Réseau scientifique de recherche et de publication

[TERRA- Quotidien]
Accueil > Recueil Alexandries > Collections > Etudes > Protection des données personnelles et droit à la vie (...)

Etudes

Recueil Alexandries

< 15/17 >

août 2023

Julien Rossi

Protection des données personnelles et droit à la vie privée : enquête sur la notion controversée de donnée à caractère personnel

auteur

Depuis octobre 2015 : doctorant en Sciences de l’information et de la communication, Université technologique de Compiègne - COSTECH Septembre 2014 - septembre 2015 : Chargé de cours à la Faculté de droit et de sciences politiques de l’université de Szeged (Hongrie) Février 2014 - juin 2014 : stagiaire à l’Autorité pour la protection des données et la liberté de l’Information (NAIH - Hongrie). De 2009-2014 : Etudiant à l’Institut d’Etudes Politiques de (...)
(...) julien.rossi@sciencespo-lille.eu

résumé

La menace qu’Internet et les technologies numériques de l’information et de la communication en général font ou feraient peser sur la vie privée soulève de nombreux débats, tant dans la presse qu’au niveau politique. L’affaire Snowden en 2013, puis l’adoption en 2016 du Règlement général de protection des données (RGPD), ont renforcé la visibilité de ces controverses dans l’espace public.

Cette thèse part d’une triple interrogation : pouvons-nous définir ce qu’est la « vie privée », existe-t-il un consensus autour de la question, et ce consensus évolue-t-il avec des évolutions de notre milieu technique qui affectent nos modes de communication, et donc d’intrusion dans celle-ci ?

En définissant la « vie privée » comme l’objet protégé par des textes normatifs – textes de loi, jurisprudence et standards techno-politiques d’Internet – qui protègent le droit à la vie privée, il est possible d’en étudier empiriquement l’évolution et les controverses qui ’accompagnent.

Le droit de la protection des données à caractère personnel a émergé en Europe dans les années 1970 pour protéger une « vie privée » perçue comme menacée par une informatique encore à ses débuts. Aujourd’hui, le RGPD, ou encore certains documents édictés par des organismes de standardisation comme l’Internet Engineering Task Force (IETF) ou le World Wide Web Consortium (W3C), visent à protéger cette vie privée au travers d’un corpus de règles, la « protection des données », qui concerne les « données à caractère personnel ».

Les définitions juridiques de cette notion produites dans des arènes institutionnelles et celles produites dans des arènes de standardisation technique sont identiques. L’étude de la généalogie de la protection des données révèle en outre le rôle déterminant d’informaticiens dans l’invention de la « protection des données » et en particulier des principes qui régissent aujourd’hui encore les dispositions contenues dans le RGPD.

L’analyse des controverses qui ont eu lieu dans les arènes d’élaboration de ces normes montre que la notion de « donnée à caractère personnel » inscrite dans les textes de notre corpus reflète essentiellement le système de convictions d’une coalition d’acteurs inspirés par des idéaux libéraux utilitaristes, attachés à l’autonomie de l’individu et accordant de l’importance au respect de son consentement. Ce paradigme s’est imposé dans les arènes étudiées face à d’autres conceptions de la « vie privée », notamment celles qui la définissent comme un espace collectivement défini ôté au regard de l’espace public, ou encore celles qui préconisent une patrimonialisation de ces données.

Ce n’est donc pas l’informatique qui a directement déterminé une évolution dans l’objet de la protection du droit de la vie privée, mais ses perceptions par un groupe d’acteurs. Convaincus de l’utilité sociale de la protection de leur conception libérale de la vie privée, ces derniers sont parvenus à faire émerger, en Europe, dans les années 1970, une nouvelle catégorie juridique : le droit à la protection des données. Le RGPD, adopté en 2016, tout comme les projets de standards du Web visant à protéger la vie privée et étudiés dans cette thèse, reprennent les principes issus de ces premiers débats. Ce faisant, l’arrivée de l’informatique a, indirectement mais effectivement, été un élément déclencheur dans l’évolution de la « vie privée » définie comme objet du droit à la vie privée.

