Droit à l’image et données personnelles : des deux faces de la médaille

Ainsi que nous l’évoquions déjà dans un précédent article, une part importante des mystères et des défis intellectuels que suscite le nouveau règlement général européen sur la protection des données (GDPR) tient non pas tant à l’élucidation de ses propres notions et principes, pour laquelle on pourra en dernière instance s’en remettre à la sagesse et à l’initiative des autorités de contrôle, dont l’oeuvre d’interprétation depuis le 27 avril 2016 (date d’adoption du règlement) est aussi utile que soutenue ; plutôt, à l’approche de son entrée en application le 25 mai prochain, l’heure serait à s’interroger sur l’impact de cette réglementation sur des situations qu’on eût pu croire réservées à d’autres branches du droit.

Sans présumer que de cette tension entre la réglementation des traitements de données à caractère personnel et ces autres branches du droit doivent nécessairement naître des contradictions, force est d’admettre que du fait d’un champ d’application volontairement extensif, résultant de notions fondamentales d’interprétation très large, cette réglementation a tendance à s’inviter dans des raisonnements où l’on ne s’attendait pas toujours à devoir la compter.

Tel est le cas, en particulier, du droit à l’image, matière historiquement gouvernée, en France, par les dispositions de l’article 9 du Code civil, tel que précisées au gré d’une jurisprudence nombreuse et ancienne, ainsi que par celles de plusieurs articles du Code pénal, en particulier ses articles 226-1 et suivants. Il résulte en substance de l’application de ces dispositions que quiconque capture pour la diffuser et l’exploiter l’image d’une personne physique sans le consentement de cette dernière s’expose, sauf circonstances particulières justifiant cette capture ou cette utilisation, par exemple liées au statut de personnalité publique de la personne concernée, au risque de sanctions civiles (obligation de réparation du préjudice d’atteinte à la vie privée, retrait ou destruction des copies diffusées de l’image) voire pénales si la capture a pris place dans un lieu privé.

Afin de parer à ce risque, la pratique a de longue date accouché de la bien connue “autorisation droit à l’image”, par laquelle la personne concernée consent explicitement (en général par écrit qu’elle signe) à certaines utilisations (plus ou moins) déterminées de son image.

Cette solution, mise en oeuvre dans une telle infinité de contextes (événements scolaires, universitaires ou d’entreprises, jeux concours, émissions de télévision) que nous avons tous pu en faire l’expérience, et manifestement destinée à protéger son auteur de toute réclamation ultérieure, doit pourtant aujourd’hui être repensée et possiblement révisée à l’aune du GDPR – argument d’opportunité plus que de nécessité, cependant, tant il est vrai que les règles que nous nous apprêtons à discuter ne sont pour la plupart que la continuité de celles déjà existantes.

Sous les images, la donnée personnelle

Dans l’immense majorité des cas, en effet, l’utilisation de l’image d’une personne physique constituera un traitement de données à caractère personnel tombant dans le champ d’application de la réglementation correspondante.

Donnée à caractère personnel il y a tout d’abord, dès lors que la définition de cette notion prévue par l’article 4.1 du GDPR (“toute information se rapportant à une personne physique identifiée ou identifiable“), identique quant au fond à celles prévues à l’article 2.a) de la directive 95/46/CE et à l’article 2 de l’actuelle loi n°78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés (dite “loi Informatique & Libertés), s’applique sans considération du support ou du format de l’information en question.

L’indifférence de ce critère a été clarifiée dès le 20 juin 2007 par le Groupe de travail de l’article 29, réunissant l’ensemble des autorités de contrôle de la protection des données à caractère personnel des différents Etats-membres de l’Union Européenne (dit le “G29”) : dans son avis 4/2007 sur le concept de données à caractère personnel, ce dernier, après avoir indiqué que ce concept devait se voir appliquer une acception la plus large possible, précise que

“s’agissant du format des informations ou du support utilisé pour celles-ci, le concept de données à caractère personnel englobe les informations disponibles sous n’importe quelle forme, qu’elles soient alphabétiques, numériques, graphiques, photographiques ou acoustiques. Sont par exemple concernées les informations conservées sur papier, tout comme les informations stockées dans une mémoire d’ordinateur (code binaire) ou sur une cassette vidéo. (…) Il apparaît en particulier que les données constituées par des sons et des images méritent, à ce titre, d’être reconnues comme des données à caractère personnel, dans la mesure où elles peuvent représenter des informations sur une personne physique. À cet égard, la référence spécifique aux données constituées par des sons et des images, à l’article 33 de la directive, doit être interprétée comme confirmant et précisant que ce type de données relève effectivement de son champ d’application (à condition que l’ensemble des autres conditions soient remplies), et que la directive s’applique à ces données“.

