Lecture: 22 min
N7629BZL
Citer l'article
Créer un lien vers ce contenu
par Grégory Cauvin, Docteur en droit, chargé d’enseignement à l’Université Paris XII (UPEC), Avocat au barreau des Hauts-de-Seine
le 13 Décembre 2023
Mots-clés : RGPD • 145 • DPO • instruction • saisie • preuve
Le droit à la preuve semble inconciliable avec la protection des données personnelles. Pourtant, la protection des données personnelles n’est pas absolue. Ainsi, la jurisprudence confronte la preuve et la protection de la donnée personnelle et tente de les concilier. Il est alors possible de dégager quelques principes dont certains restent encore incertains dans leur application.
Il est neuf heures. Les bureaux accueillent les premiers arrivés. Un commissaire de justice, accompagné d’un expert informatique et des forces de l’ordre, se présente à l’accueil. Il présente une ordonnance du juge lui donnant mission de saisir plusieurs documents. Un représentant de l’entreprise accompagné du DPO [1] les accueillent. Ce dernier s’oppose à la saisie envisagée au motif qu’elle porte sur des données personnelles qui n’ont pas été collectées dans cette finalité. Les personnes concernées n’ont pas été informées de cette opération qui concerne leurs données comme la loi l’exige. Il n’y a pas d’obligation de coopérer à la mesure [2].
En effet, le droit de la protection des données personnelles paraît à première vue inconciliable avec celui du droit à la preuve, droit fondamental tiré de l’article 6 de la Convention européenne des droits de l’Homme N° Lexbase : L7558AIR [3], dans le cadre des mesures d’instruction in futurum, ces mesures qui permettent d’entreprendre des investigations avant tout procès.
D’un côté il est impératif d’agir avec la plus grande transparence pour utiliser des données personnelles, de l’autre, il est nécessaire d’agir avec surprise pour collecter des preuves et les conserver.
Pour engager une telle investigation, l’article 145 du Code de procédure civile N° Lexbase : L1497H49 énonce que « s’il existe un motif légitime de conserver ou d’établir avant tout procès la preuve de faits dont pourrait dépendre la solution d’un litige, les mesures d’instruction légalement admissibles peuvent être ordonnées à la demande de tout intéressé, sur requête ou en référé ». Cet article permet donc d’agir sur requête pour conserver des preuves ou établir la preuve de faits. C’est-à-dire sans confrontation préalable avec la partie adverse. L'article 5 du RGPD N° Lexbase : L0189K8I précise que les données personnelles doivent notamment être traitées de manière « loyale et transparente » et collectées pour des « finalités déterminées, explicites et légitimes ».
Les données personnelles sont des données de personnes physiques identifiées ou identifiables, c’est-à-dire qui peuvent être identifiées directement ou indirectement [4]. Par exemple, une adresse IP est une donnée personnelle en ce qu’elle permet d’identifier indirectement l’utilisateur [5]. Le traitement est constitué par une ou des opérations portant sur des données personnelles effectuées à l’aide d’opérations automatisées ou non [6]. Il peut s’agir également de fichiers papier. En ce sens, la production en justice d’un document contenant des données personnelles est susceptible de constituer un traitement [7].
Nous comprenons alors que les dispositifs protecteurs issus de la loi n° 78-17, du 6 janvier 1978, relative à l'informatique, aux fichiers et aux libertés, dite loi « informatique et libertés » N° Lexbase : L8794AGS [8] et du Règlement général sur la protection des données [9] (RGPD) bousculent la protection de la vie privée prévue par l’article 9 du Code civil N° Lexbase : L3304ABY et l’article 8 de la Convention européenne de sauvegarde des droits de l’Homme et des libertés fondamentales N° Lexbase : L4798AQR. Cette vie privée concerne notamment le lieu de travail depuis l’arrêt « Nikon ». qui a affirmé le droit pour le salarié au respect de l’intimité de sa vie privée au temps et au lieu de travail et, en particulier, le secret des correspondances [10].