Mots-clefs : informatisation de la communication, vie privée, protection des données, données à caractère personnel, approches communicationnelles du droit et des politiques publiques

à propos

Thèse de Doctorat ( Numéro national de thèse : 2020COMP2549 ), soutenue à l’Université de Technologie de Compiègne le 20 juillet 2020 (Bibliothèque) ; publication d’origine : https://www.theses.fr/2020COMP2549/abes

citation

Julien Rossi, "Protection des données personnelles et droit à la vie privée : enquête sur la notion controversée de donnée à caractère personnel ", Recueil Alexandries, Collections Etudes, août 2023, url de référence: http://www.reseau-terra.eu/article1455.html

Table des matières

Remerciements............... 4

Résumé................ 6
English summary..............7
Table des matières..............9
Table des abréviations.............15
Table des tableaux et illustrations...........19

Introduction générale

Vie privée et milieu technique.............29
Traces numérique et surveillance............32
Droit à la vie privée, droit à la protection des données à caractère personnel....35
Le droit saisi par une approche communicationnelle........42
Construction de l’objet de recherche............46
Hypothèses.................49
Annonce du plan...............54

Chapitre 1 : Méthode et terrains

1.1. Le cadre méthodologique.............57

1.2. Description des terrains.............70
1.2.1. Présentation générale.............70
1.2.2. Les enquêtes exploratoires centrées sur la première hypothèse.....71
1.2.3. L’étude de la socio-genèse du droit de la protection des données au Conseil de
l’Europe et à l’OCDE..............74
1.2.3.1. Identification du terrain...........74
1.2.3.2. Travail sur archives............76
1.2.3.3. Entretiens..............78
1.2.3.4. Autres documents............81
1.2.4. L’adoption du Règlement général de protection des données.....82
1.2.4.1. La jurisprudence de la Cour de justice de l’Union européenne....82
1.2.4.2. Identification du terrain...........82
1.2.4.3. Exploration ethnographique..........85
1.2.4.4. Analyse qualitative de documents.........89
1.2.4.5. Entretiens..............92
1.2.5. Le Privacy Internet Group et le Tracking Protection Working Group du W3C..95
1.2.5.1. Identification du terrain...........95
1.2.5.2. Entretiens..............95
1.2.5.3. Listes de discussion (mailing-lists).........99
1.2.5.4. Observation participante lors de la réunion F2F annuel du Privacy Interest
Group au Technical Plenary and Advisory Committee de Lyon en 2018...103
1.2.5.5. Autres documents exploités dans l’analyse.......104

1.3. Explorer les différentes conceptions de la notion de « vie privée ».....105

Chapitre 2 : Penser le droit à la vie privée.........107

2.1. Introduction : défaire l’illusion du consensus.........107
p. 9

2.2. Le paradigme libéral de la vie privée et son évolution foucaldienne....113

2.3. Les critiques du paradigme libéral de la vie privée........126
2.3.1. La critique néolibérale par l’École de Chicago........126
2.3.2. La critique féministe de la vie privée.........131
2.3.3. Les critiques marxistes et marxiennes.........134
2.3.4. La critique communautariste...........141
2.3.5. L’approche par les contextes : critique ou reformulation du paradigme libéral de la
vie privée ?................145

2.4. Les entrées par la technique............149
2.4.1. Utopies communicationnelles, Big Data et Quantified Self.....149
2.4.2. La souveraineté numérique...........155
2.4.3. Critique écologiste, antiproductiviste et technocritique de l’informatique et questions
de « vie privée »...............159

2.5. Conclusion du chapitre.............164

Chapitre 3 : La généalogie du droit à la protection des données à caractère personnel

3.1. Introduction...............166

3.2. Le retour à l’agenda du droit à la vie privée aux États-Unis dans les années 1960..170
3.2.1. L’échec des premières tentatives de faire reconnaître le droit à la vie privée au début
du XXe siècle...............170
3.2.2. La reconnaissance du droit à la vie privée à la fin du McCarthyisme...171
3.2.3. L’ordinateur dans l’imaginaire social des années 1960 : une figure inquiétante du complexe militaro-industriel de la Guerre froide........174
3.2.4. De la science-fiction à la politique : les fichiers informatisés deviennent un problème public.................177
3.2.5. La montée en puissance du paradigme libéral de la vie privée dans le débat..183

