Notes
-
[1]
J. Bardy et L. Godefroy (dir.), Éthique et droit économique, Journées de droit économique 2021 de l’École de Nice, Université de Nice Côte d’Azur, 1er octobre 2021.
-
[2]
G. Farjat, Pour un droit économique, coll. Les voies du droit, Paris, PUF, 2004, p. 157. - Se distinguant de la morale, l’éthique est généralement définie comme « l’ensemble des principes et valeurs guidant des comportements sociaux et professionnels, et inspirant des règles déontologiques (code de bonne conduite, de déontologie ou de bonnes pratiques) ou juridiques », G. Cornu (dir.), Vocabulaire juridique de l’Association Henri Capitant, V° Éthique, 13e éd., coll. Quadrige, Paris, PUF, 2020.
-
[3]
B. Oppetit, « L’éthique », inDroit et modernité, Paris, PUF, 1998, pp. 261 et s.
-
[4]
Décret n° 83-132 du 23 février 1983 portant création d'un Comité consultatif national d'éthique pour les sciences de la vie et de la santé ; Loi n° 94-654 du 29 juillet 1994 relative au don et à l'utilisation des éléments et produits du corps humain, à l'assistance médicale à la procréation et au diagnostic prénatal, art. 23.
-
[5]
Sur ce mouvement, J. Carbonnier, Droit civil, t. 1, coll. Quadrige, Paris, PUF, 2004, n° 18, p. 45 ; B. Oppetit, « Éthique et vie des affaires », inMélanges offerts à André Colomer, Paris, Litec, 1993, p. 319.
-
[6]
CNIL, « Comment permettre à l’Homme de garder la main ? », Rapport sur les enjeux éthiques des algorithmes et de l’intelligence artificielle, décembre 2017 ; Résolution du Parlement européen du 20 octobre 2020 contenant des recommandations à la Commission concernant un cadre pour les aspects éthiques de l’intelligence artificielle, de la robotique et des technologies connexes ; UNESCO, Projet de recommandation sur l’éthique de l’intelligence artificielle, SHS/IGM-AIETHICS/2021/JUN/3Rev.2, 25 juin 2021.
-
[7]
Comité national pilote d’éthique du numérique, avis n° 2, « Le “véhicule autonome” : enjeux d’éthique », 7 avril 2021.
-
[8]
V. cependant C. Zolynski, « Big data : pour une éthique des données », I2D - Information, données & documents, 2015/2, vol. 52, pp. 25 et 26.
-
[9]
RGPD, art. 4, § 1.
-
[10]
Th. Douville, Droit des données à caractère personnel, Paris, Gualino/Lextenso, 2020, n° 77 ; V.-L. Bénabou, « L’extension du domaine de la donnée », Légicom, 2017/2, p. 3. - Les informations ne remplissant pas ces caractères constituent des données non personnelles : Règlement (UE) 2018/1807 du 14 novembre 2018 établissant un cadre applicable au libre flux des données à caractère non personnel dans l'Union européenne, art. 3. 1.
-
[11]
CJUE, 19 octobre 2016, Breyer c. Bundesrepublik Deutschland, aff. C-582/14.
-
[12]
RGPD, art. 4, § 2.
-
[13]
Sur cette notion et ses manifestations : C. Thibierge (dir.), La densification normative. Découverte d’un processus, Paris, Mare & Martin, 2014.
-
[14]
Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE.
-
[15]
Directive (UE) 2016/680 du Parlement européen et du Conseil du 27 avril 2016 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d'enquêtes et de poursuites en la matière ou d'exécution de sanctions pénales, et à la libre circulation de ces données.
-
[16]
Loi n° 2018-493 du 20 juin 2018 relative à la protection des données personnelles ; Ordonnance n° 2018-1125 du 12 décembre 2018. - N. Martial-Braz et J. Rochfeld (dir.), Droit des données personnelles. Les spécificités du droit français au regard du RGPD, Paris, Dalloz, 2019.
-
[17]
Th. Douville, Droit des données à caractère personnel, op. cit., n° 33 et 34, sur les petites sources du droit des données à caractère personnel.
-
[18]
A. Danis-Fatôme, « Ordre public et protection des données à caractère personnel », AJ Contrat, août 2019, p. 366.
-
[19]
RGPD, art. 3.
-
[20]
Ibid., art. 24 et 32.
-
[21]
E. Netter, « Service en ligne “gratuit” contre publicité ciblée : le modèle d'affaires aux pieds d'argile », inMélanges J.-P. et M. Storck, Paris, Dalloz, 2021.
-
[22]
S. Vergnolle, L’effectivité de la protection des personnes par le droit des données à caractère personnel, thèse, Paris 2, dir. J. Passa, 2020.
-
[23]
Th. Douville, « Les droits des personnes concernées en cas de transmission de leurs données à caractère personnel », RLDI, novembre 2018, n° 153, p. 33.
-
[24]
G. Farjat, Pour un droit économique, op. cit., p. 158.
-
[25]
RGPD, art. 40, § 1.
-
[26]
Ibid., art. 40, § 2.
-
[27]
Délibération n° 2021-065 du 3 juin 2021 portant approbation du Code de conduite européen porté par Cloud Infrastructure Service Providers Europe (CISPE) ; Comité européen de la protection des données, Avis 17/2021 sur le projet de décision de l’autorité de contrôle française concernant le Code de conduite européen soumis par les prestataires de services d’infrastructure en nuage (CISPE), 19 mai 2021.
-
[28]
Loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, art. 8, I, 4°, e).
-
[29]
Préc., pp. 23 et s.
-
[30]
CNIL, « Civic tech, données et Demos : une exploration des interactions entre démocratie et technologies », Cahier IP n° 7, 11 décembre 2019.
-
[31]
Manifeste pour une éthique du numérique qui s'accompagne d'une tentative de définition : Comité national pilote d'éthique du numérique, Pour une éthique du numérique, É. Germain, C. Kirchner et C. Tessier, PUF, 2022.
-
[32]
Comité national pilote d’éthique du numérique, Avis n° 3 : « Agents conversationnels : enjeux d’éthique », 24 novembre 2021.
-
[33]
Comité national pilote d’éthique du numérique, Avis n° 2 : « Le ‘‘véhicule autonome’’ : enjeux d’éthique », 21 mai 2021.
-
[34]
Comité national pilote d’éthique du numérique, « Réflexions et points d'alerte sur les enjeux d’éthique du numérique en situation de crise sanitaire aiguë », Bulletin de veille n° 3, 21 juillet 2020.