Outre le fait que sauf mention contraire les courriels, dossiers et fichiers sur l’ordinateur du salarié sont présumés professionnels [11], la protection de la vie privée n’est pas absolue. La Cour de cassation a admis que le droit à la preuve peut faire échec à celui de la vie privée. C’est le cas dès lors que la production litigieuse est indispensable à l’exercice du droit à la preuve et proportionnée aux intérêts antinomiques en présence [12]. Ces conditions doivent également respecter le RGPD et la loi n° 78-17, du 6 janvier 1978, dite loi « informatique et libertés ».
Est-il possible alors d’appliquer le droit à la preuve tout en protégeant les droits des données des personnes concernées ?
D’emblée, le RGPD considère que la protection des données à caractère personnel n’est pas un droit absolu [13]. Ce droit doit être considéré par rapport à sa fonction dans la société et être mis en balance avec d’autres droits fondamentaux, conformément au principe de proportionnalité [14]. Ainsi, le droit de la preuve est mis en balance avec le droit des données personnelles (I) fondement sur lequel le juge va mettre en place des limites (II).
I. Les mesures d’instruction confrontées à la protection des données personnelles
Dans un premier temps, les principes du RGPD paraissent paralyser le droit à la preuve (A), mais, en réalité, il est possible de les articuler entre eux (B).
A. Les principes du RGPD face au droit à la preuve
Le droit à la preuve est indispensable pour la protection du justiciable. Pour la CJUE, le principe de « l’égalité des armes » commande que « les parties à une procédure juridictionnelle civile doivent être en mesure d’accéder aux preuves nécessaires » [15].
En revanche, le RGPD fixe des principes encadrant le traitement des données personnelles pour protéger les données personnelles et limitant l’accès aux données. En sa qualité de responsable de traitement, le juge doit les respecter lorsqu’il prend son ordonnance.
En effet, pour le RGPD, les données personnelles doivent :
Il reste également les articles 13 et 14 du RGPD qui imposent l’information de la personne concernée par le traitement. Précisément, l’article 14 énumère les informations à fournir lorsque les données personnelles n’ont pas été collectées auprès de la personne concernée. Ce qui est le cas lors d’une mesure d’instruction in futurum. Ces informations sont notamment l’identité du responsable de traitement, les finalités du traitement, les catégories de données personnelles concernées et ses destinataires de ces données, la durée de conservation de ces données et les droits des personnes concernées (droit d’accès, droit à la rectification ou à l’effacement de ces données, etc.). Il convient en effet d’informer les personnes concernées par la mesure de leur droit, de la finalité de cette mesure, de la durée de conservation de celles-ci qu’il conviendra de définir. Par ailleurs, le traitement doit reposer sur un fondement juridique prévu par le RGPD et limité à ce qui est nécessaire en garantissant la sécurité informatique de celles-ci.
Stricto sensu, ces principes semblent s’opposer directement au droit à la preuve comme prévu par l’article 145 du Code de procédure civile. L’effet de surprise recherché dans certains cas est alors anéanti par l’information préalable. Il convient alors de parvenir à concilier le droit de la preuve avec la protection des données personnelles.
B. Les principes du RGPD conciliés avec le droit de la preuve
Nous avons vu que les juges parviennent à articuler droit de la preuve et droit de la vie privée. Le droit des données personnelles découle de la vie privée, mais reste plus technique.
Tout d’abord, le traitement envisagé doit être licite. C’est-à-dire que l’ordonnance qui sera prise par le juge devra reposer sur un des fondements juridiques prévus par le RGPD. Ce fondement est ce qui autorise la mise en œuvre de la mesure projetée. Parmi les six fondements mentionnés à l’article 6 du RGPD, deux fondements semblent envisageables.
Le premier est l’intérêt légitime. Le cas échéant, le traitement doit être nécessaire à la poursuite d’intérêts légitimes. Ce qui est le cas en l’espèce, car l’article 145 du Code de procédure civile pose comme condition l’existence d’un motif légitime. Le juge doit vérifier qu’il n’existe pas d’autre moyen moins intrusif pour la vie privée pour parvenir à la finalité envisagée. Ensuite, il doit mettre en balance ce traitement, c’est-à-dire la mesure envisagée, et les droits et intérêts des personnes dont les données font l’objet du traitement.