3.3. L’invention en Europe de la Datenschutz (protection des données).....187
3.3.1. Comment la controverse sur l’ordinateur et les fichiers de renseignements personnels a traversé l’Atlantique..............187
3.3.2. L’invention de la « protection des données » dans le Land de Hesse puis du « droit à l’auto-détermination informationnelle » en République fédérale d’Allemagne...190
3.3.3. Les Pays-Bas..............195
3.3.4. La Suède...............197
3.3.5. La France...............200

3.4. Le rôle du Conseil de l’Europe et de l’OCDE.........203
3.4.1. Rappels sur le choix des terrains..........203
3.4.2. Le groupe d’experts sur la protection de la vie privée vis-à-vis des banques de
données électroniques du Conseil de l’Europe.........204
3.4.3. Les groupes informatiques successifs de l’OCDE.......210
3.4.4. L’invention des principes de la protection des données......216

3.5. La formation de la privacy community..........223

3.6. Le rôle du « paradigme de la vie privée » dans la privacy community....231

3.7. Le clivage entre Common Law et droit continental dans les arènes étudiées...236

3.8. Le rôle de l’argument de la confiance sur la période 1966 – 1981.....247

3.9. Conclusion du chapitre.............257

Chapitre 4 : L’adoption du RGPD (2009-2016)

4.1. Introduction du chapitre.............260
p. 10
4.1.1. De la Convention 108 au RGPD..........260
4.1.2. La communautarisation du droit des données à caractère personnel...261
4.1.3. Le Règlement général de protection des données (RGPD).....272
4.1.4. Le rôle structurant du réseau transgouvernemental des autorités de protection des données dans le sous-système de politique publique de protection des données de l’Union
européenne................285
4.1.5. Les groupes d’intérêt dans l’Union européenne : expertise, crédibilité, légitimité.294

4.2. Identification des coalitions de cause..........310

4.3. Les principaux points de controverse..........322
4.3.1. Sélection des points de controverse étudiés........322
4.3.2. Quel degré de transfert de compétences à l’Union européenne ?....324
4.3.3. Bases légales, consentement et intérêt légitime.......332
4.3.4. La définition de la notion de « donnée à caractère personnel »....337
4.3.5. La formule de « l’approche basée sur le risque ».......341
4.3.6. L’encadrement du profilage...........346

4.4. L’argument de l’équilibre avec l’objectif d’intérêt général de la croissance économique
dans une « économie du savoir »............350

4.5. La stabilité de l’argument de la confiance comme articulation entre le paradigme de la vie
privée et le référentiel global.............359

4.6. La stabilité du paradigme libéral de la vie privée........364

4.7. Conclusion du chapitre.............379

Chapitre 5 : La « privacy » dans la production des standards techniques du Web.

5.1. Introduction...............381

5.2. Les arènes de la gouvernance d’Internet et les standards techniques....383
5.2.1. La gouvernance d’Internet............383
5.2.2. Des standards techniques normatifs et performatifs.......385
5.2.3. Les arènes de la gouvernance d’Internet.........398
5.2.4. Les standards techno-politiques d’Internet........406

5.3. Le World Wide Web Consortium (W3C)..........415

5.4. Les activités liées à la protection de la « vie privée » au W3C......422
5.4.1. Identifier les arènes de mise en débat de la « privacy » au cours du temps..422
5.4.2. L’échec du projet Platform for Privacy Preferences (P3P).....424
5.4.3. L’essor de l’Internet des objets et les controverses sur la « vie privée »...427
5.4.4. Le rôle et le fonctionnement du Privacy Interest Group......430
5.4.5. Le Tracking Protection Working Group et le projet Do Not Track....438
5.4.6. Présentation des outils de communication utilisés par le PING et le TPWG..446

5.5. La contrainte discursive du consensus dans la controverse sur le « tracking » et la « privacy »................450
5.5.1. Présentation de la controverse sur la définition du mot « tracking »...450
5.5.2. Un agir communicationnel qui s’impose.........453
5.5.3. À la non-recherche d’une définition commune de la vie privée, un concept « essentiellement contesté »............460
5.5.4. La controverse sur la définition du « tracking ».......466
5.5.5. La structuration d’une privacy community des standards du Web....478

5.6. Analyse des arguments sur la « vie privée » en circulation dans les arènes du W3C
étudiées.................481
5.6.1. L’image de l’utilisateur et de son contrôle sur ses données.....481