-
[35]
Comité national pilote d’éthique du numérique, « Réflexions et points d'alerte sur les enjeux d’éthique du numérique en situation de crise sanitaire aiguë », Bulletin de veille n° 1, 7 avril 2020, p. 12, qui insiste par exemple sur l’information des personnes concernées.
-
[36]
RGPD, art. 9, § 4.
-
[37]
Loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, art. 73 al. 2.
-
[38]
Ibid., art. 66, II.
-
[39]
Décret n° 2019-536 du 29 mai 2019 pris pour l'application de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, art. 90.
-
[40]
Ibid., art. 72 al. 2
-
[41]
Ibid., art. 76, 1°.
-
[42]
RGPD, art. 1, § 1.
-
[43]
B. Oppetit, « L’éthique », op. cit., p. 268.
-
[44]
RGPD, cons. 7.
-
[45]
RGPD, art. 5 et 24.
-
[46]
Ibid., art. 25.
-
[47]
Ibid., art. 24, § 1.
-
[48]
Ibid., art. 32, § 3.
-
[49]
Ibid., art. 28, § 1 ; 5.
-
[50]
Ibid., art. 28, §§ 7 et 8.
-
[51]
Ibid., art. 28, §§ 5 et 6.
-
[52]
Ibid., art. 28, § 9.
-
[53]
Ibid., art. 28, § 4 et 41, § 1.
-
[54]
Rappr. B. Oppetit, « L’éthique », op. cit., p. 268.
-
[55]
RGPD, art. 28, § 6.
-
[56]
S’agissant du premier Code de conduite européen en matière de données à caractère personnel : Code de conduite européen dédié aux fournisseurs de services d’infrastructure en nuage (IaaS) approuvé par la CNIL, CISPE - Cloud Infrastructure Service Providers Europe, 11 juin 2021.
-
[57]
RGPD, art. 40, §§ 7 à 9.
-
[58]
Ibid., art. 40, § 3 et 46, § 1, e. ; CEPD, Guidelines 04/2021 on codes of conduct as tools for transfers.
-
[59]
Ibid., art. 45, § 2, a. ; CJUE, 16 juillet 2020, Data Protection Commissioner c. Facebook Ireland Ltd., Maximillian Schrems, aff. C-311/18.
-
[60]
Proposition de règlement du Parlement européen et du Conseil sur la gouvernance européenne des données, COM (2020) 767 final, 25 novembre 2020.
-
[61]
Occitanie Data, « La charte éthique des usages des données », octobre 2020.
-
[62]
CCNE, « Données massives en santé : Une nouvelle approche des enjeux éthiques », Avis n° 130, 29 mai 2019, p. 25.
-
[63]
Ibid., pp. 25 et 26.
-
[64]
Ibid., p. 28.
-
[65]
Ibid., p. 31.
-
[66]
Ibid., p. 39.
-
[67]
Ibid., p. 43.
-
[68]
CNPEN, « Le “véhicule autonome” : enjeux éthiques », avis n° 2, 7 avril 2021, 6.1.
-
[69]
E. Netter, « Service en ligne “gratuit” contre publicité ciblée : le modèle d'affaires aux pieds d'argile », op. cit.
-
[70]
V., par ex., Directive (UE) 2019/770 du 20 mai 2019 relative à certains aspects concernant les contrats de fourniture de contenus numériques et de services numériques, art. 3, § 1, al. 2 : « La présente directive s’applique également lorsque le professionnel fournit ou s’engage à fournir un contenu numérique ou un service numérique au consommateur, et le consommateur fournit ou s’engage à fournir des données à caractère personnel au personnel (…) ».
-
[71]
Semblant admettre la validité d’une option entre un cookies wall et une option payante à l’aune de la liberté du consentement : CE, 19 juin 2020, Lignes directrices de la CNIL relatives aux cookies et autres traceurs de connexion, pts. 8 à 10. - V. Délibération n° 2020-091 du 17 septembre 2020 portant adoption de lignes directrices relatives à l'application de l'article 82 de la loi du 6 janvier 1978 modifiée aux opérations de lecture et écriture dans le terminal d'un utilisateur (notamment aux « cookies et autres traceurs ») et abrogeant la délibération n° 2019-093 du 4 juillet 2019. - En faveur de l’interdiction des cookies wall : Comité européen de la protection des données, Déclaration sur la révision de la directive ePrivacy et son incidence sur la protection de la vie privée et la confidentialité des communications électroniques, 25 mai 2018.
-
[72]
RGPD, cons. 42.
-
[73]
Rappr. CCNE, « Données massives en santé : Une nouvelle approche des enjeux éthiques », Avis n° 130, 29 mai 2019, p. 25.
-
[74]
RGPD, art. 35, § 9 : « Le cas échéant, (…) ».
-
[75]
Ibid., art. 22.
-
[76]
Ibid., art. 5, § 2 et art. 6, § 4.
-
[77]
Ibid., art. 13 et 14.
-
[78]
Proposition de règlement du Parlement européen et du Conseil établissant des règles harmonisées concernant l’intelligence artificielle (législation sur l’intelligence artificielle) et modifiant certains actes législatifs de l’Union, Com/2021/206 final, not. art. 5 et art. 9.
-
[79]
B. Oppetit, « L’éthique », op. cit., p. 274.
Introduction
1 1. Éthique et numérique. Cette journée consacrée au thème de l’éthique et du droit économique [1] fait immanquablement penser aux travaux du professeur Farjat qui estimait que l’éthique ou « les fragments d’un discours moral, recouvre les constructions empiriques qui correspondent aux besoins de valeurs qui accompagnent toutes les activités humaines. Ces constructions relèvent ou s’inspirent du système moral et ont pour objet de promouvoir et de réguler ces activités » [2]. Fruit d’une démarche empirique, l’émergence de l’éthique tiendrait à la nécessité d’identifier des valeurs et des normes propres à certaines activités, elle trouverait sa source dans un système moral et remplirait une fonction de régulation [3]. Elle a trouvé un terrain d’épanouissement, à partir des années quatre-vingt, dans le domaine de la recherche biomédicale à travers le Comité consultatif national d’éthique [4] avant de s’étendre à d’autres secteurs, notamment au secteur économique [5]. Le développement de l’environnement et des technologies numériques constitue un nouveau terrain de réflexions éthiques. C’est le cas en particulier concernant l’intelligence artificielle [6] ou les voitures autonomes [7]. Un mouvement plus général d’institutionnalisation de l’éthique en matière de numérique se produit à travers des missions confiées à des organes de régulation ou par la création de comités d’éthique. Pour autant, les réflexions portant spécifiquement sur l’éthique des données à caractère personnel demeurent rares [8].
