Quarante ans de construction du droit du numérique. Les
enjeux juridiques de l’avènement d’un monde intelligent
par
William GILLES, Directeur du master
Droit des données, des administrations numériques et des gouvernements ouverts,
Président de l’IMODEV, Avocat au barreau de Paris (BeRecht Avocats) et Irène
BOUHADANA, Directrice du master Droit des données, des administrations
numériques et des gouvernements ouverts, Secrétaire générale de l’IMODEV.
L’ère du numérique est
porteuse d’une révolution des savoirs et de l’information en permettant
une meilleure diffusion des données. La circulation de l’information permise
par les technologies contemporaines constitue un enjeu géostratégique et
juridique majeur du monde contemporain. À cet égard, nous assistons aujourd’hui
à une révolution industrielle, économique et démocratique comparable à celle
qui se produisit à l’époque de Gutenberg[1]
avec l’invention de l’imprimerie. Si Internet est l’héritage des recherches
menées après la Seconde Guerre mondiale pour permettre l’émergence du réseau
Arpanet en 1969[2], ces
avancées n’ont été possibles que parce que des soubassements plus anciens ont
permis d’ouvrir la voie à de tels progrès.
Parmi ces innovations, il
faut évoquer l’invention des premiers calculateurs au XVIIe siècle,
époque à laquelle furent inventées notamment la Pascaline puis la machine Arithmétique
en 1642[3].
Sans exhaustivité, il est
aussi possible de mentionner l’invention au même siècle de la machine de
Leibniz[4]
que son auteur nomma lui-même : « banque à calculer vivante », car grâce à
elle il était désormais possible de réaliser non seulement les quatre
opérations de base de calcul (addition, multiplication, soustraction, division),
mais aussi des opérations plus complexes dont les racines carrées et cubiques.
Au XIXe
siècle, Babbage fut le premier à concevoir une machine à calculer programmable
en faisant évoluer les premiers calculateurs vers des machines analytiques[5].
Si Babbage ne put construire complètement sa machine analytique faute de moyens
financiers et techniques, il faut cependant relever que la structure de la
machine analytique de Babbage était proche de celle des ordinateurs actuels.
Une différence notable sépare néanmoins l’invention de Babbage et nos
ordinateurs contemporains puisque dans le premier cas le mode
d’alimentation reposait sur une machine à vapeur alors que nos ordinateurs
fonctionnent grâce à l’électricité qui a constitué une autre révolution
majeure.
Pour réaliser son
invention Babbage a su s’appuyer sur des innovations existantes qu’il a
perfectionnées, comme le système de cartes perforées du métier à tisser
Jacquard inventé en 1801, mais il a aussi bénéficié de l’assistance de Augusta
Ada King dite comtesse de Lovelace qui est considérée comme la première
programmeuse de l’histoire de l’informatique pour avoir créé le premier
algorithme exécutable par une machine[6].
D’autres perfectionneront
la machine de Babbage ou s’inspireront de ses travaux pour développer les
machines que nous connaissons actuellement.
Le futurologue Ray
Kurzweil expliquait en 2005[7]
qu’avec le doublement du taux de progrès technologiques tous les dix ans ou
presque, nous assisterions à autant de changements dans les 90 prochaines
années qu’au cours des 10 000 dernières années et que les changements des 100
prochaines années seraient équivalents à ceux des 20 000 dernières années.
Ces prédictions font
prendre conscience que les évolutions technologiques que nous avons connues au
cours de ces dernières années, si elles apparaissent importantes au regard des
siècles passés, ne sont pourtant que les prémisses des innovations futures. En
effet, il nous semblait que nous sommes seulement entrés dans l’an IV de
la révolution informatique/numérique et que de nombreux défis techniques,
institutionnels et juridiques restent à relever.
Quatre étapes charnières
ont marqué l’histoire de la révolution informatique, puis numérique, allant de
l’an I à l’an IV. Cette structuration est le fruit de notre réflexion.
Elle peut faire l’objet de débats, mais elle nous semble bien refléter les
différentes évolutions juridiques et institutionnelles qui ont accompagné les
progrès technologiques depuis le lancement de l’ARPANET en 1969.
L’an I
est marqué par le contexte géopolitique de la guerre froide et la nécessité des
grandes puissances de marquer leur autonomie technologique. Internet est le
fruit de ces rivalités scientifiques et géostratégiques. En effet, il est la
conséquence de la création de l’agence ARPA, qui fait suite au choc créé par le
lancement de Spoutnik et les autres innovations soviétiques[8].
Cette agence pilotera le développement d’Arpanet, ancêtre d’Internet.
Alors que les États-Unis
développent l’ARPANET et travaillent à son basculement vers l’Internet, la
France doit faire face aux conséquences des échecs de ses choix politiques et
institutionnels en matière d’innovation. Les succès du plan calcul lancé en
1966 ne furent qu’éphémères : la délégation de l’informatique créée en
1967 fut supprimée par Valéry Giscard d’Estaing en 1974 et la grande compagnie
informatique française, à savoir la compagnie internationale pour
l’informatique créée en 1966 fut vendue à une entreprise américaine en 1975
alors qu’elle avait créé le premier ordinateur français en 1968[9].
De même, la France se retira du projet européen Unidata[10].
Pourtant, la France disposait de scientifiques reconnus, dont Louis Pouzin dont
les travaux sur le Datagramme ont inspiré Vinton Cerf et Robert Kahn dans le
développement du protocole TCP-IP créé en 1973[11]qui
permit le basculement de l’ARAPANET vers Internet en 1983.
Si au regard de ces
éléments, l’apport de la France et de l’Europe est donc à nuancer du point de
vue technologique, il en est tout autrement sur plan juridique.
L’an I a permis à la
France de jeter les bases d’une législation qui fut à l’époque l’une des plus
avancées en matière de régulation technologique.
Les années 1970 sont
pour la France l’occasion de réfléchir à l’impact de la société de
l’information et à sa régulation juridique. Plusieurs commissions sont mises en
place pour répondre aux préoccupations des Français nées notamment de l’affaire
Safari. Ce « Système Automatisé pour les Fichiers administratifs et Répertoires
des Individus » révélé par le Journal Le Monde en 1974 suscita un émoi
auprès des Français, car il devait permettre la création d’une base de données
centralisée de la population utilisant un identifiant commun à l’ensemble des
fichiers administratifs[12].
La crainte était que cet identifiant soit utilisé par l’administration pour
interconnecter les fichiers administratifs.
Pour remédier au climat
de méfiance vis-à-vis de l’utilisation de l’informatique dans la société, et
notamment par son administration, la France se dota d’un cadre juridique
reposant sur deux lois destinées à devenir de grandes lois. D’une part, la loi
du 6 janvier 1978[13]
créa la Commission nationale de l’informatique et des libertés (CNIL) et affirma
à son article 1er que l’informatique doit être au service de chaque
citoyen. D’autre part, la loi du 17 juillet 1978[14]
créa la Commission d’accès aux documents administratifs (CADA) et institua un
régime d’accès aux documents administratifs.
La prise de conscience
des enjeux relatifs à l’informatique et des dangers sur la vie privée n’est
cependant pas propre à la France, puisqu’au niveau international, l’OCDE publie
en 1980 les lignes directrices régissant la protection de la vie privée et les
flux transfrontières des données de caractère personnel[15],
alors que le Conseil de l’Europe adopte le 28 janvier 1981 la Convention 108
qui est la première convention internationale sur le traitement automatisé des
données à caractère personnel[16].
