|
Village de la Justice www.village-justice.com |
|
Secret, confidentialité et contrôle de la protection des données personnelles. Par Laurent-Fabrice Zengue, Juriste.
|
|
Parution : mercredi 11 octobre 2023
Adresse de l'article original :
https://www.village-justice.com/articles/secret-confidentialite-controle-protection-des-donnees-personnelles,47483.html Reproduction interdite sans autorisation de l'auteur. |
Dans le cadre du contrôle effectué par une autorité nationale de protection des données à caractère personnel, les questions relatives au secret et à la confidentialité concernent tous les acteurs qui interviennent aussi bien du côté du responsable du traitement que de celui de l’autorité de contrôle. L’on est soumis au secret ou à la confidentialité par état, par profession, par fonction ou par mission. Ce qui englobe aussi bien des cas encadrés légalement ou conventionnellement que des situations de fait.
En tout état de cause, c’est la nature des missions qui détermine le type de secret dont on peut se prévaloir. Ainsi, l’on peut être en présence de plusieurs types d’obligation de secret et de confidentialité - secret professionnel, secret médical, secret des sources des traitements journalistiques, secret des affaires, etc - qui diffèrent par leurs natures, leurs fondements divers, leurs régimes et leurs sanctions respectives.
La notion de secret ou de confidentialité est assez protéiforme. Il en existe donc différentes définitions qui reflètent les situations auxquelles l’obligation de secret ou de confidentialité peut s’appliquer. Il en est de même des fondements. Nous avons retenu ici le secret professionnel, le secret des affaires, le secret des sources journalistiques et le secret médical. Quant à la clause de secret ou de confidentialité, elle peut-être soit bilatérale lorsque l’obligation y afférente s’applique aux parties mutuellement, soit unilatérale dans le cas où ladite obligation ne s’applique qu’à l’une seule des parties.
1. La définition de l’obligation de secret professionnel.
Le secret professionnel est
« l’obligation (…) imposant à certains professionnels de taire les informations, à caractère secret, dont ils sont dépositaires, soit par état ou par profession, soit en raison d’une fonction ou d’une mission temporaire ».
Pour le cas spécifique des agents publics, de manière générale, il existe l’obligation de discrétion professionnelle - c’est-à-dire l’obligation de ne pas divulguer les informations concernant l’activité, les missions et le fonctionnement de son administration, ainsi que le devoir de réserve traduit par l’obligation faite à tout agent public de faire preuve de réserve et de retenue dans l’expression écrite et orale de ses opinions personnelles.
2. Les définitions spécifiques des obligations de secret et de confidentialité.
L’obligation relative au secret des affaires concerne les « informations secrètes, en ce qu’elles ne sont pas généralement connues des gens du métier, ayant une valeur commerciale et faisant l’objet de dispositions raisonnables, de la part de leur détenteur, pour les garder confidentielles ». Le secret des affaires connaît les limites ci-après [2] : le droit à la liberté d’expression et de communication, notamment de la presse ; le droit à l’information et à la consultation des salariés ou de leurs représentants ; le droit des lanceurs d’alerte de révéler de bonne foi une faute, un comportement répréhensible ou une activité illégale afin de protéger l’intérêt général ; la protection d’un intérêt légitime reconnu par le droit de l’Union européenne ou le droit national tel que l’ordre public, la sécurité publique, ou la santé publique) ; et, l’exercice des pouvoirs d’enquête, de contrôle, d’autorisation ou de sanction des autorités juridictionnelles ou administratives.
L’obligation du secret des sources des traitements journalistiques est le « droit pour tout journaliste de ne pas révéler l’origine des informations qu’il a recueillies dans l’exercice de son activité ». Peut bénéficier des prérogatives du secret des sources des traitements journalistiques, « toute personne qui, exerçant sa profession dans une ou plusieurs entreprises de presse, de communication au public en ligne, de communication audiovisuelle ou une ou plusieurs agences de presse, y pratique, à titre régulier et rétribué, le recueil d’informations et leur diffusion au public » [3]. Il peut être porté atteinte directement ou indirectement au secret des sources sous deux conditions : un impératif prépondérant d’intérêt public le justifie, et les mesures envisagées sont strictement nécessaires et proportionnées au but légitime poursuivi.
