Protection Des Données Personnelles Et Droit À La Vie Privée : Enquête Sur La Notion Controversée De « Donnée À Caractère Personnel »
Total Page:16
File Type:pdf, Size:1020Kb
Par Julien ROSSI Protection des données personnelles et droit à la vie privée : enquête sur la notion controversée de « donnée à caractère personnel » Thèse présentée pour l’obtention du grade de Docteur de l’UTC Soutenue le 2 juillet 2020 Spécialité : Sciences de l’Information et de la Communication et Science Politique : Unité de recherche COSTECH (EA-2223) D2549 Université de technologie de Compiègne École doctorale « Sciences de l’ingénieur » Laboratoire COSTECH, EA 2223 Protection des données personnelles et droit à la vie privée : enquête sur la notion controversée de « donnée à caractère personnel » Thèse de doctorat en Sciences de l’information et de la communication et Science politique Présentée par : Julien Rossi sous la direction de : Virginie Julliard et Jérôme Valluy Soutenue publiquement le 2 juillet 2020 Membres du jury : Serge BOUCHARDON – Professeur des Universités à l’Université de Technologie de Compiègne Isabelle GARCIN-MARROU – Professeure des Universités à Sciences Po Lyon Gloria GONZÁLEZ FUSTER – Professeure de recherche à la Vrije Universteit Brussel Virginie JULLIARD – Professeure des Universités à Sorbonne Université Valérie SCHAFER – Professeure des Universités à l’Université du Luxembourg Jérôme VALLUY – Maître de conférences HDR à l’Université Paris 1 Panthéon-Sorbonne, chercheur au COSTECH-UTC p. 1 p. 2 Protection des données personnelles et droit à la vie privée Enquête sur la notion controversée de « donnée à caractère personnel » p. 3 Remerciements Le « nous » académique choisi dans cette thèse n’est pas qu’une façon d’écrire un peu ampoulée et désuète. Il sert aussi à rappeler qu’un travail de recherche n’est jamais produit par le supposé génie d’un·e chercheur·e isolé·e, mais est, en réalité, le fruit d’un effort collectif auquel de nombreuses personnes contribuent. Je tiens à commencer par Jérôme Valluy et Virginie Julliard, mes directeur et directrice de thèse. Je leur suis redevable de nombreux conseils avisés, de nombreuses relectures attentives, de nombreuses idées qui ont fait progresser ma réflexion. Je remercie les membres du jury qui me font l’honneur de lire et commenter ce travail, d’autant qu’ils ont accepté ce travail supplémentaire en plein milieu d’une période particulièrement incertaine. Cette thèse ne serait pas elle-même sans la thèse T.A.C., sans la découverte de la recherche technologique, et sans les moments de convivialité partagés au Minibar ou à la terrasse du bistrot en face de la gare de Compiègne. Le COSTECH, qui m’a financé, est un excellent endroit pour y faire sa thèse. Je remercie chaleureusement tou·te·s celles et ceux que j’y ai côtoyé·e·s : Charles, , Clément, Cléo, Édouard, Églantine, Gaëlle, Hugues, Isabel, Jean-Édouard, Karl, Manon, Nina,春 梅 Peppe, Serge, Yann et tant d’autres. Je remercie en particulier Xavier Guchet, pour son travail de référent de l’école doctorale, sans oublier Christine Bry, pour sa disponibilité et l’impressionnante efficacité avec laquelle elle a répondu à toutes mes questions administratives. Merci aussi à tant de collègues universitaires avec qui j’ai travaillé, qui m’ont soutenu, m’ont fait réfléchir, me rappeler que j’ai encore moult progrès à faire… Je n’ai pas l’espace d’être exhaustif, mais je pense en particulier à Francesca Musiani et aux autres membres du groupe « Gouvernance d’Internet » du GDR Internet, IA et Société. Je pense aussi à tous les collègues rencontrés à Bruxelles, et notamment celles et ceux du LSTS avec qui j’ai eu la chance de travailler. Je voudrais adresser de chaleureux remerciements aux collègues du Département de communication de Rennes 2. Même si les étudiant·e·s y produisent assez de copies à corriger pour pouvoir nager dedans comme Picsou au milieu de ses billets de banque, je garderai de très bons souvenirs de ces années d’ATER et j’espère que nous nous reverrons quand cette histoire de virus sera derrière nous. Merci aux projets ENEID et Sensibdata pour avoir contribué financièrement à mes travaux de recherche. Je voudrais aussi exprimer ma gratitude envers toutes les personnes qui ont accepté, gratuitement, de me donner du temps, pour un entretien, pour un conseil, pour m’aider à accéder à des informations, ou encore pour compléter un questionnaire. p. 4 Il ne faudrait pas oublier toutes celles et ceux qui sans qui il n’y aurait même pas eu de projet de thèse. Je dois des remerciements tout d’abord à Jean-Jacques Lavenue, qui fut mon directeur de mémoire à Sciences Po Lille. C’est lui qui m’a fait tomber dans la marmite de la protection des données. Je remercie aussi Clément Fontan. Sans ses conseils je n’aurais probablement jamais réussi à faire aboutir mon projet. Je n’oublie pas non plus le soutien que Gloria Origgi et Iván Székely m’ont apporté au moment