Le prin­cipe nemo tene­tur (protec­tion contre l’auto-incrimination) fait-il échec à l’utilisation du rapport sur la viola­tion des données prévu à l’art. 33 du Règlement géné­ral sur la protec­tion des données (RGPD) par une auto­rité de supervision ?

C’est la thèse récem­ment déve­lop­pée par un respon­sable du trai­te­ment (Hôpital d’Amsterdam) à l’occasion de pour­suites enga­gées à son encontre devant l’Autorité de Protection des données néer­lan­daise (Autoriteit Persoonsgegeven) au titre d’une viola­tion de données.

La déci­sion a été commen­tée par Célian Hirsch. Ce dernier s’est montré sensible à un argu­ment déve­loppé par l’Hôpital d’Amsterdam au soutien de sa défense : en vertu du prin­cipe de protec­tion contre l’auto-incrimination l’Autoriteit Persoonsgegeven n’aurait – selon l’Hôpital – pas dû pronon­cer de sanc­tion sur le fonde­ment du rapport de viola­tion des données (trans­mis par ce dernier en appli­ca­tion de l’art. 33 RGPD).

La présente note ne revien­dra pas sur la déci­sion néer­lan­daise, mais se concen­trera sur l’argument rela­tif à l’auto-incrimination. Un tel examen offrira en effet tout à la fois l’occasion de :

• Spécifier les circons­tances visées par le prin­cipe nemo tene­tur- limi­tées selon nous à l’exercice déloyal par des auto­ri­tés de pour­suite de leurs préro­ga­tives – (I) mais aussi ;
• Préciser les béné­fi­ciaires de la règle nemo tene­tur (II), et enfin ;
• S’interroger sur la nature de l’obligation mise en place par l’art. 33 du RGPD (III). Envisager l’application du prin­cipe nemo tene­tur au rapport de viola­tion des données suppose une lecture répres­sive de l’art. 33 RGPD. Il nous appa­raît par contraste impor­tant de souli­gner la dyna­mique colla­bo­ra­tive mise en place par l’art. 33 RGPD entre respon­sable du trai­te­ment et auto­rité de supervision.

I. Le prin­cipe nemo tene­tur, garde-fou face aux auto­ri­tés de pour­suite (et non face au législateur) 

La protec­tion préto­rienne contre l’auto-incrimination déduite par la Cour euro­péenne des droits de l’homme (CourEDH) de l’art. 6 de la Convention euro­péenne des droits de l’homme (CEDH) ne semble devoir s’appliquer que lorsqu’une contrainte a été exer­cée par une auto­rité de pour­suite ou équi­va­lente. Ceci ressort de la juris­pru­dence de la CourEDH en la matière : les déci­sions concer­nées visent en effet des menaces et mani­pu­la­tions inter­ve­nues au cours et à l’occasion de pour­suites judi­ciaires¹.

Le rapport de viola­tion des données visé à l’art. 33 RGPD est requis par le légis­la­teur commu­nau­taire et non sur demande d’une quel­conque auto­rité étatique. La noti­fi­ca­tion de viola­tion de données consti­tue dès lors l’accomplissement spon­tané d’une obli­ga­tion légale d’information et non un aveu de culpa­bi­lité obtenu sous l’effet d’une contrainte déloyale exer­cée par les auto­ri­tés de poursuite.

L’utilisation de ce rapport par une auto­rité de super­vi­sion ne nous paraît à ce titre pas atten­ta­toire au prin­cipe nemo tene­tur.

La consi­dé­ra­tion de la sanc­tion assor­tis­sant l’obligation légale ne suffit du reste pas à faire de celle-ci la menace déloyale visée par la CEDH : la simple énon­cia­tion d’une obli­ga­tion légis­la­tive ne saurait par hypo­thèse consti­tuer une menace illégitime.

II. Le prin­cipe nemo tene­tur, règle desti­née à proté­ger des personnes physiques (et non des personnes morales)

Si les garan­ties offertes par l’art. 6 CEDH sont en géné­ral appli­cables aux personnes morales, la ques­tion de cette appli­ca­bi­lité se pose concer­nant la protec­tion contre l’auto-incrimination. Il semble d’ailleurs que toutes les déci­sions notables rendues par la CourEDH au visa de ce prin­cipe concernent des personnes physiques.