L’obligation du secret médical est celle qui « couvre tout ce qui est venu à la connaissance du médecin dans l’exercice de sa profession, c’est-à-dire non seulement ce qui lui a été confié, mais aussi ce qu’il a vu, entendu ou compris » [4]. le secret médical s’étend à la médecine préventive, la recherche médicale, le diagnostic médical, l’administration de soins, la gestion de service de santé. Il peut, exceptionnellement, être levé par un médecin et sous sa responsabilité, au profit de la famille, d’un proche, d’une personne de confiance du malade ou un ayant droit, dans les cas de diagnostic ou de pronostic grave, afin de soutenir le malade, permettre de connaître les causes de la mort, défendre la mémoire du défunt ou faire valoir leurs droits, à condition que ce dernier ne s’y oppose pas ou ne s’y est pas opposé. Il peut aussi y avoir dérogation au secret médical en matière de santé publique pour les cas ci-après : état de santé des personnes, déclaration des maladies professionnelles, accidents du travail, maladies contagieuses, établissement de certains certificats médicaux. Enfin, la dérogation du secret médical est aussi autorisée pour la déclaration des faits pouvant entraîner des conséquences graves pour certaines personnes vulnérables.
L’obligation du secret professionnel de l’avocat est définie comme
« un devoir pour tout avocat, qui en le respectant, garantit à tout citoyen l’absence d’ingérence des pouvoirs publics dans sa défense et ce quoi qu’il ait pu faire [5]. Le secret professionnel de l’avocat a pour utilité de protéger l’échange libre entre une personne et son avocat, amené à le défendre et à le conseiller. A titre exceptionnel, ne sont pas couvertes par le secret professionnel de l’avocat envers son client, les correspondances équivalentes à un acte de procédure ; les correspondances ne faisant référence à aucun écrit, propos ou élément antérieur confidentiel, portant la mention officielle ».
De même, l’avocat ne viole pas son secret professionnel lorsqu’il effectue une divulgation pour les strictes exigences de sa propre défense devant toute juridiction [6], ou lorsqu’il dénonce un client ou futur client s’il a un soupçon quant à l’origine des fonds de ce dernier, notamment dans le cadre de la lutte contre le terrorisme et en particulier contre le blanchiment de capitaux [7]. Enfin, en matière fiscale, l’avocat peut être tenu de communiquer certains renseignements ou documents [8].
Nous pouvons aussi faire cas de l’obligation générale de sécurité et de confidentialité qui est celle qui oblige le responsable du traitement et le sous-traitant à mettre en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque de violation des données par indisponibilité, endommagement, divulgation ou accession non-autorisée ou illicite.
Les obligations de secret ou de confidentialité peuvent avoir plusieurs des fondements de nature légale, réglementaire, jurisprudentielle, conventionnelle ou délictuelle.
1. Les obligations de secret et de confidentialité à fondements légaux.
Le secret des affaires a pour fondement la législation communautaire européenne [9] et la législation nationale [10], et trouve son application dans le domaine de la concurrence déloyale et la protection de la propriété intellectuelle, notamment en ce qui concerne la protection du patrimoine informationnel de l’organisation constitué par les bases de données [11]. L’article L112-3 du Code français de la propriété intellectuelle, quant à lui, définit la base de données comme « un recueil d’œuvres, de données ou d’autres éléments indépendants, disposés de manière systématique ou méthodique, et individuellement accessibles par des moyens électroniques ou par tout autre ». Au niveau de ses composantes, une base de données est faite de deux types d’éléments : les données brutes qui constituent le contenu de la base, et l’architecture de la base, c’est-à-dire la manière dont les données sont organisées et enrichies. C’est cette architecture de la base des données qui est susceptible d’être protégé par le secret des affaires, en raison du droit d’auteur (Lire aussi à ce sujet Contentieux international des atteintes aux bases de données numériques : compétences juridictionnelle et matérielle).
Le secret des sources est régi, originellement, par la loi de 1881 à laquelle s’est ajouté le Code de procédure pénale, le Code du travail pour des besoins de qualification des journalistes et la jurisprudence de la CEDH [12]. Le secret professionnel, quant à lui, trouve son fondement dans le cadre de la profession d’avocat [13], et de manière plus large dans le Code pénal [14]. Le secret médical est une variante du secret professionnel dont les fondements sont le Code pénal et le Code de la santé publique [15].
L’obligation de sécurité et de confidentialité en vue de l’évitement des risques d’indisponibilité, d’endommagement des données repose sur le règlement général sur la protection des données à caractère personnel [16].
2. Les obligations de secret et de confidentialité à fondement conventionnel.
Dans la plupart des cas, le contrat est le fondement courant du secret professionnel, notamment dans le cadre de la clause de confidentialité. Néanmoins, on peut avoir des cas où des clauses contractuelles s’ajoutent aux dispositions légales ou réglementaires, pour mieux organiser les contours de l’obligation de confidentialité.
En revanche, les règles de la responsabilité délictuelle peuvent aussi servir de fondement à l’obligation de confidentialité et de secret.
En abordant la question des régimes et des sanctions de la violation du secret à l’occasion des contrôles de l’autorité de protection des données à caractère personnel, il est à relever qu’en principe, il existe deux catégories de régimes qui influent sur les types de sanctions possibles.