L’an I a donc jeté les
bases technologiques, mais aussi juridiques de la révolution contemporaine,
avec une prédominance de l’influence américaine sur le plan technique et au
contraire une prééminence européenne en matière de législation. Cette
répartition perdure aujourd’hui comme le montre la portée de la jurisprudence
européenne et du règlement général sur la protection des données, qui, en l’an IV
de la révolution numérique, n’ont pas uniquement une influence dans l’Union
européenne, mais invitent plus largement les démocraties à se préoccuper de la
régulation de la donnée.
En 40 ans, les enjeux
juridiques sont à la fois restés les mêmes dans leur fondement et ont connu une
évolution dans leur mise en œuvre. Quant au fondement des enjeux juridiques, il
s’agit toujours de s’assurer que l’informatique reste au service du citoyen et
qu’elle ne porte pas une atteinte excessive à la vie privée. Quant à la mise en
œuvre de ces enjeux sont intervenus entre temps l’an II et l’an III
de la révolution numérique qui nous placent désormais dans un contexte
radicalement différent.
L’an II qui s’étend dans notre raisonnement sur toute la décennie 1990
et la première moitié de la décennie 2000 est dominé par le développement
de l’Internet, la naissance de Google en 1998 et des premiers réseaux sociaux,
dont Facebook en 2004. Au plan juridique, l’an II se caractérise par
l’adoption de la directive européenne de 1995 sur la protection des données
personnelles[17],
obligeant les États membres de l’Union à harmoniser leur législation en la
matière. Cependant, la portée de la législation est alors essentiellement
régionale, puisque mise en œuvre au sein de l’Union européenne.
L’an III, qui, selon nous, couvre la période 2004 à 2016, correspond au
processus de numérisation de la société. Cet âge n’est pas seulement celui du
développement des GAFA, il correspond surtout au déploiement de la révolution
numérique dans l’ensemble des domaines d’activité humaine, avec le
développement de nouvelles notions telles que l’ubérisation de la société. Les
législateurs des différents pays prennent conscience à cette époque de la
nécessité de repenser nos législations pour mieux face au poids des géants de
l’Internet et à la dérégulation qui en résulte, par exemple, mais pas
uniquement en matière fiscale. Cette époque est ainsi celle de la réflexion
puis de la mise en œuvre par l’OCDE et le G20 du projet sur l’érosion de la
base d’imposition et les transferts de bénéfice (BEPS)[18].
L’an III est
également l’âge de l’ouverture des données[19].
Dans cette perspective, l’Union européenne a modifié en 2013[20],
la directive qu’elle avait adoptée en 2003, afin d’harmoniser les législations
des États membres en matière de réutilisation des données publiques. Pour y
répondre, la France a dû reconnaître, par l’ordonnance du 6 juin 2005[21],
un droit à la réutilisation des données publiques, la seconde directive ayant
été transposée par la loi du 28 décembre 2015[22].
Sur le plan de la
protection des données, c’est aussi le temps de la jurisprudence européenne de
2014 Google Spain[23],
qui reconnaît l’existence d’un droit au déréférencement, amorçant ainsi
l’encadrement des géants de l’Internet. Cette jurisprudence a préparé la voie à
un mouvement plus vaste de régulation des données, qui aboutit, le 27 avril
2016, à l’adoption du règlement général sur la protection des données[24],
entré en vigueur le 25 mai 2018, auquel il faut ajouter la directive 2016/680[25].
Cette nouvelle
législation a conduit les pays européens à modifier leur législation, la France
l’ayant fait avec la loi 20 juin 2018[26],
qui a complété une première évolution juridique apportée par la loi pour une
République numérique de 2016[27].
Les conséquences de ces
évolutions issues de la régulation des données sont aussi internationales
puisque, par exemple, le Conseil de l’Europe a lui-même modifié le 18 mai 2018
sa convention 108[28]
pour tenir compte de l’adoption du règlement général sur la protection des
données. De même, il faut noter que d’autres pays, comme le Brésil, viennent
aussi d’adopter une législation en matière de protection des données. Il est
possible de penser que l’influence européenne n’y est pas étrangère.
Aux États-Unis, l’affaire
Cambridge Analytica/Facebook[29]
de 2018 a permis de faire ressortir les inconvénients issus de l’absence de
régulation de la protection des données personnelles à l’heure où se profilait
l’entrée en vigueur du règlement général sur la protection des données au sein
de l’Union européenne.
Ces évolutions
technologiques et juridiques nous ont fait entrer de plain-pied dans ce que
nous appelons l’an IV de la Révolution numérique. Cet âge qui correspond à
l’émergence d’une société des données est matérialisé par le développent de
technologies disruptives comme la blockchain et l’intelligence artificielle qui
nous conduisent à repenser la place de l’homme et la régulation de la société.
Ce sera l’objet de la conclusion des 3e journées universitaires sur
les enjeux des gouvernements ouverts et du numérique, qui aura lieu demain à
partir de 17 heures en Sorbonne, en amphithéâtre Richelieu.
Après les évolutions
juridiques et institutionnelles de ces 40 dernières années, il est possible de
se demander si l’an IV marque enfin le début de l’âge de raison.
Une première réponse
pourrait être positive si l’on considère que l’époque contemporaine est aussi
celle qui se défait de l’approche du numérique opposant ses partisans qui n’y
voient que des avantages et ses opposants qui n’y voient que des inconvénients.
Il semble exister une prise de conscience que cette binarité ne permet plus de
prendre en compte la complexité de la matière.
Sans être exhaustif, une
illustration de l’appréhension de la complexité du droit du numérique par le
juge peut être apportée à travers l’exemple du droit au déréférencement. En
effet, après l’arrêt Google Spain de 2014[30]
et la consécration du droit au déréférencement, se pose la question de
l’effectivité de sa mise en œuvre. Autrement dit, les premières questions
pratiques apparaissent. Ainsi, comment articuler le droit à l’oubli et le droit
à l’information ? C’est tout le sens de la question posée par l’arrêt Manni du
9 mars 2017[31].
Toujours pour analyser
l’effectivité du droit au déréférencement, le Conseil d’État a rendu deux
décisions en 2017 destinées à poser des questions préjudicielles à la Cour de
Justice de l’Union européenne pour savoir quelle est la portée territoriale du
droit au déréférencement[32]
et quelles sont les obligations qui pèsent sur les moteurs de recherche lorsque
le déréférencement concerne des données sensibles[33].