5.6.2. La vie privée contextuelle............487
5.6.3. Le thème de la confiance............491
5.6.4. La réglementation en embuscade..........498
5.6.5. À la recherche des contre-arguments.........507

5.7. Conclusion du chapitre.............514

Chapitre 6 : Focus sur les controverses définitionnelles autour de la notion de « donnée à caractère personnel »...........519

6.1. Introduction : la « donnée à caractère personnel » comme objet de controverses..519

6.2. L’invention de la notion juridique de « donnée à caractère personnel »....521
6.2.1. Des données relatives à des « personnes »........523
6.2.2. Les données qui relèvent de l’intimité, ou toute donnée ?......531

6.3. La définition de la notion de donnée à caractère personnel en débat devant la Cour de justice de l’Union européenne.............538
6.3.1. Le rôle de la Cour de justice de l’Union européenne dans le droit de la protection des
données à caractère personnel en Europe..........538
6.3.2. « Toute information . » : le rappel de la définition.......542
6.3.3. « identifiée ou identifiable, directement ou indirectement » : les adresses IP sont-elles
des données à caractère personnel ?...........545
6.3.4. Conclusion partielle sur la jurisprudence de la CJUE sur la notion de « donnée à caractère personnel »..............547

6.4. Les débats sur la définition de « donnée à caractère personnel » à inclure dans le texte du RGPD.................547
6.4.1. La proposition initiale de la Commission européenne......547
6.4.2. « Singling out » : la proposition d’amendement de European Digital Rights..549
6.4.3. L’« approche fondée sur le risque », l’anonymisation et la pseudonymisation.554
6.4.4. Le compromis inscrit dans le RGPD..........558

6.5. La reprise de la notion de donnée à caractère personnel dans les discussions issue du droit européen par le W3C..............561

6.6. Discussion de l’hypothèse initiale d’une distinction entre approche juridique et approche informaticienne...............568

6.7. Conclusion du chapitre : une définition stable sur le temps long de la notion de donnée à caractère personnel, qui correspond aux représentations du paradigme libéral de la vie privée...................578

Conclusion générale.............580

Bibliographie...............589

Travaux cités................589
Articles de presse...............617
Normes juridiques citées..............620
Accords internationaux.............620
Droit dérivé des Communautés européennes puis de l’Union européenne....621
Droit dérivé de la Communauté économique des États de l’Afrique de l’Ouest..622
Lois et règlements..............622
Autriche................622
Californie (État des États-Unis d’Amérique).........623
États-Unis d’Amérique.............623
France................623
Hesse (Land allemand).............624
p. 12
Hongrie................624
New York (État des États-Unis d’Amérique).........624
Pays-Bas................624
Rhénanie-Palatinat (Land allemand)..........624
Royaume-Uni...............625
Russie................625
Saint-Marin...............625
Schleswig-Holstein (Land allemand)..........625
Suède................625
Jurisprudence citée...............625
Allemagne................625
Communautés européennes puis Union européenne........626
Cour européenne des droits de l’Homme..........626
États-Unis d’Amérique.............626
France.................627
Hongrie................627
Minnesota (État)...............627
Pays-Bas................627
Rhénanie-du-Nord–Westphalie (Land allemand)........627
Décisions d’autorités administratives indépendantes........628
Agencia Española de Protectión de Datos (AEPD – Espagne)......628
Commission nationale de l’informatique et des libertés (CNIL – France)....628
Garante Privacy (Italie).............628
Avis et autres résolutions non-contraignantes..........628
Communautés européennes puis Union européenne........628
Conseil de l’Europe..............629
Groupe de travail de l’Article 29............629
OCDE.................630
Documents de corpus cités.............630
Documents d’archives..............630
Archives du Conseil de l’Europe...........630
Archives de l’OCDE.............632
Documents versés à la Consultation de 2009 de la Commission européenne...633
Documents versés à la Consultation de 2010 de la Commission européenne...634
Corpus de documents récupérés du collectif Lobbyplag.......636
E-mails des listes de discussion publiques du W3C........640
Liste public-privacy.............640
Liste public-tracking.............641
Autres listes de discussion............645
Documents de standardisation technique..........646
Autres rapports et documents institutionnels.........652
Autres documents et publications............660
Romans et nouvelles (fiction)............660
Livres de non-fiction..............661
Productions audiovisuelles.............661
Pages web................661