2 2. Données à caractère personnel. Les données à caractère personnel désignent « toute information se rapportant à une personne physique identifiée ou identifiable » de manière directe ou indirecte [9]. Cette définition fait l’objet d’une compréhension large par la Cour de Justice de l’Union européenne [10]. Constituent ainsi des données à caractère personnel le nom et le prénom d’une personne, ses identifiants, son image, sa voix, sa taille, les sites qu’elle a consultés sur internet ou son adresse IP dès lors que la personne est identifiable à l’aide d’informations supplémentaires [11]. Le droit des données à caractère personnel s’applique à l’ensemble des traitements de données qui désignent toute opération ou ensemble d'opérations effectuées ou non à l'aide de procédés automatisés et appliquées à des données ou à des ensembles de données à caractère personnel [12], comme la collecte, la consultation, l’agrégation, la diffusion, la transmission ou l’effacement de données à caractère personnel.
3 3. Éthique et données à caractère personnel. Le rôle de l’éthique concernant les données à caractère personnel semble de prime abord limité pour plusieurs raisons. La première tient à la densification normative [13] du droit des données à caractère personnel qui s’est opérée par l’adoption du Règlement général sur la protection des données (RGPD) [14], de la directive concernant les traitements de données en matière de police et de justice [15] et des dispositions nationales d’adaptation et de transposition exploitant les marges de manœuvre laissées aux États membres par les instruments européens [16], mais aussi en raison de la prolifération du droit souple produit par les autorités de contrôle dans le but d’éclairer les règles de droit dur et d’harmoniser leur application [17]. À cela s’ajoute le caractère impératif du droit des données à caractère personnel [18]. La deuxième raison est d’ordre substantiel, elle tient aux valeurs qui sous-tendent le droit des données à caractère personnel et qui font écho à celles qui peuvent être promues par l’éthique : autodétermination informationnelle, respect de la vie privée, protection de la liberté individuelle, d’aller et venir, d’expression ou protection de la liberté d’entreprendre. La troisième raison est liée à la portée géographique du droit des données à caractère personnel : l’harmonisation européenne du droit des données à caractère personnel comme son application, à certaines conditions, extraterritoriale, limite le besoin de recourir à des normes éthiques pour permettre la circulation des données [19].
4 4. Éthique et droit des données à caractère personnel. Cela dit, le droit des données à caractère personnel consacre une certaine éthique des données par les valeurs qu’il protège. Pensons à l’article 1er de la loi du 6 janvier 1978 qui demeure inchangé depuis son adoption : « L'informatique doit être au service de chaque citoyen. (…). Elle ne doit porter atteinte ni à l'identité humaine, ni aux droits de l'homme, ni à la vie privée, ni aux libertés individuelles ou publiques ». Pensons aussi à l’exigence de nécessité qui conditionne tout traitement de données en tant qu’il porte atteinte au droit à la protection des données à caractère personnel et circonscrit le champ des traitements qui peuvent être réalisés. De la même manière, l’approche par le risque conduit les responsables du traitement à s’interroger sur les conséquences du traitement de données envisagé pour les droits et libertés des personnes concernées [20], et donc à dégager une forme d’éthique propre à chaque traitement mis en œuvre. Pensons plus spécialement à la place du consentement, aux exigences de minimisation des données, de transparence des traitements de données et d’information des personnes concernées, de mise à jour des données ou à la mise en place de garanties en cas de prise de décision automatisée. Du reste, le droit des données à caractère personnel résulte d’une mise en balance entre la protection des intérêts, des droits et libertés des personnes concernées et de ceux des responsables du traitement ou de tiers, de telle sorte que la possibilité de traiter des données à caractère personnel est ouverte dès lors qu’une finalité légitime justifie le traitement qu'il est nécessaire pour atteindre cette finalité et qu’il repose sur une base juridique adaptée. Si ces derniers traitent les données des premiers, ceux-ci disposent de droits pour exercer un contrôle sur le traitement de leurs données. Cet équilibre est toutefois remis en cause. Des modèles économiques s’appuient sur le droit des données à caractère personnel pour mettre en place des traitements de grandes masses de données au moyen de services fournis sans contrepartie pécuniaire [21]. Par ailleurs, l’effectivité du droit des données à caractère personnel interroge [22] en cas de réutilisation des données dans une autre finalité que celle pour laquelle elles ont été collectées, en cas d’agrégation des données dans un ensemble très important de données, en cas de transmission des données à un tiers ou dans un pays tiers et même dans toutes ces situations réunies [23].
5 5. Complémentarité. Dans ce contexte, l’éthique peut exercer un rôle concernant les traitements de données à caractère personnel par l’affermissement de la protection de certaines valeurs comme le consentement des personnes concernées ou la limitation des traitements des données à caractère personnel. Ce rôle va au-delà de la place reconnue à l’éthique par le droit des données à caractère personnel comme instrument contribuant à assurer la conformité des traitements de données à caractère personnel. L’éthique des données à caractère personnel semble être un moyen, ainsi que l’affirmait de manière générale Gérard Farjat, de régler les contradictions internes et externes du système économique [24] en assurant un équilibre entre différents intérêts, ici ceux des responsables du traitement et des personnes concernées. Il en résulte que si l’éthique est mise au service du droit des données à caractère personnel (1), elle se développe aussi au-delà de celui-ci (2).
L’éthique au service du droit des données à caractère personnel
6 6. Manifestations. Le droit des données à caractère personnel fait référence à l’éthique (1.1), ce qui conduit à s’interroger sur ses fonctions (1.2).
Les références à l’éthique
7 7. Normes éthiques. Le renvoi à l’éthique se manifeste par l’encouragement à l’élaboration de codes de conduite en matière de traitement des données à caractère personnel. Les références à ces codes sont diverses : c’est le cas s’agissant de l’exigence de conformité des traitements de données pesant sur les responsables du traitement, en matière de sous-traitance ou s’agissant des transferts de données vers un pays tiers à l’Union européenne. Ils sont « destinés à contribuer à la bonne application du (RGPD), compte tenu de la spécificité des différents secteurs de traitement et des besoins spécifiques des micro, petites et moyennes entreprises » [25]. Ils ont donc pour objet de décliner le régime des traitements de données à caractère personnel, sans pouvoir y déroger, à des secteurs d’activité déterminés, en tenant compte de la spécificité de ces derniers. Ainsi, ils doivent comprendre les modalités d’application des exigences de loyauté et de transparence du traitement, l’appréciation des intérêts légitimes du responsable du traitement, les conditions de la collecte des données à caractère personnel, les mesures prises pour assurer la conformité du traitement par défaut et dès la conception, les mesures prises pour assurer la sécurité du traitement, les modalités de notification des violations de données à caractère personnel aux autorités de contrôle, les modalités du transfert de données à caractère personnel vers un pays tiers, les modalités de la pseudonymisation ou de l’exercice par les personnes concernées de leurs droits [26]. Cela dit, ils doivent tenir compte des spécificités du secteur d’activité. Ainsi, les finalités poursuivies, les bases juridiques adéquates, la nature et les catégories de données collectées, la durée de la conservation des données sont autant d’éléments qui pourront figurer dans les codes de conduite. Un premier code de conduite a été approuvé concernant l'activité de fourniture de service d'hébergement de données en nuage [27]. De manière remarquable, il développe, obligation par obligation des responsables du traitement, la manière de les appliquer.