Dans sa décision du 19
juillet 2017, le Conseil d’État demande en premier lieu à la Cour de justice de l’Union
européenne si le « droit au déréférencement »
tel que consacré par son arrêt Google Spain du 13 mai 2014 doit être interprété
comme signifiant que l’exploitant d’un moteur de recherche est tenu, en cas
d’exercice du droit au déréférencement, « d’opérer ce déréférencement sur
l’ensemble des noms de domaine de son moteur de telle sorte que les liens
litigieux n’apparaissent plus, quel que soit le lieu à partir duquel la
recherche lancée sur le nom du demandeur est effectuée, y compris hors du champ
d’application territorial de la directive du 24 octobre 1995. »[34] Le Conseil d’État interroge
ensuite la Cour de Justice de l’Union européenne sur les conséquences d’une
réponse négative à la première question. Dans le cas où il n’existe pas
d’obligation de mettre en œuvre le déréférencement sur l’ensemble des noms de
domaine du moteur de recherche, c’est-à-dire, y compris pour les extensions non
européennes, le droit au déréférencement a-t-il à l’inverse une portée
uniquement nationale. Autrement dit, le droit au déréférencement signifie-t-il
que l’exploitant d’un moteur de recherche est seulement tenu, « lorsqu’il fait
droit à une demande de déréférencement, de supprimer les liens litigieux des
résultats affichés à la suite d’une recherche effectuée à partir du nom du
demandeur sur le nom de domaine correspondant à l’État où la demande est réputée
avoir été effectuée ou, plus généralement, sur les noms de domaine du moteur de
recherche qui correspondent aux extensions nationales de ce moteur pour
l’ensemble des États membres de l’Union européenne ? »[35] Enfin, le Conseil d’État
demande, en complément de la deuxième question, à la Cour de Justice de l’Union
européenne si le droit au déréférencement doit être interprété comme signifiant
que « l’exploitant d’un moteur de recherche faisant droit à une demande de
déréférencement est tenu de supprimer, par la technique dite du “géoblocage”,
depuis une adresse IP réputée localisée dans l’État de résidence du
bénéficiaire du “droit au déréférencement”, les résultats litigieux des
recherches effectuées à partir de son nom, ou même, plus généralement, depuis
une adresse IP réputée localisée dans l’un des États membres soumis à la
directive du 24 octobre 1995, ce indépendamment du nom de domaine utilisé par
l’internaute qui effectue la recherche ? »[36]. Autrement dit, il s’agit
pour le Conseil d’État, de savoir si l’exercice du droit au déréférencement
implique pour un moteur de recherche de recourir à la technique du « géoblocage »
pour empêcher l’accès aux résultats litigieux du moteur de recherche.
Dans sa décision du 24
février 2017, le Conseil d’État interroge la Cour de justice de l’Union
européenne sur l’applicabilité ou non aux moteurs de recherche de
l’interdiction énoncée aux paragraphes 1 et 5 de l’article 8 de la
directive du 24 octobre 1995.
L’article 8 de ce
texte est relatif aux traitements portant sur des catégories particulières de
données. Le premier alinéa pose le principe d’interdiction de traiter les données
à caractère personnel portant sur l’origine raciale ou ethnique, les opinions
politiques, les convictions religieuses ou philosophiques, l’appartenance
syndicale, ainsi que le traitement des données relatives à la santé et à la vie
sexuelle. Cependant, les alinéas 2 et 3 posent aussitôt des exceptions à
cette interdiction, par exemple, en cas de consentement explicite de la
personne concernée par le traitement, lorsque les données sont traitées pour
défendre les intérêts vitaux de la personne concernée ou encore lorsque le
traitement des données répond à une finalité de médecine préventive ou de
diagnostic médical. Le 4e alinéa permet, quant à lui, aux États
membres de prévoir une exception à l’interdiction de traitement des données
sensibles pour un motif d’intérêt public important. Enfin, le 5e
alinéa porte sur le traitement des données relatives aux infractions, aux
condamnations pénales ou aux mesures de sûreté. Il est prévu que le traitement
de ces données « ne peut être effectué que sous le contrôle de l’autorité
publique ou si des garanties appropriées et spécifiques sont prévues par le
droit national, sous réserve des dérogations qui peuvent être accordées par l’État
membre sur la base de dispositions nationales prévoyant des garanties
appropriées et spécifiques. Toutefois, un recueil exhaustif des condamnations
pénales ne peut être tenu que sous le contrôle de l’autorité publique. | Les
États membres peuvent prévoir que les données relatives aux sanctions
administratives ou aux jugements civils sont également traitées sous le
contrôle de l’autorité publique. »[37]
S’il est admis que les
moteurs de recherche constituent des responsables de traitement, le Conseil
d’État s’interroge en premier lieu sur la
portée des interdictions énoncées à l’article 8 de la directive du 24
octobre 1995 pour les moteurs de recherche du fait de la nature spécifique de
leur activité qui est de faire apparaître sur leur page Internet les
résultats des recherches faites par les internautes. Le Conseil d’État demande
donc dans un premier temps à la Cour de Justice de l’Union européenne si « 1°
Eu égard aux responsabilités, aux compétences et aux possibilités spécifiques
de l’exploitant d’un moteur de recherche, l’interdiction faite aux autres responsables
de traitement de traiter des données relevant des paragraphes 1 et 5 de l’article 8
de la directive du 24 octobre 1995, sous
réserve des exceptions prévues par ce texte, est […] également applicable à
cet exploitant en tant que responsable du traitement que constitue ce moteur ».
En deuxième lieu, le
Conseil d’État envisage le cas d’une réponse positive à la première question,
c’est-à-dire, l’hypothèse où l’interdiction de traiter des données sensibles
énoncée à l’article 8 de la directive du 24 octobre 1995 s’appliquerait
aux moteurs de recherche. Une réponse positive signifierait-elle que le moteur
de recherche ne pourrait pas faire droit à une demande de déréférencement. En
effet, le fait de déréférencer ces données sensibles s’analyserait dans une
telle hypothèse comme un traitement de données interdit au titre de l’article 8.
Cependant, comme le deuxième alinéa prévoit aussi que l’interdiction de traiter
ces données sensibles cesse en cas de consentement explicite de la personne
concernée par le traitement, il est possible de penser que le fait pour la
personne concernée d’exercer un droit au déréférencement équivaut à donner son
accord explicite à traiter ces données. Toutefois, le même article 8
prévoit aussi que les États membres peuvent adopter une législation interdisant
dans certains cas que l’interdiction au traitement des données sensibles soit
levée, même en cas de consentement explicite de la personne concernée[38].
Ces différentes hypothèses correspondent à autant de questions posées par le
Conseil d’État à la Cour de justice de l’Union européenne qui sont examinées
ci-après.
Dans un premier temps, le
juge français demande au juge européen si les paragraphes 1 et 5 de l’article 8
de la directive du 24 octobre 1995 doivent être interprétés comme signifiant
que « que l’interdiction ainsi faite, sous réserve des exceptions prévues par
cette directive, à l’exploitant d’un moteur de recherche de traiter des données
relevant de ces dispositions l’obligerait à faire systématiquement droit aux demandes
de déréférencement portant sur des liens menant vers des pages web qui traitent
de telles données ». Autrement dit, le fait qu’un moteur de recherche ne soit
pas soumis à l’interdiction de traiter des données signifie-t-il qu’il a
l’obligation de systématiquement déréférencer les données sensibles prévues à
l’article 8 de la directive du 24 octobre 1995 lorsqu’un internaute
invoque le droit au déréférencement ?
Ensuite, le Conseil
d’État s’interroge plus spécifiquement sur la portée de l’interdiction de
traitement de données sensibles énoncée à l’article 8 paragraphe 2,
a) et e), de la directive du 24 octobre 1995. Le premier cas autorise le
traitement des données sensibles lorsque la personne concernée a explicitement
donné son accord, dès lors que l’État membre n’a pas adopté une législation
interdisant de lever l’interdiction par consentement de la personne concernée.