décisif de chercher des financements pour la thèse. Je dois aussi des remerciements à Attila Péterfalvi, Júlia Sziklay, et tous les collègues de l’Autorité nationale pour la protection des données et la liberté de l’information de Hongrie, qui m’ont beaucoup apporté et qui ont continué à me soutenir pendant la thèse. Je voudrais aussi saluer mes anciens collègues de la CNIL et du Centre des hautes études du Ministère de l’intérieur. J’ai beaucoup appris à leur contact. Ces pages de remerciements seraient incomplètes si elles ne mentionnaient pas les collègues et ami·e·s de l’Université de Szeged, qui m’ont fait découvrir et aimer le métier d’enseignant- chercheur l’année avant le début de la thèse : Péter Kruzslicz, Laureline Congnard, Souleymane N’Diaye, Andrea Gyivicsán, Tünde Silay et Attila Badó. Merci aussi à mes proches pour m’avoir soutenu et supporté pendant toute la durée de la thèse. Il va sans dire que cette thèse n’aurait pas existé sans mes parents. Ils m’ont soutenu, pas seulement dans mes études, mais dans tout le reste. Merci à Alda, Camille, Grégoire, Kaja, Lune, Marine, Mélanie, Nebiha, Sergio et Souleymane pour vos relectures et vos aides pour certaines traductions. Merci à Guillaume pour toutes ces journées passées à écrire des scripts en Python. Merci enfin à Mélanie de m’avoir tant soutenu et aidé dans le sprint final de la fin de thèse, et de m’avoir offert un refuge fleuri loin de l’enfer de mon studio parisien pendant le confinement. Enfin, puisqu’une page de remerciements sur la protection des données à caractère personnel ne serait pas complète sans un peu de chiffrement : Yahou ! Dru ! Pogolin ! Kneu ! Enfin, je ne peux conclure les remerciements d’une thèse qui porte sur la protection des données, de la vie privée, et plus largement des droits humains, sans remercier celles et ceux qui se sont battu·e·s et continuent à se battre pour les défendre. Merci à vous. p. 5 Résumé La menace qu’Internet et les technologies numériques de l’information et de la communication en général font ou feraient peser sur la vie privée soulève de nombreux débats, tant dans la presse qu’au niveau politique. L’affaire Snowden en 2013, puis l’adoption en 2016 du Règlement général de protection des données (RGPD), ont renforcé la visibilité de ces controverses dans l’espace public. Cette thèse part d’une triple interrogation : pouvons-nous définir ce qu’est la « vie privée », existe-t-il un consensus autour de la question, et ce consensus évolue-t-il avec des évolutions de notre milieu technique qui affectent nos modes de communication, et donc d’intrusion dans celle- ci ? En définissant la « vie privée » comme l’objet protégé par des textes normatifs – textes de loi, jurisprudence et standards techno-politiques d’Internet – qui protègent le droit à la vie privée, il est possible d’en étudier empiriquement l’évolution et les controverses qui l’accompagnent. Le droit de la protection des données à caractère personnel a émergé en Europe dans les années 1970 pour protéger une « vie privée » perçue comme menacée par une informatique encore à ses débuts. Aujourd’hui, le RGPD, ou encore certains documents édictés par des organismes de standardisation comme l’Internet Engineering Task Force (IETF) ou le World Wide Web Consortium (W3C), visent à protéger cette vie privée au travers d’un corpus de règles, la « protection des données », qui concerne les « données à caractère personnel ». Les définitions juridiques de cette notion produites dans des arènes institutionnelles et celles produites dans des arènes de standardisation technique sont identiques. L’étude de la généalogie de la protection des données révèle en outre le rôle déterminant d’informaticiens dans l’invention de la « protection des données » et en particulier des principes qui régissent aujourd’hui encore les dispositions contenues dans le RGPD. L’analyse des controverses qui ont eu lieu dans les arènes d’élaboration de ces normes montre que la notion de « donnée à caractère personnel » inscrite dans les textes de notre corpus reflète essentiellement le système de convictions d’une coalition d’acteurs inspirés par des idéaux libéraux utilitaristes, attachés à l’autonomie de l’individu et accordant de l’importance au respect de son consentement. Ce paradigme s’est imposé dans les arènes étudiées face à d’autres conceptions de la « vie privée », notamment celles qui la définissent comme un espace collectivement défini ôté au regard de l’espace public, ou encore celles qui préconisent une patrimonialisation de ces données. Ce n’est donc pas l’informatique qui a directement déterminé une évolution dans l’objet de la protection du droit de la vie privée, mais ses perceptions par un groupe d’acteurs. Convaincus de l’utilité sociale de la protection de leur conception libérale de la vie privée, ces derniers sont parvenus à faire émerger, en Europe, dans les années 1970, une nouvelle catégorie juridique : le p.