8 8. Institutionnalisation de l’éthique. Un mouvement d’institutionnalisation de l’éthique des données à caractère personnel émerge par ailleurs. La loi pour une république numérique a confié à la CNIL la mission de conduire « une réflexion sur les problèmes éthiques et les questions de société soulevées par l’évolution des technologies informatiques et numériques » [28]. Elle a mené différents travaux en envisageant les questions éthiques liées aux données. Ainsi, la CNIL a initié des travaux concernant l’éthique de l’intelligence artificielle abordant par exemple la qualité, la quantité et la pertinence des données collectées, les discriminations algorithmiques ou le risque d’exclusion [29], ou les civic tech, s’interrogeant sur les interactions entre l’exploitation des données et la démocratie [30].
9 Plus récemment, en décembre 2019, a été créé à l’initiative du Premier ministre, dans le cadre du Comité consultatif national d’éthique, un comité national pilote d’éthique du numérique. Outre la publication d’un manifeste pour une éthique du numérique qui a vocation à guider [31], le comité a rendu de nombreux avis et publié un bulletin de veille à l’occasion de la crise sanitaire sur le lien entre numérique et pandémie. Ses travaux ne portent pas spécifiquement sur les données à caractère personnel, mais plus largement sur les outils numériques, par exemple les agents conversationnels [32], les véhicules autonomes [33] ou les outils de télémédecine [34]. Le CNPEN aborde toutefois la question du traitement des données à caractère personnel comme ce fut le cas dans son premier bulletin de veille à propos de la crise sanitaire, s’interrogeant sur les enjeux éthiques de la collecte de données personnelles dans le cadre du suivi numérique [35].
10 L’exploitation des marges nationales laissées par le RGPD aux États membres a également été l’occasion d’une institutionnalisation de l’éthique en matière de données à caractère personnel. C’est le cas s’agissant des traitements de données dans le domaine de la santé [36] et plus particulièrement ceux qui sont réalisés à des fins de recherche, d’étude ou d’évaluation. Ils ne peuvent être mis en œuvre que dans une finalité d’intérêt public et sont soumis à une autorisation de la CNIL, sauf à être conformes à une méthodologie de référence [37] établie par la CNIL en concertation avec la plateforme nationale des données de santé [38] et sous réserve pour le responsable du traitement de procéder à une déclaration attestant de la conformité de son traitement de données à une telle méthodologie. Dans ce contexte, la loi n° 2019-774 du 24 juillet 2019 relative à l'organisation et à la transformation du système de santé a créé un Comité éthique et scientifique pour les recherches, les études et les évaluations dans le domaine de la santé (CESREES) en remplacement du Comité d’expertise pour les recherches, les études et les évaluations dans le domaine de la santé (CEREES). L’ajout d’une référence à l’« éthique » dans la dénomination du comité se prolonge d’un point de vue substantiel s’agissant de ses missions et par l’extension de l’objet de l’avis qu’il doit rendre, qui porte dorénavant sur la « pertinence scientifique et éthique du projet » [39]. À cet égard, le comité peut être saisi à un double titre. Tout d’abord, il peut être saisi par la CNIL, par le ministère de la Santé et même s’autosaisir, sur le caractère d’intérêt public des traitements de données mis en œuvre [40]. Ensuite, il rend un avis sur les demandes d’autorisation pour procéder aux traitements de données faites auprès de la CNIL relatifs à des études ou à des évaluations ainsi qu'à des recherches n'impliquant pas la personne humaine [41]. Lorsque la recherche implique la personne humaine, c’est un comité de protection des personnes qui est amené à se prononcer. Cet avis sur le traitement de données envisagé comprend un volet éthique. La composition du CESREES est d’ailleurs censée permettre l’expression d’une position éthique sur le projet de traitement de données, elle doit en effet refléter « la diversité des compétences dans le domaine des traitements concernant la santé et à l'égard des questions scientifiques, éthiques, sociales et juridiques ». Quelles sont alors les fonctions de l’éthique en droit des données à caractère personnel ?
Les fonctions de l’éthique
11 9. Pluralité de fonctions. Par essence, l’éthique remplit une fonction axiologique. Cette fonction est limitée dans l’hypothèse où le droit des données à caractère personnel fait référence à l’éthique. L’éthique est en effet appelée au soutien des valeurs protégées par le droit des données à caractère personnel comme la protection des personnes concernées ou la libre circulation des données, du moins dans l’Union [42]. C’est le cas des codes de conduite qui doivent prendre en compte les spécificités du secteur d’activité et des besoins des acteurs des traitements de données pour décliner les exigences du droit des données à caractère personnel. La référence à l’éthique est également le moyen d’intégrer d’autres valeurs au droit des données à caractère personnel. Un exemple en est donné, s’agissant des traitements de données à caractère personnel dans le domaine de la santé, par l’avis du CESREES qui porte sur la « pertinence éthique » du traitement de données. Autre fonction classiquement associée à l’éthique, celle qui consiste à susciter la confiance des tiers ou l’honorabilité d’une activité [43]. Elle fait écho à l’un des objectifs poursuivi par le RGPD qui est de « susciter la confiance qui permettra à l'économie numérique de se développer dans l'ensemble du marché intérieur » [44]. Elle se manifeste par exemple par la pratique des politiques de confidentialité ou l’établissement de codes de conduite en matière de données à caractère personnel. Deux fonctions plus spécifiques sont par ailleurs associées à l’éthique en droit des données à caractère personnel.
12 10. Fonction de conformité. L’éthique contribue au respect de l’exigence de conformité, qui pèse sur les responsables du traitement, en application de laquelle ils doivent mettre en œuvre des mesures techniques et organisationnelles pour s’assurer que le traitement de données est effectué conformément aux règles qui lui sont applicables et être en mesure de démontrer la conformité du traitement [45]. La conformité du traitement de données doit être assurée dès la conception et par défaut, ce qui implique une intégration organisationnelle et technique du droit des données à caractère personnel [46].