Le second cas permet de traiter les données sensibles lorsque ces données ont
été manifestement rendues publiques par la personne concernée ou sont
nécessaires à la constatation, à l’exercice ou à la défense d’un droit en
justice. Le Conseil d’État interroge la Cour de justice de l’Union européenne
sur la portée de ces deux exceptions à l’égard des exploitants d’un moteur de
recherche du fait des responsabilités, compétences et possibilités spécifiques
liées à la nature de leur activité. Plus précisément, il est demandé à la Cour
de Justice de l’Union européenne si l’exploitant d’un moteur de recherche peut
« refuser de faire droit à une demande de déréférencement lorsqu’il constate
que les liens en cause mènent vers des contenus qui, s’ils comportent des
données relevant des catégories énumérées au paragraphe 1 de l’article 8,
entrent également dans le champ des exceptions prévues par le paragraphe 2
de ce même article, notamment le a) et le e). »[39]
En
outre, le Conseil d’État s’interroge sur l’articulation entre droit au
déréférencement d’une part, et droit à la liberté d’expression d’autre part.
Ainsi, il évoque le cas où l’exercice du droit au déréférencement pourrait se
heurter au droit de savoir ou de s’exprimer. Sont ainsi concernées les données
à caractère personnel dont le traitement est nécessaire aux seules fins de journalisme ou d’expression
artistique ou littéraire. Autrement
dit, est en jeu la question de l’articulation entre l’article 8 de la
directive du 24 octobre 1995 et l’article 9 de ce texte qui demande aux
États membres de prévoir notamment pour
les traitements de données à caractère personnel effectués aux seules fins de
journalisme ou d’expression artistique ou littéraire, des exemptions et
dérogations à l’interdiction de traiter des données sensibles lorsqu’il s’agit
uniquement de concilier le droit à la vie privée avec les règles relatives à la
liberté d’expression[40].
Or, l’articulation entre ces deux dispositions peut s’avérer difficile.
Si le moteur de recherche devait répondre
favorablement au droit au déréférencement, il en résulterait une difficulté
pour les journalistes ou les auteurs de traiter les données en question puisque
celles-ci, une fois déréférencées, ne seraient plus accessibles à partir du
moteur de recherche concerné. Il est à noter cependant que la jurisprudence
Google Spain, rendue dans le cadre de la directive du 24 octobre 1995, a prévu
un droit au déréférencement et non un droit à l’effacement. Les données en
question seraient donc toujours accessibles sur le site Internet sur lequel
elles figurent. En revanche, il est à rappeler que le règlement général sur la
protection des données a une portée plus large puisqu’il prévoit un droit à
l’effacement des données[41].
Les conséquences de l’exercice d’un droit à l’effacement des données sur le
droit à l’information seront donc plus importantes dans le cadre de la mise en
œuvre du RGPD, et il sera intéressant d’étudier les premières décisions de
justice lorsqu’elles interviendront sur ce sujet.
Dans cette attente, le
Conseil d’État demande à la Cour de justice de l’Union européenne de se
prononcer sur l’interprétation à donner à la directive du 24 octobre 1995 qui
prévoit que « lorsque les liens dont le déréférencement est demandé mènent vers
des traitements de données à caractère personnel effectués aux seules fins de
journalisme ou d’expression artistique ou littéraire qui, à ce titre, en vertu
de l’article 9 de la directive du 24 octobre 1995, peuvent collecter et
traiter des données relevant des catégories mentionnées à l’article 8,
paragraphes 1 et 5, de cette directive, l’exploitant d’un moteur de
recherche peut, pour ce motif, refuser de faire droit à une demande de
déréférencement »[42].
En troisième lieu, le
Conseil d’État envisage le cas d’une réponse négative à la première question,
c’est-à-dire, l’hypothèse où l’interdiction de traiter des données sensibles
énoncée à l’article 8 de la directive du 24 octobre 1995 ne s’appliquerait
pas aux moteurs de recherche. Dans cette perspective, le Conseil d’État est
amené à poser trois sous-questions à la Cour de justice de l’Union européenne.
La première sous-question
invite à se demander quelles sont les exigences spécifiques applicables à
l’exploitant d’un moteur de recherche dans l’hypothèse où il n’est pas soumis à
l’interdiction de traiter les données sensibles prévue par l’article 8 de
la directive du 24 octobre 1995. En effet, comme expliqué précédemment, les
exploitants des moteurs de recherches sont considérés comme des responsables de
traitement de données à caractère personnel. Si la Cour de Justice de l’Union
européenne devait considérer que les exploitants des moteurs de recherche ne
sont pas soumis, contrairement aux autres responsables de traitement de données
à caractère personnel, à l’interdiction de traiter les données sensibles prévue
par l’article 8 de la directive du 24 octobre 1995, ce régime spécifique
résulterait des responsabilités, des compétences et des possibilités liées à la
nature spécifique de leur activité. Cependant, l’absence de soumission à
l’interdiction prévue à l’article 8 de la directive du fait de la nature
particulière de leur activité ne doit pas signifier qu’aucune obligation ne
pèse sur eux en matière de traitement des données, d’autant plus lorsque
celles-ci sont sensibles. C’est à cette question qu’est invitée à répondre la
Cour de justice de l’Union européenne lorsque le Conseil d’État lui demande « à
quelles exigences spécifiques de la directive du 24 octobre 1995 l’exploitant d’un
moteur de recherche, compte tenu de ses responsabilités, de ses compétences et
de ses possibilités, doit-il satisfaire ».
La deuxième sous-question
porte sur l’exercice d’un droit au déréférencement renvoyant à des pages web
contenant des données dont la publication est illicite. Dans une telle
hypothèse, le Conseil d’État s’interroge sur les conséquences de cette
situation à l’égard de l’exploitant du moteur de recherche. Trois situations
peuvent être envisagées.
Dans la première situation, il s’agit de savoir si
la directive du 24 octobre 1995 impose à l’exploitant d’un moteur de recherche
de supprimer ces liens de la liste des résultats affichés à la suite d’une
recherche effectuée à partir du nom du demandeur ». Cette première
interrogation met donc en lumière le fait de savoir s’il existe ou non une
obligation pour l’exploitant du moteur de recherche, de répondre à la demande
de déréférencement lorsqu’elle porte sur des données dont la publication est
illicite.
La deuxième situation envisagée consiste à se demander si la directive
du 24 octobre 1995 implique uniquement
que l’exploitant du moteur de recherche tienne compte du fait que les pages web
contiennent des données dont la publication est illicite « pour apprécier le
bien-fondé de la demande de déréférencement ». Dans cette deuxième
situation, la mise en œuvre du droit au déréférencement dépend de l’exploitant
du moteur de recherche qui apprécie le bien-fondé de la demande, celui-ci ayant
comme seule obligation de prendre en considération, lorsque la demande lui est
soumise, le fait que les pages web contiennent des données dont la publication
est illicite.
La troisième situation présente
l’hypothèse où le fait que les pages web contiennent des données dont la
publication est illicite est sans incidence sur l’appréciation que l’exploitant
du moteur de recherche porte à la demande de déréférencement.
Autrement dit, dans le
premier cas, l’existence de données dont la publication est illicite constitue
une obligation liant l’exploitant du moteur de recherche ; dans le deuxième
cas, elle est une circonstance à prendre en compte au moment où l’exploitant du
moteur de recherche examine la demande de déréférencement ; la dernière
hypothèse prévoyant le cas où le moteur de recherche n’a pas à tenir compte du
fait que la demande de déréférencement porte sur des données dont la
publication est illicite.