L’interdiction de l’auto-incrimination puise sa justi­fi­ca­tion dans le souci d’éviter que l’autorité judi­ciaire n’use avec déloyauté de ses préro­ga­tives et n’exerce une pres­sion psycho­lo­gique ou n’use de menaces ou de subter­fuges pour provo­quer des décla­ra­tions auto-incri­mi­nantes. Cette protec­tion contre diverses formes de mani­pu­la­tion appa­raît carac­té­ri­ser des menaces visant des personnes physiques et non morales².

En théo­rie, l’on peut imagi­ner une pres­sion psycho­lo­gique exer­cée sur des repré­sen­tants de l’entreprise aux fins de les conduire à admettre la culpa­bi­lité de la personne morale.

Une telle hypo­thèse ne devrait toute­fois plus être quali­fiée d’auto-incri­mi­na­tion : elle ne corres­pond pas à une hypo­thèse d’incrimination de la personne morale par elle-même mais par une personne physique qui lui est tierce – fût-elle son repré­sen­tant. Cette personne physique – poten­tiel­le­ment soumise au jeu de sa propre respon­sa­bi­lité person­nelle – agit comme repré­sen­tante mais concur­rem­ment en son nom propre. Incriminer la personne morale pour­rait d’ailleurs dans certaines hypo­thèses consti­tuer pour lui/​elle une stra­té­gie de défense.

En conclu­sion sur ce point, si contraindre le repré­sen­tant d’une personne morale à incri­mi­ner celle-ci semble suscep­tible de porter atteinte au droit des personnes morales à un procès équi­table, cette forme de déloyauté ne paraît pas ressor­tir de la prohi­bi­tion de l’auto-incrimination. Le grief de mani­pu­la­tion d’un témoin (le repré­sen­tant de la personne morale) par l’autorité de pour­suite consti­tue­rait peut-être une piste d’analyse mieux adaptée.

III. La noti­fi­ca­tion de viola­tion des données, méca­nisme de colla­bo­ra­tion (et non de répression)

La noti­fi­ca­tion de viola­tion de données semble pouvoir s’analyser non comme une décla­ra­tion (auto) incri­mi­nante, mais comme une moda­lité de colla­bo­ra­tion entre respon­sable du trai­te­ment et auto­rité de super­vi­sion. L’énumération –conte­nue à l’art. 33 RGPD – des infor­ma­tions à commu­ni­quer dans le rapport semble corro­bo­rer cette lecture :

1. Les éléments collec­tés portent sur la fuite elle-même (plutôt que sur l’analyse de ses causes) ;
2. Ils appa­raissent desti­nés à iden­ti­fier le risque rési­duel pour les personnes concer­nées, pas les carences du déclarant ;
3. Ils incluent une présen­ta­tion des éven­tuelles mesures correc­trices adop­tées (éléments suscep­tibles de venir à la décharge du déclarant).

Le Working Party 29 (prédé­ces­seur de Comité euro­péen sur la protec­tion des données) a lui-même insisté sur cette dimen­sion colla­bo­ra­tive et souli­gné notam­ment la possi­bi­lité qu’offrait la noti­fi­ca­tion au respon­sable du trai­te­ment d’obtenir un avis de l’autorité de super­vi­sion sur la néces­sité éven­tuelle de noti­fier l’incident aux personnes concer­nées³.

La noti­fi­ca­tion permet d’échapper à des sanc­tions aggra­vées : non celles procé­dant des éven­tuelles carences tech­niques et orga­ni­sa­tion­nelles sous-jacentes, mais celles qui sanc­tion­ne­raient le défaut de noti­fi­ca­tion lui-même.

Concernant les carences sous-jacentes, force est de consta­ter qu’elles ont voca­tion à être poten­tiel­le­ment connues même en l’absence de noti­fi­ca­tion. La notion de fuite de données, souvent assi­mi­lée à celle de viola­tion de données tant elle en est le cas le plus topique, implique une rupture de confi­den­tia­lité suscep­tible de porter l’incident, voire les données affec­tées, à la connais­sance du grand public. On pense notam­ment aux forums rela­tifs aux inci­dents de sécu­rité infor­ma­tique. Il est fréquent que ces derniers publient, rapi­de­ment après l’incident, des infor­ma­tions détaillées, lesquelles peuvent ensuite être reprises par une presse plus généraliste.