Il suffira donc que l’image capturée puisse être rattachée à la personne physique qu’elle représente, autrement dit que celle-ci puisse être identifiée grâce à l’image, ou encore même par d’autres moyens annexes à l’image elle-même (par exemple une mention au générique d’un film), pour que cette image constitue une donnée à caractère personnel. Il ne devra partant pas sembler trop téméraire d’affirmer que toute image suffisamment nette d’une personne physique, ou à tout le moins toute image pour laquelle il apparaîtrait justifié ou prudent à son auteur de requérir une autorisation droit à l’image auprès de la personne concernée, tombera dans le champ de la réglementation.

Pour être parfaitement exact toutefois, on rappellera que celle-ci ne s’applique pas tant à des données à caractère personnel qu’à leurs traitements, et encore, parmi ces traitements, à ceux qui sont “automatisé[s] en tout ou en partie” ou qui, sans être automatisés, aboutissent à la structuration des données dans un “fichier” (article 2 du GDPR, reprenant ici encore un principe historique de la directive 95/46/CE). Dès lors que la capture ou l’utilisation de l’image mobilisera des moyens automatisés (par exemple : radar automatique pour la capture, ou simple mise en ligne sur Internet pour l’utilisation), ou que l’image sera compilée dans un fichier structuré (par exemple : un annuaire d’entreprise), il conviendra par conséquent de veiller au respect des conditions imposées par la réglementation pour ce traitement, à savoir en particulier celles de base légale et d’information des personnes concernées, que nous examinerons en détail ci-après.

La Commission Nationale de l’Informatique et des Libertés, autorité de contrôle française (la CNIL), reconnaît d’ailleurs officiellement cette application duale du droit à l’image “historique” issu des dispositions du Code civil et du Code pénal et du droit de la protection des données à caractère personnel, dans une fiche pratique “Demander le retrait de votre image en ligne” du 4 novembre 2015 :

“Une personne qui conteste la diffusion de son image sur un site web peut s’adresser soit au responsable de site en application du droit d’opposition prévu par la loi informatique et libertés, soit au juge en s’appuyant sur les principes du droit à l’image (obligation de recueil du consentement).“

Cette application cumulative ou combinée des deux corps de règles ne doit du reste pas trop surprendre, dans la mesure où ils poursuivent tout deux un objectif commun explicite : la protection de la vie privée de la personne dont l’image est capturée et utilisée. Ce constat découle aussi bien du libellé du premier alinéa de l’article 9 du Code civil, de formulation limpide (“Chacun a droit au respect de sa vie privée“), que de l’intitulé de la section précitée du Code pénal (“De l’atteinte à la vie privée“) : à travers son image, c’est l’intimité et la tranquillité de la personne concernée qui est en jeu.

Ceci étant exposé, reste donc à voir, et voici l’essentiel, comment la réglementation des traitements de données à caractère personnel vient appuyer les principes historiques du droit à l’image, à travers l’exploration des principes, droits et obligations qu’elle prévoit en cette matière.

L’enjeu stratégique de la base légale

Le premier d’entre ces principes est en logique celui de la base légale, ou condition de licéité, dont l’article 6 du GDPR fournit une liste exhaustive : un traitement de données à caractère personnel, en l’occurrence celui de l’image d’une personne physique, n’est licite que si et dans la mesure où, l’une au moins des conditions listées à cet article est remplie, à savoir

a) la personne concernée a consenti au traitement de ses données à caractère personnel pour une ou plusieurs finalités spécifiques ;

b) le traitement est nécessaire à l’exécution d’un contrat auquel la personne concernée est partie ou à l’exécution de mesures précontractuelles prises à la demande de celle-ci ;

c) le traitement est nécessaire au respect d’une obligation légale à laquelle le responsable du traitement est soumis ;

d) le traitement est nécessaire à la sauvegarde des intérêts vitaux de la personne concernée ou d’une autre personne physique ;

e) le traitement est nécessaire à l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique dont est investi le responsable du traitement ;

f) le traitement est nécessaire aux fins des intérêts légitimes poursuivis par le responsable du traitement ou par un tiers, à moins que ne prévalent les intérêts ou les libertés et droits fondamentaux de la personne concernée qui exigent une protection des données à caractère personnel, notamment lorsque la personne concernée est un enfant.“

Ici comme ailleurs, le premier réflexe pourrait tendre à vouloir fonder toute collecte et utilisation de l’image sur le consentement de la personne physique concernée ; une telle “bonne pratique” se justifierait d’ailleurs d’autant plus, en première analyse, que ce consentement est d’ores et déjà requis au titre des règles de droit commun précitées, issues du Code civil et du Code pénal.