La troisième
sous-question concerne l’hypothèse de la publication sur des pages web de
données litigieuses dont le traitement n’entre pas dans le champ d’application
territorial de la directive du 24 octobre 1995, et donc dans les lois de
transposition de cette directive. Une telle hypothèse peut poser des
difficultés de mise en œuvre lorsque, conformément aux deux premiers cas
susmentionnés, l’exploitant du moteur de recherche doit ou peut tenir compte,
lors de l’examen du droit au déréférencement, du fait que la publication est issue
d’un traitement de données exclu du champ d’application territorial de la
directive du 24 octobre 1995. Cela revient à se demander comment les
exploitants des moteurs de recherche pourraient-ils apprécier la licéité de la
publication des données litigieuses issue d’un traitement de données ne
relevant pas du champ d’application de la directive de 1995. Cette situation
vise par exemple le cas de résultats de moteurs de recherche obtenus à partir
de publication figurant sur des sites Internet non européens, par exemple sur
des journaux dont les pages web sont hébergées sur les continents américain,
asiatique, africain ou en Océanie, mais aussi en Europe en dehors de l’Union
européenne.
Dans une telle hypothèse,
le Conseil d’État se pose la question de l’appréciation de la licéité de la
publication des données litigieuses. En effet, les législations étant
différentes, une même information peut être considérée comme illicite par le
droit de l’Union européenne, mais licite en dehors. Par exemple, une publication
d’informations qualifiée d’illicite par le droit de l’Union peut être
considérée comme une information licite par le droit des États-Unis, car
relevant du droit à la liberté d’expression et du premier amendement. Aussi, le
Conseil d’État demande-t-il à la Cour de Justice de l’Union européenne « comment
apprécier la licéité de la publication des données litigieuses sur des pages
web qui proviennent de traitements n’entrant pas dans le champ d’application
territorial de la directive du 24 octobre 1995 et, par suite, des législations
nationales la mettant en œuvre ».
En quatrième lieu, le
Conseil d’État s’intéresse aux obligations pesant sur les exploitants des
moteurs de recherche à l’égard des demandes de déréférencement portant sur des
données à caractère personnel devenues « incomplètes », « inexactes » ou « non
actualisées ».
Il s’agit de savoir si
dans de telles circonstances, la directive du 24 octobre 1995 impose à
l’exploitant du moteur de recherche d’accéder à la demande de déréférencement.
L’exercice d’un droit au déréférencement dans une telle hypothèse est d’une
manière générale compréhensible, car une publication de données à caractère
personnel incomplète, inexacte ou non actualisée est susceptible de porter
préjudice à la personne concernée. Les enjeux sont encore plus importants
lorsque les informations en question sont relatives à des procédures
judiciaires, des infractions ou des condamnations pénales. Aussi, le Conseil
d’État formule-t-il une question plus spécifique dans ces trois hypothèses.
D’une part, il s’agit de
savoir si un exploitant de moteur de recherche est tenu de déréférencer des
liens menant vers des informations portant sur une procédure judiciaire dont le
demandeur a démontré qu’elles ne correspondent plus à la réalité de sa situation.
D’autre part, le Conseil
d’État demande à la Cour de justice de l’Union européenne si les données
relatives à la mise en examen d’un individu ou relatant un procès entrent dans
le champ d’application des données relatives aux infractions et condamnations
pénales dont le traitement est en strictement encadré par le paragraphe 5
de l’article 8 de la directive puisque le traitement ne peut. Cette
disposition prévoit en effet que :
« Le traitement de
données relatives aux infractions, aux condamnations pénales ou aux mesures de
sûreté ne peut être effectué que sous le contrôle de l’autorité publique ou si
des garanties appropriées et spécifiques sont prévues par le droit national,
sous réserve des dérogations qui peuvent être accordées par l’État membre sur
la base de dispositions nationales prévoyant des garanties appropriées et
spécifiques. Toutefois, un recueil exhaustif des condamnations pénales ne peut
être tenu que sous le contrôle de l’autorité publique. »[43]
Dans le prolongement de
cette question, le juge français demande au juge de l’Union européenne si les
pages web contenant des données faisant état des condamnations ou des
procédures judiciaires visant une personne physique entrent dans le champ
d’application du paragraphe 5 de l’article 8 de la directive du 24
octobre 1995.
À travers ces questions,
il s’agit de savoir si l’exploitant d’un moteur de recherche est autorisé à
accéder au droit de déréférencement concernant les données relatives à la mise
en examen, aux infractions et condamnations ou encore aux procédures
judiciaires d’une personne concernée. En effet, une personne ayant fait l’objet
d’une condamnation peut avoir intérêt à ce que cette information ne soit plus
accessible aux internautes. Déréférencer les liens renvoyant vers des
publications faisant état de ces condamnations ne supprime certes pas
l’information sur le site Internet du journal ayant publié l’information, mais
il rend plus difficile l’accès à cette information puisque l’internaute ne
pourra pas exercer une recherche générale à partir d’un moteur de recherche,
mais devra spécifiquement se rendre sur le site Internet de chaque journal pour
avoir accès à l’information. On comprend donc l’intérêt de la question posée
par le Conseil d’État.
L’an IV de la
révolution numérique fait naître de nouveaux défis juridiques, parmi lesquels
figurent ceux liés à la mise en œuvre de la blockchain et de l’intelligence
artificielle. Cependant, avant de traiter de ces deux sujets, il convient de
mentionner la mise en œuvre du droit à la libre détermination de ses données
personnelles, nouveau droit créé en France en 2016.
En effet, la loi du 6
janvier 1978 avait posé dès l’origine comme principe celui de mettre
l’informatique au service du citoyen, ajoutant qu’elle ne doit porter atteinte
« ni à l’identité humaine, ni aux droits de l’homme, ni à la vie privée, ni aux
libertés individuelles ou publiques »[44].
Plus de 40 ans après, l’affirmation de
cette exigence demeure et n’a pas été remise en cause et a même été renforcée
en 2016 lorsque le législateur a ajouté le droit à la libre détermination de
ses données personnelles, c’est-à-dire, le droit de toute personne à
disposer du droit de décider et de contrôler les usages faits de ses données à
caractère personnel dans les conditions fixées par la loi du 6 janvier 1978[45].
Tout laisse à penser
cependant que la mise en œuvre de ce nouveau droit ne sera pas sans poser des
interrogations quant à l’interprétation et/ou la mise en œuvre des nouveaux
droits, dont figure celui du droit de disposer de ses données à caractère
personnel après sa mort[46].
Ce droit permet à une personne physique d’arrêter des directives concernant la
conservation, l’effacement et à la communication de ses données à caractère
personnel après son décès. Le législateur a établi une distinction entre les
directives qualifiées de générales et celles qui sont particulières. Les
directives générales portent sur l’ensemble des données à caractère personnel
et constituent des instructions générales enregistrées auprès d’un tiers de
confiance numérique certifié par la Commission nationale de l’informatique et
des libertés. Au contraire, les directives particulières sont destinées aux responsables
de traitement qui sont amenés à suivre les instructions communiquées de son
vivant par la personne concernée pour la mise en œuvre du traitement de ses
données à caractère personnel après sa mort. Or, qu’en sera-t-il de
l’effectivité de ce droit lorsqu’il s’agira de mettre en œuvre des directives
spécifiques, par exemple pour une personne n’ayant pas d’héritier ou
encore en cas de désaccord entre héritiers, hypothèse explicitement prévue par
la loi du 6 janvier 1978 qui prévoit que de tels désaccords sont portés devant
le tribunal de grande instance compétent [47]?
Un
deuxième défi juridique à venir est celui de la régulation de la blockchain,
même si les premières bases commencent à être posées avec l’adoption des
premières législations, mais aussi à travers les premières décisions de justice
rendues en la matière.
