taire (art. 9 par. 2 let. e RGPD).

S’il choi­sit le consen­te­ment expli­cite, la personne concer­née, qui accepte donc de rendre publi­que­ment acces­sibles des données sensibles, conser­vera son droit de reti­rer son consen­te­ment en tout temps et obli­gera géné­ra­le­ment le respon­sable de trai­te­ment à non seule­ment effa­cer les données concer­nées (art. 17 par. 1 let. b RGPD), mais aussi à commu­ni­quer, si cela n’occasionne pas d’efforts tech­niques ou finan­ciers dispro­por­tion­nés, le retrait du consen­te­ment aux utili­sa­teurs qui ont télé­chargé les données concer­nées (art. 17 par. 2 RGPD).

Au demeu­rant, la vali­dité dudit consen­te­ment pour­rait toute­fois être contes­tée au motif que le but des trai­te­ments ulté­rieurs des données person­nelles sensibles n’est pas clai­re­ment établi au moment où la personne concer­née donne son consen­te­ment. Les auteurs mettent en exergue aussi le fait que les États membres peuvent inter­dire, dans leur légis­la­tion natio­nale, aux personnes concer­nées de consen­tir à certains trai­te­ments de données sensibles et peuvent limi­ter le trai­te­ment de données géné­tiques, biomé­triques, ou de santé (art. 9 par. 2 let. a in fine cum art. 9 par. 4 RGPD).

Si le respon­sable de trai­te­ment choi­sit l’exception fondée sur la mise à dispo­si­tion mani­feste du public de données sensibles par les personne concer­nées, il sera plus diffi­cile pour ces dernières de s’opposer par la suite aux trai­te­ments ulté­rieurs de leurs données sensibles, même si elles peuvent en théo­rie s’opposer au trai­te­ment de leurs données person­nelles (art. 21 RGPD).

Premièrement, le droit d’opposition ne garan­tit pas auto­ma­ti­que­ment l’effacement des données concer­nées (art. 17 par. 2 let. c RGPD) puisque le respon­sable de trai­te­ment pour­rait lui oppo­ser un motif légi­time impérieux.

Deuxièmement, le champ d’application du droit d’opposition inscrit à l’art. 21 RGPD est forte­ment limité. Le droit d’opposition par la personne concer­née n’existe que si la base de légi­ti­mité ressort notam­ment d’une mission d’intérêt public ou d’un inté­rêt légi­time pour­suivi par le respon­sable de trai­te­ment (art. 21 par. 1 RGPD). Selon les auteurs, il en résul­te­rait que les respon­sables de trai­te­ment seraient plus enclins à soule­ver le consen­te­ment expli­cite comme excep­tion à l’interdiction de trai­ter des données person­nelles sensibles, car cela sauve­garde mieux les inté­rêts des personnes concer­nées. Par ailleurs, ils soulèvent les contra­dic­tions d’interprétation des termes « mani­fes­te­ment rendues publiques » par les auto­ri­tés de protec­tion des données.

Pour mieux appré­hen­der la teneur de l’art. 9 par. 1 let. e RGPD, Edward S. Dove et Jiahong Chang proposent une analyse en trois temps :

1. il sied de véri­fier que l’activité de trai­te­ment est direc­te­ment liée aux données rendues publiques ;
2. il existe des indices que la personne concer­née a, par un acte déli­béré et affir­ma­tif, rendu les données publiques et que ces données peuvent raison­na­ble­ment être acces­sible par un membre inté­ressé du public ;
3. la personne concer­née a rendu elle-même ses données person­nelles acces­sibles ou a donné une indi­ca­tion claire à un inter­mé­diaire de le faire à sa place.

Pour conclure, les auteurs jugent l’exception de la mise à dispo­si­tion mani­feste du public de données sensibles comme n’étant ni éthi­que­ment ni juri­di­que­ment appro­priée. En outre, l’invocation de cette excep­tion néces­site de remplir des stan­dards élevés. Nous sommes plutôt d’accord avec ce constat.

Bien que ce ne soit pas le propos de l’article, il est cepen­dant dommage que les auteurs effleurent seule­ment l’exception liée à la recherche scien­ti­fique. Ils soulèvent quand même que l’exception liée à la recherche (art. 9 par. 2 let. j RGPD) oblige les cher­cheurs à un devoir accru en matière de sécu­rité des données, mais pour­rait les exemp­ter de rede­man­der le consen­te­ment des personnes concer­nées comme base de légi­ti­mité, car le RGPD présume la compa­ti­bi­lité d’un but de recherche scien­ti­fique avec le but initial du trai­te­ment de données person­nelles (art. 5 par. 1 let. b RGPD). Nous ajou­te­rions que les allè­ge­ments liés à la recherche dépendent essen­tiel­le­ment du droit des États membres de l’Union euro­péenne (art. 89 par. 2 RGPD), ce qui complique passa­ble­ment la tâche des chercheurs.

Commentaire

Il était inté­res­sant de mettre en exergue cet article, car de nombreux cher­cheurs, dans nos univer­si­tés ou centres de recherche, utilisent des données publiques, issues de registres publics ou des réseaux sociaux, pour réali­ser leurs projets de recherche, pour entraî­ner leurs algo­rithmes, ou pour enri­chir leurs bases de données.

Or, le fait qu’une donnée person­nelle soit acces­sible au public n’ôte pas aux données concer­nées leur protec­tion issue du droit de la person­na­lité ou de la protec­tion des données, les données person­nelles étant un prolon­ge­ment de notre person­na­lité juri­dique, fussent-elles publiques. D’aucuns confondent fréquem­ment la possi­bi­lité d’utiliser une œuvre publique, car fondée sur le droit d’auteur (à travers la publi­ca­tion sous licence libre), et la possi­bi­lité d’utiliser des données personnelles.

En Suisse aussi, nous avons une dispo­si­tion simi­laire, mais dont le champ d’application s’applique tant aux données sensibles qu’aux données person­nelles ordi­naires. Il faut rappe­ler ici que le droit suisse n’exige pas de base de légi­ti­mité pour trai­ter des données person­nelles – sauf pour les organes fédé­raux, lesquels sont soumis au prin­cipe de la léga­lité – mais protège contre les trai­te­ments de données qui porte­raient atteintes à la person­na­lité des personnes concer­nées. L’art. 30 al. 3 nLPD prévoit que « En règle géné­rale, il n’y a pas atteinte à la person­na­lité lorsque la personne concer­née a rendu les données person­nelles acces­sibles à tout un chacun et ne s’est pas oppo­sée expres­sé­ment au trai­te­ment ». Différentes déci­sions judi­ciaires ont pu préci­ser son libellé.

À l’instar de ce que proposent Edward S. Dove et Jiahong Chang à l’aune du RGPD, le Tribunal admi­nis­tra­tif fédé­ral a par exemple exigé que les données person­nelles soient divul­guées publi­que­ment par la personne elle-même et de façon volon­taire. De plus, il ne suffit pas de tolé­rer l’ac­tion d’un tiers sans contri­buer à rendre acces­sible les données. Un compor­te­ment passif de la personne concer­née ne suffit pas à admettre son inten­tion (TAF, arrêt A‑4232/​2015 du 18 avril 2017, consid. 5.4.1 ; TAF, arrêt A‑4086/​2007 du 26 février 2008, consid. 5).

Enfin, comme précisé dans le message du Conseil fédé­ral (FF 2017 6565), il s’agit d’une présomp­tion légale et non d’une fiction, ce qui signi­fie que la personne concer­née aura toujours la possi­bi­lité de démon­trer qu’elle a subi une atteinte à sa personnalité.