En procé­dant à une noti­fi­ca­tion, le respon­sable du trai­te­ment faci­lite l’action du régu­la­teur et lui four­nit notam­ment les moyens de proté­ger les personnes affec­tées voire de nouvelles victimes poten­tielles. Le délai court de 72h – alors qu’il est plus long pour la noti­fi­ca­tion aux personnes concer­nées – semble illus­trer cette logique : rapi­de­ment averti, le régu­la­teur peut adop­ter des mesures desti­nées à limi­ter l’impact de l’incident.

A titre pure­ment illus­tra­tif, on pour­rait dres­ser un paral­lèle – limité⁴ – entre la noti­fi­ca­tion de viola­tion des données et les procé­dures dites de « plai­der coupable » connues notam­ment des droits améri­cains, italiens ou fran­çais⁵. La personne pour­sui­vie y béné­fi­cie de sanc­tions allé­gées en consi­dé­ra­tion de sa coopé­ra­tion. De tels régimes seraient privés de toute effi­ca­cité si se décla­rer coupable mettait systé­ma­ti­que­ment le décla­rant à l’abri de toute sanc­tion pour les faits révélés.

Alors que nous concluons, notons inci­dem­ment que l’art. 24 al. 6 de la nouvelle Loi suisse sur la protec­tion des données (nLPD) semble formu­ler une règle proche de celle propo­sée par l’Hôpital d’Amsterdam : l’impossibilité d’utiliser l’annonce de viola­tion des données dans une procé­dure pénale initiée contre le respon­sable du traitement.

Cette règle nous paraît toute­fois reflé­ter une spéci­fi­cité du droit suisse le distin­guant du droit euro­péen. À la diffé­rence du RGPD, la nLPD repose encore large­ment sur des procé­dures pénales pour sa mise en œuvre. L’autorité de super­vi­sion suisse (le Préposé fédé­ral à la protec­tion des données et à la trans­pa­rence) dispose – en compa­rai­son de ses homo­logues euro­péens – de pouvoirs correc­tifs et de sanc­tions limi­tés. Dans ce contexte de procé­dure pénale au carac­tère large­ment inqui­si­toire, la réfé­rence du légis­la­teur suisse au prin­cipe nemo tene­tur revêt une autre résonance.

1. Cf. CEDH, Guide on Article 6 of the European Convention on Human Rights, 2020, pp.40–42 : « The right not to incri­mi­nate oneself presup­poses that the prose­cu­tion in a crimi­nal case seek to prove their case against the accu­sed without recourse to evidence obtai­ned through methods of coer­cion or oppres­sion in defiance of the will of the accu­sed (Saunders v.the United Kingdom [GC],§68 ; Bykov v.Russia [GC],§92).197. 

   The privi­lege against self‑incrimination does not protect against the making of an incri­mi­na­ting state­ment per se but against the obtai­ning of evidence by coer­cion or oppres­sion… (Ibrahim and Others v.the United Kingdom[GC],§267).198.

2. Ibid. « Through its case-law, the Court has iden­ti­fied at least three kinds of situa­tions which give rise to concerns as to impro­per compul­sion in breach of Article 6.

   The first is where a suspect is obli­ged to testify under threat of sanc­tions and either testi­fies as a result (Saunders v.the United Kingdom [GC], Brusco v.France) or is sanc­tio­ned for refu­sing to testify (Heaney and McGuinness v.Ireland ; Weh v.Austria). The second is where physi­cal or psycho­lo­gi­cal pres­sure, often in the form of treat­ment which breaches Article 3 of the Convention, is applied to obtain real evidence or state­ments (Jalloh v.Germany [GC]; Gäfgen v. Germany[ GC]). The third is where the autho­ri­ties use subter­fuge to elicit infor­ma­tion that they were unable to obtain during ques­tio­ning (Allan v.the United Kingdom ; contrast with Bykovv.Russia[GC],§§101–102). »

3. Cf. Guidelines on Personal data breach noti­fi­ca­tion under Regulation 2016/​679, p. 4, WP 29
4. Ce paral­lèle met encore trop l’accent sur a notion de culpa­bi­lité, laquelle est à notre sens absente dans la logique du méca­nisme mis en place par l’art. 33 RGPD. Le plai­der coupable est en effet une pratique de procé­dure pénale. Le plai­der coupable inter­vient de plus en cours de procé­dure alors que le méca­nisme de l’art. 33 RGPD se situe dans une tempo­ra­lité pré-procédurale.
5. Pradel Jean. Le plai­der coupable, confron­ta­tion des droits améri­cain, italien et fran­çais. In : Revue inter­na­tio­nale de droit comparé. Vol. 57 N°2,2005. pp. 473–491