Shower Thoughts

Le RGPD, à l’instar de la Loi informatique et libertés, prévoit une liste limitative de conditions auxquelles un traitement de données personnelles peut être licite. L’article 6 du RGPD, applicable à partir du 25 mai 2018, précise ainsi 6 conditions alternatives, parmi lesquelles la première est le consentement de la personne dont les données sont traitées. Parmi les autres conditions de licéité, le RGPD considère notamment que sera licite un traitement nécessaire “à l’exécution d’un contrat auquel la personne concernée est partie“, “au respect d’une obligation légale“, “à la sauvegarde des intérêts vitaux de la personne concernée“, “à l’exécution d’une mission d’intérêt public” ou encore “aux fins des intérêts légitimes poursuivis par le responsable du traitement“.

Force est de constater que la différence entre ces conditions de licéité du traitement de données personnelles et les finalités de ce traitement semble ténue. Il sera rappelé qu’un traitement licite est en effet effectué dans le but d’atteindre des finalités délimitées par le responsable de traitement. Or, les conditions de licéité alternatives au consentement paraissent toutes se confondre avec la finalité du traitement qu’elles permettent de rendre licite : le traitement de données personnelles effectué aux fins des intérêts légitimes poursuivis par le responsable du traitement est licite de part sa finalité même, les fins des intérêts légitimes poursuivis par le responsable du traitement.

In fine, il y a évidemment une distinction, en ce que la finalité doit être beaucoup plus précise que la condition de licéité. Il est cependant possible de considérer que les conditions de licéité constituent des catégories de finalités, le raisonnement intervenant en deux temps : (i) définir la finalité, et (ii) en déduire la condition de licéité applicable.

L’article 131-21 du Code pénal précise que la peine complémentaire de confiscation “porte sur tous les biens meubles ou immeubles, quelle qu’en soit la nature, divis ou indivis, ayant servi à commettre l’infraction ou qui étaient destinés à la commettre, et dont le condamné est propriétaire ou, sous réserve des droits du propriétaire de bonne foi, dont il a la libre disposition“. Dans les cas d’infractions pénales commises sur Internet, toujours plus nombreux et variés, certaines composantes du site Internet (en particulier son nom de domaine) peuvent à l’évidence être qualifiées de “biens meubles [immatériels] ayant servi à commettre l’infraction“.

Dès lors, la loi pénale, bien que d’interprétation stricte, ne paraît en rien exclure la confiscation, notamment, du nom de domaine d’un site illicite. Compte tenu du champ d’application de cette peine complémentaire (“de plein droit pour les crimes et pour les délits punis d’une peine d’emprisonnement d’une durée supérieure à un an, à l’exception des délits de presse“), celle-ci pourra être prononcée, par exemple, à l’égard d’un site constitutif d’une usurpation d’identité numérique (article 226-4-1 du Code pénal) ou encore d’un site diffusant de la contrefaçon (articles L. 335-2 du Code de la propriété intellectuelle).

La partie civile ou le ministère public pourraient y trouver une véritable utilité, soit que ce nom de domaine désigne nommément la victime pour lui causer du tort (usurpation d’identité numérique), soit qu’il constitue un point de ralliement bien connu pour un certain public (diffusion de contrefaçon).

Le considérant 35 du nouveau Règlement sur la Protection des Données Personnelles, où se trouve la description concrète de ce que recouvre la notion de “données concernant la santé”, précise notamment que celle-ci doit englober “toute information concernant, par exemple, […] l’état physiologique ou biomédical” d’une personne concernée. Les termes d’état “physiologique” et “biomédical” rencontrent une acception extrêmement large dans la mesure où le premier renvoie au fonctionnement de l’organisme et que le deuxième renvoie à tout élément de nature biologique pouvant avoir un intérêt médical. L’on aura bien du mal à trouver une donnée se rapportant au corps d’une personne qui ne tombe pas dans le champ des données concernant la santé et, partant, le régime très encadré de leur collecte et de leur traitement.

En effet, ne peut-on pas dire que l’âge d’une personne renseigne sur le fonctionnement de son corps et son état physiologique, ne serait-ce que pour la simple raison que nous n’avons pas le même métabolisme à 20 ans qu’à 40 ? Ne peut-on pas considérer que le fait d’avoir un certain sexe biologique (masculin ou féminin) est un élément d’ordre biologique revêtant un intérêt médical et donc biomédical ? Que penser du poids, de la taille, de la consommation alimentaire ?

Il semblerait donc, à la lecture de ce considérant, qu’il conviendra à l’avenir de prendre de nombreuses précautions dès que l’on touchera de près ou de loin à des informations pouvant se rapprocher du “physique” d’une personne car même des données jugées anodines seront susceptibles d’être qualifiables de données concernant la santé.

La réglementation sur la protection des données à caractère personnel définit la notion de « sous-traitant » de façon remarquablement large, comme désignant « [toute personne] qui traite des données à caractère personnel pour le compte du responsable du traitement ». Dans une blockchain, les mineurs se chargent, contre rémunération en cas de succès, d’assurer le calcul nécessaire à l’enregistrement de nouvelles données dans la chaîne ; or, parmi ces données, nul doute que certaines présenteront un caractère personnel à l’égard d’un ou plusieurs utilisateurs du système.

Dans ces conditions, un mineur pourrait donc bien se voir qualifier de sous-traitant ; il en résulterait pour lui, notamment, une obligation de sécurité du traitement des données, opposable par toute personne concernée. Mais qui serait alors le « responsable du traitement », défini comme « [la personne] qui détermine les finalités et les moyens [de ce] traitement » ? Le principe de la blockchain s’oppose en effet radicalement à ce type de concentration du pouvoir et de la responsabilité qui vont de pair. Faudrait-il voir alors dans chaque utilisateur un co-responsable ? La solution peut-elle venir du contrat ?

Une preuve supplémentaire de ce que cet objet nouveau n’a pas fini de défier les logiques du droit actuel…