En
ce sens, il faut mentionner par exemple, en France, la décision du Conseil
d’État du 26 avril 2018 concernant la fiscalité des cryptoactifs[48]. Le
juge administratif français a posé le principe que les produits que les
particuliers tirent de la cession de « bitcoins » doivent être imposés en
principe dans la catégorie des plus-values de bien meubles.
Cependant,
il a également considéré que certaines circonstances propres à l’opération de
cession peuvent impliquer d’imposer les gains issus de la cession de bitcoins
dans d’autres catégories de revenus.
Tel
est le cas lorsqu’un particulier a obtenu des bitcoins dans le cadre d’un
minage. Dans une telle hypothèse, le gain issu de la cession des bitcoins
s’analyse comme la contrepartie de la participation du contribuable à la
création ou au fonctionnement de ce système d’unité de compte virtuelle. Les
gains ne résultant pas d’une opération de placement, mais d’un véritable
travail, celui du minage des bitcoins, ils doivent être imposés dans la
catégorie des bénéfices non commerciaux.
Au
contraire, les gains « provenant de la cession, à titre habituel, d’unités de “bitcoin”
acquises en vue de leur revente, y compris lorsque la cession prend la forme
d’un échange contre un autre bien meuble, dans des conditions caractérisant
l’exercice d’une profession commerciale, sont imposables dans la catégorie des
bénéfices industriels et commerciaux. »[49]
Si
la décision rendue par le Conseil d’État peut se comprendre, elle n’en reste
pas moins complexe et illustre la nature des interrogations à venir dans la
mise en œuvre de la blockchain, la décision du 26 avril 2018 n’étant qu’un
exemple parmi d’autres des interrogations juridiques que pose la mise en œuvre
de la blockchain.
Enfin, la société est
amenée à répondre à un troisième défi juridique à travers le déploiement de
l’intelligence artificielle.
Depuis plusieurs siècles,
l’homme est considéré comme l’espèce dominante sur terre comme le furent les
dinosaures en leur temps avant leur extinction il y a 66 millions d’années[50].
Cependant, au regard de l’évolution rapide que connaissent actuellement les
nouvelles technologies et en particulier l’intelligence artificielle, certains
se demandent si demain, et pour la première fois, l’homme ne pourrait pas être
en concurrence avec une espèce dominante. Tel serait le cas si des chercheurs
parvenaient à développer une intelligence artificielle auto-apprenante et
auto-évolutive. Elon Musk a même déclaré en 2014 que l’intelligence
artificielle était la plus grande menace qui pesait sur la survie de l’espèce
humaine[51]
appelant par conséquent à sa régulation[52],
quand Stephen Hawking déclarait de son côté la même année à la BBC que le
développement d’une intelligence artificielle intégrale pourrait sonner le glas
de l’espèce humaine. Selon lui, les humains étant limités par la lenteur de
l’évolution biologique, ils ne pourraient pas rivaliser avec cette nouvelle
espèce et seraient donc remplacés par cette dernière[53].
Sans aller jusqu’à
envisager cette hypothèse où l’homme disparaîtrait au profit d’une intelligence
artificielle, il n’en demeure pas moins que le scénario d’une intelligence
auto-apprenante et autonome parait pour l’instant de la pure fiction.
Cependant, il est possible de penser qu’en d’autres temps, par exemple à
l’époque de Gutenberg, auraient paru tout aussi irréalistes les propos de celui
qui aurait affirmé qu’un jour un être humain irait sur la lune ou sur Mars,
qu’il serait possible d’envoyer des informations en moins d’une seconde à
l’autre bout de la Terre ou que grâce à des hologrammes, il serait possible
d’être présent à deux endroits différents de la terre en même temps.
Cette comparaison avec
Gutenberg n’est pas anodine. En effet, certains considèrent que le
développement de l’Internet et de l’intelligence artificielle est une
révolution aussi importante que celle de l’invention de l’imprimerie. La
difficulté à prévoir les évolutions futures rend plus que jamais nécessaire de
réfléchir dès aujourd’hui à la régulation juridique de l’intelligence
artificielle.
Certains pays comme la
France ont déjà commencé à apporter des réponses à ce sujet, en ayant la
volonté d’encadrer l’utilisation des algorithmes. Par exemple, la réforme de
l’entrée dans l’enseignement supérieur français a été l’occasion d’apporter les
premières réponses, en laissant ouvertes de nouvelles interrogations. Ainsi, la
CADA a considéré dans une décision du 23 juin 2016 que les « fichiers
informatiques constituant le code source ou algorithme sollicité » étaient des
documents administratifs communicables[54],
jurisprudence qui sera consacrée quelques mois plus tard au plan textuel par le
code des relations entre le public et l’administration qui range les codes
sources au sein des documents administratifs[55].
De son côté, la CNIL a
rappelé dans une décision du 30 août 2017[56]
que, conformément à l’article 10 de la loi du 6 janvier 1978, « Aucune autre décision produisant
des effets juridiques à l’égard d’une personne ne peut être prise sur le seul
fondement d’un traitement automatisé de données destiné à définir le profil de
l’intéressé ou à évaluer certains aspects de sa personnalité. »[57]
Mais ces décisions et
consécrations textuelles ne suppriment cependant pas l’ensemble des
interrogations qui peuvent naître des évolutions technologiques, d’autant que
le droit n’est pas toujours stable. Ainsi, conscient des difficultés qu’il y
aurait à faire respecter une disposition prévoyant qu’il ne serait pas possible
de prendre une décision entraînant des effets juridiques à l’égard d’une
personne sur le seul fondement d’un algorithme, le législateur a réécrit en
2018 l’article 10 de la loi du 6 janvier 1978 pour prévoir plusieurs
exceptions à cette interdiction.
Désormais, l’article 10
de la loi du 6 janvier 1978 dans sa version modifiée par la loi du 20 juin 2018
dispose :
« Aucune
décision de justice impliquant une appréciation sur le comportement d’une
personne ne peut avoir pour fondement un traitement automatisé de données à
caractère personnel destiné à évaluer certains aspects de la personnalité de
cette personne.
Aucune
décision produisant des effets juridiques à l’égard d’une personne ou l’affectant
de manière significative ne peut être prise sur le seul fondement d’un
traitement automatisé de données à caractère personnel, y compris le profilage,
à l’exception :
1° Des cas mentionnés aux a et c du 2 de l’article 22 du règlement (UE)
2016/679 du Parlement européen et du Conseil du 27 avril 2016 précité, sous les
réserves mentionnées au 3 du même article 22 et à condition que les règles
définissant le traitement ainsi que les principales caractéristiques de sa mise
en œuvre soient communiquées, à l’exception des secrets protégés par la loi,
par le responsable de traitement à l’intéressé s’il en fait la demande ;
2°
Des décisions administratives individuelles prises dans le respect de l’article
L. 311-3-1 et du chapitre Ier du titre Ier du livre IV du code des
relations entre le public et l’administration, à condition que le traitement ne
porte pas sur des données mentionnées au I de l’article 8 de la présente
loi. Ces décisions comportent, à peine de nullité, la mention explicite prévue
à l’article L. 311-3-1
du code des relations entre le public et l’administration. Pour ces
décisions, le responsable de traitement s’assure de la maîtrise du traitement
algorithmique et de ses évolutions afin de pouvoir expliquer, en détail et sous
une forme intelligible, à la personne concernée la manière dont le traitement a
été mis en œuvre à son égard.