L’autre fondement envisageable est la mission d’intérêt public. Le traitement doit être nécessaire à l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique dont est investi le responsable du traitement. Pour la CJUE, les missions exécutées par les juridictions dans le cadre de leurs fonctions juridictionnelles relèvent de ce fondement juridique [16]. C’est de préférence sur celui-ci qu’il conviendra donc de fonder la mesure.
Si le traitement est licite, il reste à informer les personnes concernées. Ce qui semble impossible sans mettre en péril l’efficacité de la mesure (par exemple, s’il s’agit de saisie de dossiers contenant des preuves chez un tiers à la demande du requérant). Le cas échéant, l’article 14, § 5, b du RGPD pourrait répondre à cette difficulté. Cet article prévoit le cas où la fourniture de telles informations se révèle impossible ou exigerait des efforts disproportionnés, en particulier, où cette obligation est susceptible de rendre impossible ou de compromettre gravement la réalisation des objectifs dudit traitement. Ce qui est le cas des mesures prises dans le cadre de l'article 145 du Code de procédure civile. En pareil cas, précise l’article 14, « le responsable du traitement prend des mesures appropriées pour protéger les droits et libertés ainsi que les intérêts légitimes de la personne concernée ». Il convient alors au juge de prendre des mesures appropriées pour protéger ces droits, ce qui peut être une mesure de séquestre, un accès limité aux données assorti d’une durée de conservation limitée. Précisons également que l’article 14, § 5, c prévoit une autre dérogation qui peut également s’appliquer de façon alternative au point b du même article, dans le cas où « l’obtention ou la communication des informations sont expressément prévues par le droit de l’Union ou le droit de l’État membre auquel le responsable du traitement est soumis et qui prévoit des mesures appropriées visant à protéger les intérêts légitimes de la personne concernée ». Ce qui semble être le cas de l’article 145 du Code de procédure civile.
Dans le cadre du principe de finalité, les données sont collectées pour des finalités déterminées, explicites et légitimes, et ne peuvent pas être traitées ultérieurement d’une manière incompatible avec ces finalités (RGPD, art. 5, 1, b). Mais, lorsque le traitement est effectué à une fin autre que celle pour laquelle ces données ont été collectées, un tel traitement est permis à condition qu’il soit fondé, notamment, sur le droit d’un État membre et qu’il constitue une mesure nécessaire et proportionnée dans une société démocratique. C'est ce que juge la CJUE [17]. Cette finalité recherchée peut être, pour la Cour, la bonne administration de la justice qu’elle rattache à la « protection de l’indépendance de la justice et des procédures judiciaires » prévue par l’article 23, 1, f parmi les limitations aux droits et obligations du RGPD [18]. C’est également le cas pour « l’exécution des demandes de droit civil » [19] rappelle la Cour.
Dans ces conditions, la production en tant qu’élément de preuve d’un document contenant des données à caractère personnel de tiers collectées à d’autres fins est possible. Conformément à l’article 6, § 3, la finalité du traitement est définie par l’État membre. Il s’agit de conserver ou d’établir avant tout procès la preuve de faits dont pourrait dépendre la solution d’un litige telle qu’énoncée par l’article 145 du Code de procédure civile. Le juge doit également tenir compte de l’existence de garanties appropriées, qui peuvent comprendre le chiffrement ou la pseudonymisation [20]. Il doit garantir la protection des données personnelles tant matérielle, comme la sécurité des locaux ou le séquestre, qu’immatérielle, comme la pseudonymisation et le chiffrement [21].
Le cas échéant, le juge doit vérifier si les mesures sont nécessaires et proportionnées auxdits objectifs. Ce qui nuit à la prévisibilité juridique.
II. La prévisibilité juridique affaiblie par la protection des données personnelles
Le demandeur doit démontrer un motif légitime et les mesures envisagées doivent être indispensables à la protection de son droit à la preuve et proportionnées au but poursuivi [22]. Il s’agit alors d’un double contrôle difficile à appréhender : celui de la nécessité (A) et celui de la proportionnalité (B).
A. La limite incertaine de la nécessité
Le principe de minimisation impose que les données collectées soient « adéquates, pertinentes et limitées à ce qui est nécessaire » (RGPD, art. 5, § 1, c).
Saisie d’une demande portant sur des preuves susceptibles de contenir des données personnelles, le juge doit soumettre celle-ci à un premier contrôle. La mesure demandée est-elle nécessaire ? Existe-t-il d’autres mesures moins intrusives dans la vie privée des personnes concernées ?