Cette solution pose cependant des difficultés pratiques majeures, pour un grand nombre de situations, au regard de l’article 7.3 du GDPR, dans la mesure où celui-ci consacre un nouveau droit inconditionnel au retrait du consentement : dès lors que l’utilisation de l’image, en tant que traitement d’une donnée à caractère personnel, serait fondée sur le consentement de l’intéressé, ce dernier pourrait à tout moment changer d’avis et imposer la cessation de cette utilisation, sans avoir à justifier d’aucun motif, ni qu’il puisse, semble-t-il, lui être opposé un quelconque contre-argument. L’application de l’article 7.3, tel qu’interprété par le G29 dans ses lignes directrices relatives au consentement, n’est en effet sujette à aucune mise en balance, de sorte que la décision de la personne concernée de faire cesser le traitement primera systématiquement.

Cette conséquence ne paraît évidemment pas acceptable pour des activités nécessitant une utilisation pérenne de l’image, telles que des activités audiovisuelles impliquant des coûts de production et de distribution plus ou moins élevés – on imagine avec peine, en effet, un acteur ou le participant à un quelconque flashmob imposer l’edit out de son image dans le résultat final, alors que la production est achevée, voire que la diffusion a déjà démarré (et ce quand bien même l’actualité cinématographique récente a prouvé que les techniques étaient désormais à la hauteur pour ce faire).

Il convient donc, pour éviter de tels écueils, d’explorer les bases légales alternatives au consentement, ainsi surtout que les droits des personnes concernées associés à chacune d’entre elle. L’un des autres apports majeurs du GDPR tient en effet dans une nouvelle ventilation de ces droits en fonction des différentes bases légales : ainsi, par exemple, l’article 21.1 clarifie que le droit d’opposition (lorsqu’il ne vise pas spécifiquement un traitement à des fins de prospection) ne peut être exercé qu’à l’égard de traitements fondés sur (i) l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique dont est investi le responsable du traitement ou (ii) sur la poursuite d’un intérêt légitime du responsable du traitement ou d’un tiers.

Pour tenir compte de cette nouvelle architecture, les analyses et recommandations exposées par la CNIL dans sa fiche pratique précitée doivent donc être mises à jour, en particulier en ce qu’elles font du droit d’opposition le levier fondamental, pour ne pas dire unique, en vue d’obtenir le retrait d’une image sur Internet ; il n’est plus tout à fait exact, non plus, d’affirmer que “le fait d’autoriser l’exploitation de votre image restreint votre capacité de contester sa diffusion ou sa réutilisation sauf si les termes de l’accord écrit ne correspondent pas au cadre prévu par la loi“.

En réalité, un nombre important de traitements portant sur l’image d’une personne physique pourront être justifiées par la nécessité de mettre en oeuvre ces traitements pour l’exécution d’un contrat auquel cette personne est partie, conformément à l’article 6.1.b) du GDPR. Ce contrat pourrait même consister, en dernière analyse, dans la fameuse “autorisation droit à l’image” elle-même, puisque cette dernière (la CNIL ne dit pas autre chose) constitue bien un “accord écrit” portant engagement, a minima, de la personne concernée d’autoriser et ne pas faire obstacle à l’utilisation de son image pour un objet déterminé ; le traitement de données à caractère personnel ne représente en effet, de ce point de vue, qu’une série d’opérations (capture, mise en ligne, diffusion) nécessaires pour la réalisation de cet objet.

La nuance peut sembler subtile, voire purement théorique : il s’agit après tout uniquement de remplacer le consentement au traitement, base légale de l’article 6.1.a) du GDPR, par un autre consentement, celui-ci à l’autorisation droit à l’image. Elle permet cependant, ainsi que nous l’évoquions dans une précédente Shower Thought, de se prémunir du risque, évoqué plus haut, lié au droit au retrait du consentement : pour les traitements fondés sur la nécessité de leur mise en oeuvre pour l’exécution d’un contrat auquel la personne concernée est partie, le GDPR ne prévoit, de fait, ni droit au retrait du consentement, ni même un droit d’opposition (hormis, au titre de l’article 21.2, lorsque ce traitement a pour finalité une opération de prospection de la personne concernée). L’utilisation de l’image pourra ainsi être maintenue jusqu’au terme du contrat lui-même, ou jusqu’à sa résiliation selon les règles de droit civil applicables.

Lorsqu’un tel contrat ne peut être identifié, reste accessible, pour une autre base légale alternative au consentement, la poursuite d’un intérêt légitime du responsable du traitement, sous réserve évidemment de l’existence de cet intérêt et que les droits des personnes concernées ne le priment pas, selon le libellé de l’article 6.1.f) du GDPR. Dans cette hypothèse, ces personnes pourront certes s’opposer à la continuation de l’utilisation de leur image, mais uniquement sur démonstration de “raisons tenant à [leur] situation particulière” respective, et non de façon inconditionnelle comme lorsque le traitement est fondé sur le consentement.