Par
dérogation au 2° du présent article, aucune décision par laquelle l’administration
se prononce sur un recours administratif mentionné au titre Ier du
livre IV du code des relations entre le public et l’administration
ne peut être prise sur le seul fondement d’un traitement automatisé de données
à caractère personnel. »[58]
Les brèches ainsi
ouvertes par la reconnaissance, certes encadrée, d’exceptions à l’impossibilité
de prendre une décision produisant des effets juridiques à l’égard d’une
personne sur le seul fondement d’un traitement automatisé des données à
caractère personnel suscitent des interrogations quant aux relations qui
peuvent s’établir entre l’individu et la machine. En effet, il s’agit de se
demander si une décision doit toujours résulter d’une volonté humaine ou si
elle peut être le fruit d’un processus entièrement automatisé. Dans cette hypothèse,
dans quels cas acceptons-nous de nous en remettre à une décision de la
machine plutôt qu’à une décision humaine ?
Ces interrogations
conduisent à réfléchir plus largement à l’avènement de l’interaction
homme-machine théorisée par Joseph Licklider dans son article « Man-Computer Symbiosis »[59]
publié en 1960.
Les progrès
technologiques que nous connaissons actuellement rendent plus que jamais
nécessaire de réfléchir au régime de responsabilité de l’intelligence
artificielle. Aujourd’hui, se pose déjà la question de savoir qui est
responsable en cas de litige d’un véhicule autonome piloté par une intelligence
artificielle. Demain, la défaillance pourrait être plus difficile à établir
s’il ne s’agit pas de juger de la responsabilité d’une intelligence artificielle
autonome, comme celle d’un véhicule autonome, mais plutôt de celle d’un homme
augmenté. Par exemple, si à l’avenir la recherche permettait à des personnes
non voyantes de retrouver la vue grâce à des « yeux numériques », et que cette
personne commettait un accident après avoir brûlé un feu rouge, il ne sera pas
évident de trancher le litige si le conducteur avance comme argument que son « œil
numérique » a été défectueux alors que dans le même temps, le fabriquant de « l’œil
numérique » rejette la faute sur le programmeur, qui lui-même considère que le
conducteur aurait dû s’arrêter de conduire immédiatement après avoir constaté
une défaillance de son œil, et non continuer à conduire pendant 2 minutes,
provoquant ainsi l’accident.
Les mêmes personnes
pourront aussi reprocher au fabricant de la voiture autonome, mais aussi au
programmeur de l’intelligence artificielle, de ne pas avoir su anticiper la
perte de contrôle du véhicule. Si en outre « l’œil numérique » est connecté à
la voiture autonome et que des informations ont mal été transmises entre l’œil
et la voiture en raison de la défaillance du réseau wifi ou d’un problème de
fracture numérique qui n’avait pas été mentionné, il est alors possible
d’entrevoir toute la difficulté qu’il y aurait à juger de tels litiges. En
effet, dans une telle hypothèse, il conviendra d’articuler à la fois la
question des objets connectés, celle de la fracture numérique, celle de la
responsabilité du constructeur et du programmeur de « l’œil numérique », celle
de la responsabilité du constructeur et du programmeur du véhicule autonome,
celle de la responsabilité du conducteur équipé de l’œil numérique, et le cas
échéant, celle de la responsabilité d’un piéton imprudent, etc.
Pour mieux réguler
juridiquement les risques liés au développement de l’intelligence artificielle,
il est donc nécessaire d’entamer une réflexion d’ensemble portant sur le régime
de responsabilité qui peut en résulter. Il importe d’y procéder dans un langage
clair afin de tenter de mettre ces évolutions et leurs conséquences juridiques
à la portée de tous. Une telle démarche permettrait de tenter d’atténuer la
complexité inhérente à la régulation juridique des avancées engendrées par les
nouvelles technologies.
Cet enjeu revêt une importance
déterminante, car appréhender la complexité de la régulation juridique des
avancées technologiques permettrait par exemple de trancher les litiges
correspondants et donc de contribuer au bon fonctionnement de la justice. Il
reste cependant qu’une telle complexité se développe à une vitesse croissante.
[1] R. Weaver, From Gutenberg to the
Internet: Free Speech: Advancing Technology and the Implications for Democracy,
Carolina Academic Press, 2013.
[2] Cf. M. Waldrop, « DARPA and the Internet
Revolution », 50 years of Bringing the Gap, Faircount Media Group, 2016.
[3] Cf. B. Pascal,
« Machine Arithmétique. À Monseigneur le chancelier [Pierre Seguier]
(1645) », in B. Pascal,
Œuvres complètes, Hachette, 3e édition, 1872.
[4] G. Leibniz,
« Trois lettres à Jean-Frédéric de Hanovre sur le problème de la
liberté », Philosophie, n°4, 2002.
[5] Ch. Babbage, Passages from the Life of a
Philosopher, Longmann-Green-Longman-Roberts & Green, 1864.
[6] Ch. Babbage, op. cit.
[7] R. Kurzweil, Kurzweil’s Law, 23 septembre
2005, accessible à :
http://longnow.org/seminars/02005/sep/23/kurzweils-law/
[8] DARPA, Innovation
at DARPA, 2016.
[9] T. Gaston-Breton,
« Le Plan Calcul, l’échec d’une ambition », Les Échos, 20 juillet 2012.
[10] Ibidem.
[11] Cf. V. Cerf, R. Kahn, « A Procol for Packet Network Intercommunication », IEEE Trans on Comms, Vol Com-22, n° 5, mai 1974.
[12] Ph. Boucher,
« SAFARI ou la chasse aux Français », Le Monde, 21 mars 1974.
[13] Loi n° 78-17 du 6 janvier 1978 relative
à l’informatique, aux fichiers et aux libertés.
[14] Loi n° 78-753 du 17 juillet 1978 portant
diverses mesures d’amélioration des relations entre l’administration et le
public et diverses dispositions d’ordre administratif, social et fiscal.
[15] OCDE, Recommandation
du Conseil concernant les lignes directrices régissant la protection de la vie
privée et les flux transfrontières de données de caractère personnel, 23
octobre 1980.
[16] Conseil de l’Europe, Convention n° 108 pour la protection des
personnes à l’égard du traitement automatisé des données à caractère personnel,
28 janvier 1981.
[17] Directive 95/46/CE du Parlement européen
et du Conseil, du 24 octobre 1995, relative à la protection des personnes
physiques à l’égard du traitement des données à caractère personnel et à la
libre circulation de ces données.
[18] Le projet BEPS a été lancé en 2013 et a
abouti OCDE à la définition de 15 actions en 2015.
Cf. OCDE, Lutter contre l’érosion de la base d’imposition et le
transfert de Bénéfices, 2013,
accessible à :
http://www.oecd.org/fr/fiscalite/lutter-contre-l-erosion-de-la-base-d-imposition-et-le-transfert-de-benefices-9789264192904-fr.htm.
Voir aussi
OCDE, Exposé des actions 2015, Projet
OCDE/G20 sur l’érosion de la base d’imposition et le transfert de bénéfices,
2015, accessible à :
http://www.oecd.org/fr/ctp/beps-expose-des-actions-2015.pdf.
[19] Voir W. Gilles, « Libre réflexion sur le droit dit “de l’open
data”. Origine, contours et évolution dans le cadre du droit de l’Union
européenne », La semaine juridique. Édition générale,
supplément au n° 9, 27 février 2017, p. 13.