Pour la Cour de cassation, « le droit à la preuve peut justifier la production d’éléments portant atteinte à la vie personnelle à la condition que cette production soit indispensable à l’exercice de ce droit et que l’atteinte soit proportionnée au but poursuivi »[23]. Le juge saisi d’une communication de pièces doit, tout d’abord, vérifier si cette communication est nécessaire à l’exercice du droit à la preuve affirme la Cour de cassation [24]. Précisément, dans l’arrêt Canal+, la Cour de cassation affirme que la production d’éléments portant atteinte à la vie personnelle doit être indispensable à l’exercice du droit à la preuve [25].
Dans le cadre du contrôle de nécessité, le juge doit vérifier quelles mesures sont indispensables à l’exercice du droit à la preuve [26]. D’autres mesures sont-elles envisageables ? Est-il possible d’entendre des témoins ou de réaliser un audit [27] ?
Le juge doit donc s’assurer qu’il n’existe pas d’autre mesure pour établir la preuve des faits allégués. Cela doit être la seule preuve possible [28]. Comme l’affirme un auteur au sujet des limites imposées au droit de la preuve par celui de la vie privée, cette exigence « permet un juste équilibre entre le droit à la vérité et le droit au respect de la vie privée » [29]. C’est le cas en matière de discrimination, où il a été jugé nécessaire d’avoir accès aux informations d’autres salariés afin d’établir un panel de comparaison pour établir la différence de traitement [30]. Dans ce cas, l’employeur ne peut pas se retrancher derrière l’autorisation de communication des salariés concernés. Cependant, la nécessité de la mesure reste souvent bien discutable ce qui rend son appréciation bien incertaine et peut être source d’une certaine insécurité juridique pour le justiciable.
Ensuite, le juge doit vérifier si cette mesure est proportionnée au but poursuivi [31].
B. La limite incertaine de la proportionnalité
Dans son considérant 4, le RGPD énonce que « le droit à la protection des données à caractère personnel n’est pas un droit absolu ; il doit être considéré par rapport à sa fonction dans la société et être mis en balance avec d’autres droits fondamentaux, conformément au principe de proportionnalité ». Si le traitement déroge au principe de spécialité, il doit constituer « une mesure nécessaire et proportionnée dans une société démocratique » [32].
Le juge doit donc procéder au contrôle de la proportionnalité du traitement. Avant l’entrée en vigueur du RGPD, il a déjà été jugé que des mesures portaient une atteinte disproportionnée au droit au respect de la vie privée « par leur durée et leur ampleur » [33]. La prise en compte de la durée et de l’objet ne pourra qu’être amplifiée avec le RGPD. La Cour a par la suite précisé que « des mesures d’instruction circonscrites dans le temps et dans leur objet et proportionnées à l’objectif poursuivi » sont légalement admissibles [34]. Ce qui est le cas en matière de diffamation pour des mesures d’instruction limitées « aux seuls comptes Twitter ayant rediffusé les messages litigieux provenant d’un compte Twitter qui n’a fonctionné qu’un mois et que ces mesures sont proportionnées au but poursuivi, seuls les noms des utilisateurs de ces comptes devant être communiqués » [35].
Par ailleurs, le juge doit « vérifier quelles mesures sont indispensables à l’exercice du droit à la preuve et proportionnées au but poursuivi, au besoin en cantonnant le périmètre de la production de pièces sollicitée » [36]. Ce dernier point rejoint le principe de minimisation des données.
Dans ces conditions [37], la juridiction doit ordonner « seulement la communication à l’autre partie des données strictement nécessaire à l’exercice de son droit à la preuve ». Pour cette raison, la protection des données personnelles de tiers peut justifier une restriction des éléments transmis, notamment par une anonymisation [38] ou la pseudonymisation [39] des données. Le juge peut également ordonner une divulgation partielle des éléments de preuve objet de la mesure, limiter l’accès au public du dossier et toute autre mesure pour réduire l’atteinte portée à la protection des données [40].