13 Les codes de conduite approuvés constituent un outil permettant au responsable du traitement de démontrer la conformité de leurs traitements de données [47]. Ces derniers, en tant qu’ils déclinent les dispositions applicables au traitement de données à un secteur d’activité, facilitent leur intégration et corrélativement permettent de démontrer la conformité du traitement de données [48]. De la même manière, en cas de sous-traitance, l’application par le sous-traitant d’un code de conduite approuvé permet de démontrer qu’il présente des garanties suffisantes pour assurer la conformité du traitement de données [49]. Pour autant, les codes de conduite doivent respecter différentes exigences afin de garantir la conformité de leur contenu au RGPD, mais aussi pour s’assurer leur effectivité. Ainsi, ils font l’objet d’une approbation par l’autorité de contrôle, selon une procédure qui varie selon la portée géographique du code et selon qu’ils portent sur des activités de traitement menées dans plusieurs États membres [50] ou non [51]. La Commission peut même leur conférer une application générale au sein de l’Union [52]. Les codes de conduite doivent comprendre les mécanismes permettant à un organisme agréé de procéder au contrôle du respect de leurs dispositions par le responsable du traitement ou les sous-traitants [53], ce contrôle pouvant évidemment être réalisé par l’autorité de contrôle compétente. En définitive, l’éthique contribue à assurer l’effectivité de la protection des données à caractère personnel et le respect des règles applicables aux traitements de données [54].
14 11. Fonction d’harmonisation. Les codes de conduite remplissent également une fonction d’harmonisation de l’application du RGPD dans le secteur d’activité qu’ils recouvrent. C’est le cas dans le champ d’application du code de conduite, à savoir les responsables du traitement appartenant à l’association ou l’organisation à l’origine de l’élaboration d’un code de conduite. Le code de conduite peut être approuvé au sein d’un État membre ou à l’échelle de l’Union européenne. Lorsque le code de conduite ne porte pas sur des activités de traitement menées dans plusieurs États membres [55], l’approbation est confiée à une autorité de contrôle nationale. Inversement, lorsque le code de conduite porte sur des activités de traitement menées dans plusieurs États membres, une procédure adaptée d’approbation s’applique : l’autorité de contrôle compétente soumet le projet de code, sa prorogation ou sa modification, au comité européen de la protection des données qui rend un avis qui, s’il est positif, est transmis à la Commission [56]. Celle-ci peut alors décider que le code sera d’application générale dans l’Union [57], ce qui permet à d’autres responsables du traitement ou sous-traitants du secteur de s’y soumettre, contribuant à l’harmonisation de l’application du RGPD dans l’Union. Plus encore, des responsables du traitement ou des sous-traitants, qui n’entrent pas dans le champ d’application du RGPD, peuvent s’y référer à l’occasion d’un transfert de données vers un pays tiers pour fournir des garanties appropriées afin d’offrir un niveau de protection équivalent des données à caractère personnel [58], sous réserve que la législation de l’État de destination permette d’atteindre un niveau de garantie équivalent [59].
L’éthique au-delà du droit des données à caractère personnel
15 12. Complément. Si le droit des données à caractère personnel reconnaît un rôle limité à l’éthique, celle-ci a vocation à se développer au-delà du droit des données à caractère personnel. Après avoir identifié les manifestations de cette éthique des données à caractère personnel (2.1), il faudra en identifier l’apport (2.2).
Les manifestations
16 13. Anticiper de nouvelles questions. Les réflexions éthiques en matière de données à caractère personnel accompagnent l’émergence de nouveaux outils ou de nouveaux usages.
17 Une première illustration peut être donnée s’agissant de l’utilisation des données. La Commission européenne a formulé une proposition de règlement sur la gouvernance des données afin de favoriser le partage des données [60]. Pour cela, est notamment proposée la consécration d’un cadre juridique applicable aux prestataires et aux services de partage de données afin de susciter la confiance des fournisseurs et des utilisateurs des données. Sans attendre, des plateformes de partage de données ont établi des normes éthiques afin de guider leur activité et susciter la confiance des utilisateurs. C’est le cas par exemple de la plateforme « Occitanie data » qui se fixe trois objectifs : agir dans l’intérêt général en offrant des services innovants, créer un cadre de confiance éthique et souverain autour de la science des données et accompagner et organiser la transformation numérique de manière compatible avec la transition écologique [61]. Différentes valeurs sociales sont poursuivies : la bienfaisance, l’innovation soutenable, la solidarité, mais aussi le respect de l’autonomie individuelle. Quant aux données, des règles sont censées guider leur réutilisation : la qualité des données pour éviter des biais dans leur réutilisation, la robustesse des algorithmes, leur transparence et leur auditabilité.
18 Une deuxième illustration peut être donnée à propos du déploiement du big data en santé qui se développe, permis par l’accroissement des capacités de stockage et de traitement des données. Cette question a donné lieu à un avis du Comité consultatif national d’éthique. Celui-ci estime que le big data conduit à « renouveler la réflexion éthique dans le domaine de la santé » [62]. Pour mener à bien cette réflexion, il s’appuie sur les « principes éthiques qui fondent la déontologie médicale », à savoir le respect de la personne, la justice, la pertinence et la bienfaisance [63]. À l’aune de ces principes, le CCNE cherche à trouver un point d’équilibre entre la protection des personnes et l’utilisation du big data à des fins de recherche et d’innovation en santé. De manière très intéressante, le CCNE aborde la question du lien entre la personne et ses données, faisant le constat d’une circulation accrue des données et du risque de perte de maîtrise des personnes sur leurs données. À ce propos, il s’interroge sur la pertinence du consentement comme instrument de protection alors que le traitement de données a une dimension « trop grande pour être appréhendé par l’individu » [64]. Le CCNE promeut en conséquence un changement de logique s’agissant de la transparence et du consentement des personnes concernées en passant d’une logique « de contrôle exhaustif a priori à une logique d’intervention et de contrôle a posteriori fondée sur une recherche d’intelligibilité et de responsabilisation, qui exige des responsables du traitement une loyauté de comportement vérifiable » [65]. Dans le même temps, le CCNE s’inquiète des blocages des traitements massifs des données qui pourraient résulter de l’exercice par les personnes concernées de certains de leurs droits, de la circulation insuffisante des données pour permettre l’innovation en santé [66] et de la nécessaire maîtrise humaine sur les traitements algorithmiques des données numériques en santé [67].