On notera enfin, bien sûr, que pour certaines hypothèses, il paraît raisonnablement impossible de se passer de ce consentement au traitement ; tel est le cas, notamment, pour la capture et l’utilisation de l’image d’enfants, pour lesquelles la CNIL rappelle que le consentement (celui des parents) est indispensable, compte tenu (on le comprend) de la nature spécifique de ces données et des risques associés.

De même, et en sus de la question de la base légale, il paraît loisible de s’interroger sur l’application à ce type de données à caractère personnel que sont les images du régime des données dites sensibles, à savoir les données à caractère personnel qui révèlent “l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l’appartenance syndicale, ainsi que [les] données génétiques, [les] données biométriques [traitées] aux fins d’identifier une personne physique de manière unique, [et les] données concernant la santé ou des données concernant la vie sexuelle ou l’orientation sexuelle d’une personne physique“. On peut en effet sans difficulté imaginer, dans certains cas (qui ne sont pas nécessairement des cas d’école), que la simple image d’une personne physique puisse révéler des informations significatives concernant, par exemple, son origine “raciale ou ethnique” ou son état de santé. La possibilité est d’autant plus manifeste, à cet égard, que les contours du champ de cette notion de “donnée sensible” sont finalement assez mal délimités.

Il résulterait de cette qualification, pour les “images sensibles”, une étape de raisonnement supplémentaire à prendre en compte : celle, imposée par l’article 9 du GDPR, consistant à trouver un cas d’autorisation du traitement de ces données, lequel est soumis à un principe général d’interdiction. On pensera en particulier avec utilité, à cet égard, au cas, prévu par l’article 9.2.e), où les données ont été “manifestement rendues publiques par la personne concernée“, par exemple sur un réseau social ; en dernière instance, sinon, l’interdiction pourra toujours être levée par le consentement explicite de la personne concernée, conformément à l’article 9.2.a) – avec cette conséquence, dans cette hypothèse, que la base légale s’en trouvera à son tour déterminée, à savoir qu’il s’agira, de fait, du consentement.

Quel avenir pour l’autorisation droit à l’image ?

L’identification de la base légale appropriée est donc un enjeu de toute première importance, et ce à plus forte raison qu’elle doit désormais être indiquée à la personne concernée dans le cadre de l’obligation d’information de cette dernière, conformément aux articles 13.1.c) et 14.1.c) du GDPR.

Cette obligation d’information constitue d’ailleurs un deuxième volet essentiel de l’impact du GDPR sur les problématiques liées au droit à l’image. En rappelant et en élargissant la liste des mentions obligatoires à communiquer aux personnes concernées par un traitement de données à caractère personnel, les articles 13 et 14 du GDPR invitent en effet à porter une attention scrupuleuse au contenu des “autorisations droit à l’image” : alors que ces dernières sont en règle générale assez succinctes, et se bornent à évoquer le contexte de la capture de l’image (la sortie classe de neige, la fête d’entreprise, etc.) ainsi que la nature de ses utilisations envisagées (diffusion interne, mise en ligne sur un site Internet public, etc.), il convient, dans un souci de bon respect de la réglementation, de faire apparaître dans cette autorisation, entre autres, l’identité précise de l’auteur de l’exploitation (responsable du traitement), de la durée de conservation des données, ainsi que la liste et les modalités des droits que tiennent les personnes concernées de cette réglementation – en fonction, ainsi qu’indiqué précédemment, de la base légale retenue pour le traitement.

Sous ce rapport, l’autorisation droit à l’image représente moins une manière d’obtenir le consentement de l’intéressé au traitement de ses données que le support de l’information obligatoire à lui communiquer en application du GDPR ; la signature de l’autorisation est de même, à cet égard, le moyen de garantir la preuve de la bonne fourniture de cette information, dans l’anticipation de toute éventuelle contestation ultérieure, preuve qu’il conviendra par conséquent de conserver pour la durée de l’exploitation effective de l’image.

En cette matière comme en bien d’autres, l’adaptation au GDPR ne doit donc pas sembler un Rubicon infranchissable, en ce qu’elle n’impose ni des interdictions formelles et définitives ni des modifications opérationnelles majeures, mais plutôt de nouvelles manières de raisonner autour de tout ce qui pourra représenter ou impliquer un traitement de données à caractère personnel. L’étendue du domaine est telle, il est vrai, que nous ne sommes pas prêts d’avoir fini de l’arpenter.