En revanche, dans le cadre de l’article 145, les juges du fonds ont refusé d’ordonner la communication d’informations résultant d’une collecte massive des adresses IP permettant d’identifier de prétendus contrefacteurs [41]. Cette collecte avait été effectuée sans se conformer aux conditions prévues par le RGPD. Une telle demande portait donc une atteinte illégitime et disproportionnée aux droits et libertés fondamentales d’autrui, en l’espèce des prétendus contrefacteurs.
L’appréciation de la proportionnalité reste encore hésitante. La difficulté résulte du peu d'éléments de jurisprudence à cause de la jeunesse de ce contrôle. Il n’existe à ce jour que de peu d’éléments d’appréciation pouvant permettre « d’aiguiller les débats » [42].
*
* *
Le droit des données personnelles vient ainsi bousculer le droit à la preuve. Il apporte des limitations complémentaires aux principes de nécessité et de proportionnalité qui avaient déjà été affirmés sur le fondement de la vie privée. D’une certaine manière, il précise aussi ces principes en les encadrant par de nouveaux principes tels que le principe de minimisation. Il ajoute en principe celui de la durée de conservation de ces données même si ce principe est bien souvent omis par le juge. Toutefois, il apporte une certaine dose d’insécurité juridique par la jeunesse et la souplesse de certains de ses mécanismes.
D’un autre côté, le droit des données personnelles peut servir le droit à la preuve. Il peut renforcer une requête sur l’article 145 du Code de procédure civile, quand une personne exerce son droit d’accès par l’intermédiaire de cette requête. Le responsable de traitement doit informer la personne concernée sur la nature des données collectées et la durée de conservation. L’accès à ces données doit être possible durant cette durée et peut être exercé sous forme de requête en cas de risque dépérissement de la preuve.
| À retenir :
|
[1] DPO : Data Protection Officer ou Délégué à la protection de données.
[2] T. Baudesson, K. Huberfeld et C.-H. Boeringer, Guide pratique des visites inopinées, perquisitions et garde à vue dans l’entreprise, 2e éd., LexisNexis, n° 503.
[3] G. Lardeux, Le droit à la preuve : tentative de systémisation, RTD civ., 2017, p. 1.
[4] RGPD, art. 4,1 N° Lexbase : L0189K8I.
[6] RGPD, art. 4, 2.
[7] L. Pailler, note sous CJUE, 2 mars 2023, RLDI, 1er mai 2023, n° 5.
[8] Loi n° 78-17, du 6 janvier 1978, relative à l'informatique, aux fichiers et aux libertés N° Lexbase : L8794AGS.
[9] Règlement (UE) n° 2016/679 du Parlement européen et du Conseil, du 27 avril 2016, relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la Directive 95/46/CE N° Lexbase : L0189K8I. Il conviendrait d’évoquer à chaque fois la loi dite « informatique et libertés », mais par simplification nous évoquerons seulement le RGPD.
[10] Cass. soc., 2 octobre 2001, n° 99-42.942, publié au bulletin N° Lexbase : A1200AWD ; J. Hauser, RTD civ., 2002, p. 72 ; P.-Y. Gautier, D., 2001, p. 3148. Si l'employeur, qui a des raisons légitimes et sérieuses de craindre que l'ordinateur mis à la disposition d’un salarié avait été utilisé pour favoriser des actes litigieux, peut demander, dans le cadre de l’article 145 du Code de procédure civile N° Lexbase : L1497H49, à un huissier de justice de prendre copie, en présence du salarié ou celui-ci dûment appelé, et ce, dans les conditions définies par l’ordonnance du juge (Cass. soc., 23 mai 2007, n° 05-17.818, FS-P+B+R+I N° Lexbase : A3963DWP ; Cass. soc., 10 juin 2008, n° 06-19.229, FS-P+B N° Lexbase : A0524D9B).
[11] Cass. soc., 18 octobre 2006, n° 04-48.025, F-P+B N° Lexbase : A9621DRR.
[12] Cass. soc., 5 avril 2012, n° 11-14.177, F-P+B+I N° Lexbase : A1166IIZ.
[13] RGPD, cons. 4.
[14] Ibid.
[15] CJUE, 2 mars 2023, aff. C-268/21, Norra Stockholm Bygg AB c. Per Nycander AB N° Lexbase : A28209GK.