19 Une réflexion éthique a également pu être menée à propos d’une autre évolution technologique, permise par le recours à des outils algorithmiques d’intelligence artificielle, à savoir les véhicules autonomes. Le comité national pilote d’éthique du numérique a mis en avant, dans un avis, les tensions engendrées du point de vue des données personnelles : liberté de déplacement des utilisateurs versus protection de la vie privée et des données à caractère personnel des tiers mais aussi choix de l’utilisateur de recourir à un véhicule autonome et collecte à cette occasion de ses données à caractère personnel. Surtout, est identifié le risque « d’une surveillance généralisée et permanente ». D’où la proposition d’un régime adapté de protection des données à caractère personnel [68].
20 14. Promouvoir un modèle économique alternatif. L’économie du numérique repose sur l’exploitation des données. Un modèle économique reposant sur l’exploitation des données est même apparu avec le développement des grandes plateformes en ligne : il tient à la fourniture de services et de contenus numériques sans contrepartie pécuniaire, la contrepartie se trouvant dans la fourniture de données par les personnes concernées. Cela correspond au modèle économique des principales plateformes en ligne, notamment les moteurs de recherche, les réseaux sociaux ou certains services de partage de contenu [69]. C’est ce qui a conduit le législateur européen à s’en emparer en introduisant un régime pour les contrats de fourniture de contenus ou services numériques [70]. Pensons aussi à la pratique développée par certains éditeurs de sites consistant à proposer une option entre l’acceptation de cookies et une formule payante à l’occasion de laquelle les données collectées sont réduites [71], la validité d’une telle pratique dépend de la préservation de la liberté du consentement de la personne concernée, ce qui suppose qu’elle dispose « d'une véritable liberté de choix » ou qu’elle soit « en mesure de refuser ou de retirer son consentement sans subir de préjudice » [72]. La base juridique des opérations de traitement des données est en général le consentement de la personne concernée en raison du profilage réalisé à fins publicitaires, de la personnalisation du service ou de la transmission des données à des tiers. Ces pratiques, qui reposent sur l’exploitation des données à caractère personnel et l’économie de l’attention, sont contestées en raison des risques qu’elles font courir aux personnes concernées – atteinte au respect de leur vie privée, à l’autonomie individuelle, à la liberté d’aller et venir – et pour l’effectivité de la protection de leurs droits. Émergent d’autres modèles économiques qui ont pour objectif d’assurer une meilleure protection des personnes concernées en limitant la collecte et l’exploitation de leurs données. Une société comme Apple met ainsi en avant l’absence de cession des données à caractère personnel à des tiers comme argument commercial. D’autres organisations développent des services numériques ne reposant pas sur le traitement de données à caractère personnel. L’exemple le plus fameux est certainement Wikipédia, mais il en existe d’autres comme le service de la société Citykomi qui propose des solutions d’information pour les collectivités ou les entreprises et qui ne traite aucune donnée à caractère personnel, la personnalisation du service ne repose pas sur l’analyse des données, mais sur la configuration du service réalisée par l’utilisateur. Peut-on voir derrière ces choix une éthique des données à caractère personnel qui consiste à ne les traiter que lorsqu’il n’existe pas d’autres alternatives techniques ? Ils traduisent en tout cas un autre équilibre entre les intérêts des personnes concernées et ceux des responsables du traitement que celui qui est permis par le droit des données à caractère personnel.
L’apport
21 15. Éthique des données. Toute réflexion éthique sur les données à caractère personnel fait appel à la distinction entre la vie publique et la vie privée, entre l’individu et le collectif, mais aussi à la tension entre la liberté et l’autonomie des personnes avec l’intérêt général, la sécurité publique, la surveillance, la santé publique, l’innovation ou des préoccupations économiques [73]. Dégager la substance de ce que pourrait être, de manière générale, une éthique des données à caractère personnel est une entreprise délicate tant en raison de la relativité de l’éthique que de la diversité des contextes des traitements de données et de leurs finalités. D’un point de vue substantiel, seules des valeurs très générales peuvent être associées aux données à caractère personnel. Elles font écho aux droits et libertés sous-tendant le droit des données à caractère personnel : droit à la protection des données à caractère personnel, droit au respect de la vie privée, liberté d’aller et venir, liberté d’expression, liberté d’entreprendre. Il peut en résulter des exigences d’ores et déjà promues par le droit des données à caractère personnel mais qui pourraient être renforcées comme la transparence, la minimisation des données traitées, la facilitation de l’exercice des droits des personnes concernées ou la recherche du consentement des personnes concernées là où il n’est pas requis pour la mise en œuvre du traitement de données. Tout cela renforcerait l’autodétermination informationnelle des personnes concernées. À cela, peut s’ajouter une éthique procédurale consistant à faire participer les personnes potentiellement concernées par un traitement de données à caractère personnel à la détermination de ses caractéristiques. Cette démarche n’est pas inconnue du droit des données à caractère personnel. À l’occasion de la réalisation d’une analyse d’impact, le responsable du traitement est en effet incité à demander l’avis des personnes concernées ou de leurs représentants au sujet du traitement envisagé [74]. Cela dit, c’est davantage à l’aune des évolutions attendues en matière de traitement de données à caractère personnel qu’une réflexion éthique peut être développée.
22 16. Évolutions : big data et intelligence artificielle. Le développement du big data et l’intelligence artificielle impliquent le traitement de grandes masses de données qui mettent à l’épreuve le droit des données à caractère personnel. Ni le RGPD, ni la loi du 6 janvier 1978 révisée ne prévoient de régime spécifique à ces types de traitements de données. Tout au plus, la prise de décision automatisée est-elle encadrée [75], la réutilisation des données dans certaines finalités est-elle facilitée [76] et l’exigence de transparence des traitements de données est-elle en mesure d’appréhender les transferts de données [77]. L’insuffisance de ce régime trouve une réponse dans une proposition de règlement visant à encadrer les systèmes d'intelligence artificielle [78]. Elle cherche à apporter des garanties supplémentaires en interdisant certains usages des systèmes d’intelligence artificielle et en consacrant une approche par le risque pour les systèmes à haut risque, associée notamment à des règles de gouvernance des données d’entraînement, de validation et de test, et à un contrôle humain. Cela fait écho à des préoccupations éthiques. Dans le contexte du big data et de l’intelligence artificielle, la préservation de la liberté des personnes, de leur égalité ou l’intervention d’une personne humaine à l’occasion de la contestation d’une prise de décision automatisée sont des exigences d’ordre éthique. Plus généralement, l’éthique des données pourrait consister à renforcer la protection des personnes concernées, par exemple en instaurant un consentement dynamique des personnes concernées, qui pourrait être révisable au fur et à mesure du temps, et une information périodique et évolutive des personnes concernées en fonction de l’utilisation qui est faite de leurs données. De la même manière, pourrait être prévue la nécessité de pouvoir identifier toute personne à partir de ses données, par exemple au moyen de métadonnées liées aux données ou de la technologie blockchain afin de garantir l’effectivité de son information et de ses droits.