[20] Directive 2013/37/UE du Parlement européen et du Conseil du 26 juin
2013 modifiant la directive 2003/98/CE concernant la réutilisation des
informations du secteur public.
[21] Ordonnance n° 2005-650 du 6 juin 2005 relative à la liberté d’accès
aux documents administratifs et à la réutilisation des informations publiques.
[22] Loi n° 2015-1779 du 28 décembre 2015
relative à la gratuité et aux modalités de la réutilisation des informations du
secteur public (1).
[23] Arrêt de la Cour (grande chambre) du 13 mai
2014, Google Spain SL et Google Inc. contre Agencia Española de Protección de
Datos (AEPD) et Mario Costeja González, accessible à :
https://eur-lex.europa.eu/legal-content/FR/TXT/?uri=CELEX%3A62012CJ0131.
[24] Règlement (UE) 2016/679 du Parlement
européen et du Conseil du 27 avril 2016.
[25] Directive (UE) 2016/680 du Parlement européen et du
Conseil du 27 avril 2016 relative à la protection des personnes physiques à l’égard
du traitement des données à caractère personnel par les autorités compétentes à
des fins de prévention et de détection des infractions pénales, d’enquêtes et
de poursuites en la matière ou d’exécution de sanctions pénales, et à la libre
circulation de ces données, et abrogeant la décision-cadre 2008/977/JAI du
Conseil.
[26] Loi n° 2018-493 du 20 juin 2018
relative à la protection des données personnelles, accessible à :
https://www.legifrance.gouv.fr/affichTexte.do;jsessionid=980CF4A599209F423164522AF7057F23.tplgfr31s_3?cidTexte=JORFTEXT000037085952&categorieLien=id.
[27] Loi n° 2016-1321 du 7 octobre 2016 pour
une République numérique, accessible à : https://www.legifrance.gouv.fr/affichLoiPubliee.do?idDocument=JORFDOLE000031589829&type=general&legislature=14.
[28] Cf.
Council of Europe, Decision of the Committee of Ministers, 128th session of the Committee of
Ministers, Elsinore, 18 May 2018.
Voir aussi : Council of Europe, Convention 108 +, Convention
for the protection of individuals with regard to the processing of personal
data, 2018, accessible à:
https://rm.coe.int/convention-108-convention-for-the-protection-of-individuals-with-regar/16808b36f1.
[29] CNIL, Affaire Cambridge
Analytica/Facebook, 12 avril 2018, accessible à :
https://www.cnil.fr/fr/affaire-cambridge-analytica-facebook.
[30] Arrêt de la Cour (grande chambre) du 13 mai
2014, Google Spain SL et Google Inc. contre Agencia Española de Protección de
Datos (AEPD) et Mario Costeja González
[31] Arrêt de la
Cour (deuxième chambre) du 9 mars 2017, Camera di Commercio, Industria,
Artigianato e Agricoltura di Lecce contre Salvatore Manni, Affaire C-398/15.
[32] CE, 19 juillet 2017, Google Inc. Affaire pendante,
référencée « C-507/17 – Google (Portée territoriale du déréférencement) » auprès de la CJUE.
[33] CE, 24 février 2017, 391 000, Publié au recueil Lebon. Affaire pendante,
référencée « Affaire C-136/17 - G. C. e. a. (Déréférencement de
données sensibles) » auprès de la
CJUE.
[34] CE, 19 juillet 2017, Google Inc.
[35] CE, 19 juillet 2017, Google Inc.
[36] CE, 19 juillet 2017, Google Inc.
[37] Article 8 de la directive 95/46/CE
du Parlement européen et du Conseil, du 24 octobre 1995, relative à la
protection des personnes physiques à l’égard du traitement des données à
caractère personnel et à la libre circulation de ces données.
[38] Cf. article 8, 2, a.
[39] CE, 24 février 2017, 391 000, Publié au recueil Lebon. Affaire pendante,
référencée « Affaire C-136/17 - G. C. e. a. (Déréférencement de
données sensibles) » auprès de la
CJUE.
[40] L’article 9 de la directive du 24
octobre 1995 prévoit que :
« Article 9 - Traitements de données à
caractère personnel et liberté d’expression
Les États membres prévoient, pour les traitements de données à caractère
personnel effectués aux seules fins de journalisme ou d’expression artistique
ou littéraire, des exemptions et dérogations au présent chapitre, au chapitre IV
et au chapitre VI dans la seule mesure où elles s’avèrent nécessaires pour
concilier le droit à la vie privée avec les règles régissant la liberté d’expression. »
[41] Cf. l’article 17 du Règlement (UE)
2016/679 du Parlement européen et du Conseil du 27 avril 2016.
[42] CE, 24 février 2017, 391 000, Publié au recueil Lebon. Affaire pendante,
référencée « Affaire C-136/17 – G. C. e. a.
(Déréférencement de données sensibles) » auprès de la CJUE.
[43] Cf. Article 8, § 5, de la directive 95/46/CE
du Parlement européen et du Conseil, du 24 octobre 1995
[44] Cf. la version initiale de l’article 1er
de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux
fichiers et aux libertés.
[45] Cf. le second alinéa de l’article 1er
de la loi du 6 janvier 1978, ajouté par l’article 54 de la loi n° 2016-1321
du 7 octobre 2016 pour une République numérique.
[46] Cf. l’article 40-1 de la loi du 6
janvier 1978. Voir aussi le 6) de l’article 32 de la loi du 6 janvier 1988
s’agissant du droit à l’information relatif à ce droit.
[47] Cf. le III de l’article 40-1 de la loi
du 6 janvier 1978.
[48] CE, 26 avril 2018,
M. G... et autres, nos 417809, 418030, 418031, 418032, 418033.
[49] CE, 26 avril 2018, M. G... et autres, nos
417809, 418030, 418031, 418032, 418033.
[50] Cf. notamment F. Broswimmer (traduction de
Thierry Vanès), Écocide :
Une brève histoire de l’extinction en masse des espèces, Parangon,
2003.
[51] Propos tenus en 2014 par Elon Musk au
Massachusetts Institute of Technology (MIT) lors d’une interview au
AeroAstro
Centennial Symposium, cités par S. Gibbs, « Elon Musk: artificial intelligence is our biggest existential threat », The Guardian, 27 octobre 2014,
dernière modification le 21 février 2017, accessible à :
https://www.theguardian.com/technology/2014/oct/27/elon-musk-artificial-intelligence-ai-biggest-existential-threat.
[52] Ibidem.
[53] R. Cellan-Jones, « Stephen Hawking warns artificial intelligence could end
mankind », BBC, 2 décembre 2014, accessible à : https://www.bbc.com/news/technology-30290540.
[54] CADA, Avis 20161989 – séance du 23
juin 2016.
[55] Cf. l’article 300-2 du code des
relations entre le public et l’administration.
[56] CNIL, décision n° MED 2017-053 du 30
août 2017 mettant en demeure le ministère de l’Enseignement Supérieur, de la
Recherche et de l’Innovation.
[57] Deuxième alinéa de l’article 10 de la
loi du 6 janvier 1978 dans sa version antérieure à la loi du 20 juin 2018.
[58] Article 10 de la loi du 6 janvier 1978
dans sa version modifiée par la loi du 20 juin 2018.
[59] J. Licklider, Man-Computer Symbiosis, 1RE Transactions on Human Factors in
Electronics, volume HFE-1, mars 1960, pp. 4-11.