[16] CJUE, 2 mars 2023, préc., spéc. § 32.
[17] CJUE, 2 mars 2023, préc., spéc. § 33.
[18] CJUE, 2 mars 2023, préc., spéc. § 38.
[19] RGPD, art. 23, 1, f.
[20] RGPD, art. 6, § 4, e.
[21] RGPD, art. 32.
[22] Cass. soc., 16 mars 2021, n° 19-21.063, F-P N° Lexbase : A88364LT ; P. Adam, Dr. soc., 2021, p. 645.
[23] Cass. soc., 22 septembre 2021, n° 19-26.144, F-B N° Lexbase : A135947H ; H. Barbier, RTD civ., 2021, p. 887.
[24] Cass. soc., 8 mars 2023, n° 21-12.492, FS-B N° Lexbase : A08929HI ; J. Klein, RTD civ., 2023, p. 444.
[25] Cass. soc., 22 septembre 2021, préc.
[26] Cass. soc., 22 septembre 2021, préc.
[27] J. Wathelet, note CJUE, 2 mars 2023, aff. C-268/21, Norra Stockholm Bygg AB c. Per Nycander AB N° Lexbase : A28209GK. Comp. Cass. soc., 8 mars 2023, n° 21-17.802, FS-B N° Lexbase : A92179GH.
[28] G. Lardeux, Le droit à la preuve : tentative de systémisation, RTD civ., 2017, spéc. p. 4.
[29] Ibid.
[30] Cass. soc., 16 mars 2021, préc.
[31] Cass. soc., 8 mars 2023, préc.
[32] RGPD, art. 23 ; Adde. J. Wathelet, note sous CJUE, 2 mars 2023, aff. C-268/21, Norra Stockholm Bygg AB c. Per Nycander AB N° Lexbase : A28209GK.
[33] Cass. civ. 1, 25 février 2016, n° 15-12.403, FS-P+B+I N° Lexbase : A1656QDP ; J. Hauser, RTD civ., 2016, p. 320.
[34] Cass. civ. 2, 24 mars 2022, n° 21-12.631, FS-D N° Lexbase : A49337R7.
[35] Cass. civ. 2, 24 mars 2022, préc.
[36] Cass. soc., 8 mars 2023, n° 21-12.492, FS-B N° Lexbase : A08929HI. Rappr. Cass. soc., 22 septembre 2021, n° 19-26.144, F-B N° Lexbase : A135947H, même principe mais rendu sur le fondement de l’article 9 du Code de procédure civile N° Lexbase : L1123H4D sans référence au RGPD.
[37] L. Pailler, note sous CJUE, 2 mars 2023, RLDI, 1er mai 2023, n° 13.
[38] Selon la Cnil, l’anonymisation rend impossible l’identification d’une personne à partir d’un jeu de données.
[39] Selon la Cnil, la pseudonymisation est un traitement de données personnelles réalisé de manière qu'on ne puisse plus attribuer les données relatives à une personne physique sans information supplémentaire.
[40] L. Pailler, loc. cit.
[41] TGI Paris, ord., 2 août 2019, n° 19/53997 N° Lexbase : A0262Z34 ; A. Dansi-Fâtome, CCE, 2019, comm. 79, note.
[42] A. Fabre, On veut les noms ! Nouvelles conquêtes du droit à la preuve, Sem. soc. Lamy, 11 septembre 2023.
© Reproduction interdite, sauf autorisation écrite préalable
newsid:487629
Parcours utilisateur
Lexbase, via la solution Salesforce, utilisée uniquement pour des besoins internes, peut être amené à suivre une partie du parcours utilisateur afin d’améliorer l’expérience utilisateur et l’éventuelle relation commerciale. Il s’agit d’information uniquement dédiée à l’usage de Lexbase et elles ne sont communiquées à aucun tiers, autre que Salesforce qui s’est engagée à ne pas utiliser lesdites données.
Données analytiques
Nous attachons la plus grande importance au confort d'utilisation de notre site. Des informations essentielles fournies par Google Tag Manager comme le temps de lecture d'une revue, la facilité d'accès aux textes de loi ou encore la robustesse de nos readers nous permettent d'améliorer quotidiennement votre expérience utilisateur. Ces données sont exclusivement à usage interne.