23 17. Conclusion. En définitive, loin de révéler une quelconque crise du droit des données à caractère personnel, l’éthique ne lui est pas non plus antagoniste. Elle contribue à assurer la confiance des personnes concernées par des traitements de données à caractère personnel, la conformité de ces derniers au droit des données à caractère personnel et l’harmonisation de l’application de celui-ci. Elle remplit aussi des fonctions d’anticipation des difficultés nouvelles, conséquences de l’évolution des technologies numériques et de la nécessité de compléter le droit positif pour assurer la protection des personnes concernées par des traitements de données [79]. Cela dit, si les données à caractère personnel et leurs usages constituent assurément un terrain fertile pour les réflexions d’ordre éthique et une source d’inspiration pour le législateur, la densification normative du droit des données à caractère personnel relègue aussi l’éthique dans l’ombre du droit positif ou au rang de simple instrument de son application.
Mots-clés éditeurs : auto-détermination informationnelle, Big data, éthique, sous-traitant, données à caractère personnel, traitement de données, responsable du traitement
Date de mise en ligne : 11/07/2022
https://doi.org/10.3917/ride.353.0029Notes
-
[1]
J. Bardy et L. Godefroy (dir.), Éthique et droit économique, Journées de droit économique 2021 de l’École de Nice, Université de Nice Côte d’Azur, 1er octobre 2021.
-
[2]
G. Farjat, Pour un droit économique, coll. Les voies du droit, Paris, PUF, 2004, p. 157. - Se distinguant de la morale, l’éthique est généralement définie comme « l’ensemble des principes et valeurs guidant des comportements sociaux et professionnels, et inspirant des règles déontologiques (code de bonne conduite, de déontologie ou de bonnes pratiques) ou juridiques », G. Cornu (dir.), Vocabulaire juridique de l’Association Henri Capitant, V° Éthique, 13e éd., coll. Quadrige, Paris, PUF, 2020.
-
[3]
B. Oppetit, « L’éthique », inDroit et modernité, Paris, PUF, 1998, pp. 261 et s.
-
[4]
Décret n° 83-132 du 23 février 1983 portant création d'un Comité consultatif national d'éthique pour les sciences de la vie et de la santé ; Loi n° 94-654 du 29 juillet 1994 relative au don et à l'utilisation des éléments et produits du corps humain, à l'assistance médicale à la procréation et au diagnostic prénatal, art. 23.
-
[5]
Sur ce mouvement, J. Carbonnier, Droit civil, t. 1, coll. Quadrige, Paris, PUF, 2004, n° 18, p. 45 ; B. Oppetit, « Éthique et vie des affaires », inMélanges offerts à André Colomer, Paris, Litec, 1993, p. 319.
-
[6]
CNIL, « Comment permettre à l’Homme de garder la main ? », Rapport sur les enjeux éthiques des algorithmes et de l’intelligence artificielle, décembre 2017 ; Résolution du Parlement européen du 20 octobre 2020 contenant des recommandations à la Commission concernant un cadre pour les aspects éthiques de l’intelligence artificielle, de la robotique et des technologies connexes ; UNESCO, Projet de recommandation sur l’éthique de l’intelligence artificielle, SHS/IGM-AIETHICS/2021/JUN/3Rev.2, 25 juin 2021.
-
[7]
Comité national pilote d’éthique du numérique, avis n° 2, « Le “véhicule autonome” : enjeux d’éthique », 7 avril 2021.
-
[8]
V. cependant C. Zolynski, « Big data : pour une éthique des données », I2D - Information, données & documents, 2015/2, vol. 52, pp. 25 et 26.
-
[9]
RGPD, art. 4, § 1.
-
[10]
Th. Douville, Droit des données à caractère personnel, Paris, Gualino/Lextenso, 2020, n° 77 ; V.-L. Bénabou, « L’extension du domaine de la donnée », Légicom, 2017/2, p. 3. - Les informations ne remplissant pas ces caractères constituent des données non personnelles : Règlement (UE) 2018/1807 du 14 novembre 2018 établissant un cadre applicable au libre flux des données à caractère non personnel dans l'Union européenne, art. 3. 1.
-
[11]
CJUE, 19 octobre 2016, Breyer c. Bundesrepublik Deutschland, aff. C-582/14.
-
[12]
RGPD, art. 4, § 2.
-
[13]
Sur cette notion et ses manifestations : C. Thibierge (dir.), La densification normative. Découverte d’un processus, Paris, Mare & Martin, 2014.
-
[14]
Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE.
-
[15]
Directive (UE) 2016/680 du Parlement européen et du Conseil du 27 avril 2016 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d'enquêtes et de poursuites en la matière ou d'exécution de sanctions pénales, et à la libre circulation de ces données.
-
[16]
Loi n° 2018-493 du 20 juin 2018 relative à la protection des données personnelles ; Ordonnance n° 2018-1125 du 12 décembre 2018. - N. Martial-Braz et J. Rochfeld (dir.), Droit des données personnelles. Les spécificités du droit français au regard du RGPD, Paris, Dalloz, 2019.
-
[17]
Th. Douville, Droit des données à caractère personnel, op. cit., n° 33 et 34, sur les petites sources du droit des données à caractère personnel.
-
[18]
A. Danis-Fatôme, « Ordre public et protection des données à caractère personnel », AJ Contrat, août 2019, p. 366.
-
[19]
RGPD, art. 3.
-
[20]
Ibid., art. 24 et 32.
-
[21]
E. Netter, « Service en ligne “gratuit” contre publicité ciblée : le modèle d'affaires aux pieds d'argile », inMélanges J.-P. et M. Storck, Paris, Dalloz, 2021.
-
[22]
S. Vergnolle, L’effectivité de la protection des personnes par le droit des données à caractère personnel, thèse, Paris 2, dir. J. Passa, 2020.
-
[23]
Th. Douville, « Les droits des personnes concernées en cas de transmission de leurs données à caractère personnel », RLDI, novembre 2018, n° 153, p. 33.
-
[24]
G. Farjat, Pour un droit économique, op. cit., p. 158.
-
[25]
RGPD, art. 40, § 1.
-
[26]
Ibid., art. 40, § 2.
-
[27]
Délibération n° 2021-065 du 3 juin 2021 portant approbation du Code de conduite européen porté par Cloud Infrastructure Service Providers Europe (CISPE) ; Comité européen de la protection des données, Avis 17/2021 sur le projet de décision de l’autorité de contrôle française concernant le Code de conduite européen soumis par les prestataires de services d’infrastructure en nuage (CISPE), 19 mai 2021.
-
[28]
Loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, art. 8, I, 4°, e).
-
[29]
Préc., pp. 23 et s.
-
[30]
CNIL, « Civic tech, données et Demos : une exploration des interactions entre démocratie et technologies », Cahier IP n° 7, 11 décembre 2019.
-
[31]
Manifeste pour une éthique du numérique qui s'accompagne d'une tentative de définition : Comité national pilote d'éthique du numérique, Pour une éthique du numérique, É. Germain, C. Kirchner et C. Tessier, PUF, 2022.
-
[32]
Comité national pilote d’éthique du numérique, Avis n° 3 : « Agents conversationnels : enjeux d’éthique », 24 novembre 2021.
-
[33]
Comité national pilote d’éthique du numérique, Avis n° 2 : « Le ‘‘véhicule autonome’’ : enjeux d’éthique », 21 mai 2021.
-
[34]
Comité national pilote d’éthique du numérique, « Réflexions et points d'alerte sur les enjeux d’éthique du numérique en situation de crise sanitaire aiguë », Bulletin de veille n° 3, 21 juillet 2020.
-
[35]
Comité national pilote d’éthique du numérique, « Réflexions et points d'alerte sur les enjeux d’éthique du numérique en situation de crise sanitaire aiguë », Bulletin de veille n° 1, 7 avril 2020, p. 12, qui insiste par exemple sur l’information des personnes concernées.
-
[36]
RGPD, art. 9, § 4.
-
[37]
Loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, art. 73 al. 2.
-
[38]
Ibid., art. 66, II.
-
[39]
Décret n° 2019-536 du 29 mai 2019 pris pour l'application de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, art. 90.
-
[40]
Ibid., art. 72 al. 2
-
[41]
Ibid., art. 76, 1°.
-
[42]
RGPD, art. 1, § 1.
-
[43]
B. Oppetit, « L’éthique », op. cit., p. 268.
-
[44]
RGPD, cons. 7.
-
[45]
RGPD, art. 5 et 24.
-
[46]
Ibid., art. 25.
-
[47]
Ibid., art. 24, § 1.
-
[48]
Ibid., art. 32, § 3.
-
[49]
Ibid., art. 28, § 1 ; 5.
-
[50]
Ibid., art. 28, §§ 7 et 8.
-
[51]
Ibid., art. 28, §§ 5 et 6.
-
[52]
Ibid., art. 28, § 9.
-
[53]
Ibid., art. 28, § 4 et 41, § 1.
-
[54]
Rappr. B. Oppetit, « L’éthique », op. cit., p. 268.
-
[55]
RGPD, art. 28, § 6.
-
[56]
S’agissant du premier Code de conduite européen en matière de données à caractère personnel : Code de conduite européen dédié aux fournisseurs de services d’infrastructure en nuage (IaaS) approuvé par la CNIL, CISPE - Cloud Infrastructure Service Providers Europe, 11 juin 2021.
-
[57]
RGPD, art. 40, §§ 7 à 9.
-
[58]
Ibid., art. 40, § 3 et 46, § 1, e. ; CEPD, Guidelines 04/2021 on codes of conduct as tools for transfers.
-
[59]
Ibid., art. 45, § 2, a. ; CJUE, 16 juillet 2020, Data Protection Commissioner c. Facebook Ireland Ltd., Maximillian Schrems, aff. C-311/18.
-
[60]
Proposition de règlement du Parlement européen et du Conseil sur la gouvernance européenne des données, COM (2020) 767 final, 25 novembre 2020.
-
[61]
Occitanie Data, « La charte éthique des usages des données », octobre 2020.
-
[62]
CCNE, « Données massives en santé : Une nouvelle approche des enjeux éthiques », Avis n° 130, 29 mai 2019, p. 25.
-
[63]
Ibid., pp. 25 et 26.
-
[64]
Ibid., p. 28.
-
[65]
Ibid., p. 31.
-
[66]
Ibid., p. 39.
-
[67]
Ibid., p. 43.
-
[68]
CNPEN, « Le “véhicule autonome” : enjeux éthiques », avis n° 2, 7 avril 2021, 6.1.
-
[69]
E. Netter, « Service en ligne “gratuit” contre publicité ciblée : le modèle d'affaires aux pieds d'argile », op. cit.
-
[70]
V., par ex., Directive (UE) 2019/770 du 20 mai 2019 relative à certains aspects concernant les contrats de fourniture de contenus numériques et de services numériques, art. 3, § 1, al. 2 : « La présente directive s’applique également lorsque le professionnel fournit ou s’engage à fournir un contenu numérique ou un service numérique au consommateur, et le consommateur fournit ou s’engage à fournir des données à caractère personnel au personnel (…) ».
-
[71]
Semblant admettre la validité d’une option entre un cookies wall et une option payante à l’aune de la liberté du consentement : CE, 19 juin 2020, Lignes directrices de la CNIL relatives aux cookies et autres traceurs de connexion, pts. 8 à 10. - V. Délibération n° 2020-091 du 17 septembre 2020 portant adoption de lignes directrices relatives à l'application de l'article 82 de la loi du 6 janvier 1978 modifiée aux opérations de lecture et écriture dans le terminal d'un utilisateur (notamment aux « cookies et autres traceurs ») et abrogeant la délibération n° 2019-093 du 4 juillet 2019. - En faveur de l’interdiction des cookies wall : Comité européen de la protection des données, Déclaration sur la révision de la directive ePrivacy et son incidence sur la protection de la vie privée et la confidentialité des communications électroniques, 25 mai 2018.
-
[72]
RGPD, cons. 42.
-
[73]
Rappr. CCNE, « Données massives en santé : Une nouvelle approche des enjeux éthiques », Avis n° 130, 29 mai 2019, p. 25.
-
[74]
RGPD, art. 35, § 9 : « Le cas échéant, (…) ».
-
[75]
Ibid., art. 22.
-
[76]
Ibid., art. 5, § 2 et art. 6, § 4.
-
[77]
Ibid., art. 13 et 14.
-
[78]
Proposition de règlement du Parlement européen et du Conseil établissant des règles harmonisées concernant l’intelligence artificielle (législation sur l’intelligence artificielle) et modifiant certains actes législatifs de l’Union, Com/2021/206 final, not. art. 5 et art. 9.
-
[79]
B. Oppetit, « L’éthique », op. cit., p. 274.