Les opérations réalisées par les autorités de contrôle de la protection des données à caractère personnel relèvent de deux régimes de confidentialité : la confidentialité concernant l’obligation de sécurité des données, d’une part, et la confidentialité concernant l’obligation de secret professionnel proprement dit, d’autre part.
1. Le régime de la confidentialité relatif aux obligations de sécurité des données personnelles.
Le régime relatif à la sécurité des données à caractère personnel est régi par le RGPD. Cette obligation comprend, notamment l’évitement de la destruction, de la perte, de l’altération, de la divulgation non autorisée de données à caractère personnel traitées, y compris de manière accidentelle ou illicite. Cela concerne les acteurs du traitement, notamment le responsable du traitement, le responsable du traitement conjoint, le responsable du traitement disjoint, le représentant du responsable du traitement, le sous-traitant, le destinataire, etc, y compris dans le cadre des transferts internationaux de données à caractère personnel.
2. Le régime de la confidentialité relatif à l’obligation de secret professionnel.
L’on peut avoir deux types de régimes du secret relatif à l’obligation professionnelle : le secret professionnel général et le secret professionnel spécial. Premièrement, le régime du secret professionnel général. Il concerne tous ceux qui exercent en qualité d’employés, que ce soit un emploi salarié ou pas. Ce secret est organisé par la clause de confidentialité généralement contenue dans les contrats de travail et de prestation de service. Ladite confidentialité est aussi appelée devoir de réserve ou de discrétion, et s’impose à tous les acteurs, notamment les membres des autorités de contrôle de la protection des données, le Data protection officer, les employés, ainsi que tous les autres acteurs.
En second lieu, il y a le régime du secret professionnel spécial. Il s’agit du secret des affaires, du secret médical, du secret des sources des traitements journalistiques, du secret professionnel de l’avocat. Ces régimes de confidentialité sont organisés par la loi, mais ils peuvent aussi faire l’objet de clauses complémentaires. On pourrait aussi la qualifier d’obligation de confidentialité ou de secret professionnel renforcé(e).
3. Les cas d’agrégation des catégories d’obligation de secret ou de confidentialité.
Certaines obligations de secret et de confidentialité peuvent s’agréger tandis que d’autres ne le peuvent pas.
Il est opportun de faire observer, de prime abord, que toute personne bénéficiaire des prérogatives du secret professionnel, du secret des affaires, du secret médical ou du secret des sources est tenue au respect de l’obligation de sécurité et de confidentialité dans tous les cas où elle aurait la qualité de responsable du traitement ou de sous-traitant au sens des dispositions légales ou réglementaires ou de l’analyse in concreto des missions à l’égard des activités de traitement des données à caractère personnel.
En outre, toute personne peut être soumise au secret professionnel général et/ou au secret des affaires. Mais, le secret médical, le secret des sources des traitements journalistiques et le secret professionnel de l’avocat ne peuvent bénéficier respectivement qu’au personnel médical, au journaliste et à l’avocat, agissant ès qualités.
Le cas particulier de l’accumulation de la qualité de la personne avec celle de Data protection officer est singulier parce qu’il pose le problème de la compatibilité des obligations de secret et de confidentialité. Nous avons d’abord le cas particulier de l’avocat Data protection officer. Le secret professionnel de l’avocat, à l’égard de son client, ne s’applique qu’à la procédure juridictionnelle, notamment lorsqu’il assiste le responsable du traitement ou le sous-traitant auprès d’une autorité de contrôle de la protection des données à caractère personnel [17].
Mais, autrement, il ne s’agirait que d’une simple obligation de confidentialité générale entre l’employé et son employeur. En tout état de cause, l’avocat Data protection officer s’aliène les prérogatives du secret professionnel de l’avocat envers son client et ne pourra se prévaloir que du secret professionnel général [18].
En second lieu, il y a les cas de médecin ou journaliste ayant aussi la fonction de Data protection officer. De prime abord, rien ne semble l’interdire dès lors qu’il n’existe pas de conflit d’intérêts relatifs à l’exercice de la fonction de Data protection officer.
Le délégué à la protection des données bénéficie d’une certaine indépendance envers le responsable du traitement auprès duquel il exerce [19]. A ce titre, il est soumis au secret professionnel général, mais pas à l’obligation de sécurité des données à caractère personnel. En revanche, il pourrait être contraint à la clause du secret des affaires car, cette dernière résulte de l’agencement de base des données qui relève du droit d’auteur, puisqu’il peut y avoir accès dans le cadre de la mise en place des outils de la conformité tels que le registre des activités de traitement, d’où la nécessité de le soumettre aussi à l’obligation du secret des affaires, le cas échéant.
Pour ce qui est du cas d’un lanceur d’alerte professionnelle, ce dernier est confronté à une double problématique. Premièrement, il y a la problématique de la protection des données à caractère personnel du lanceur d’alerte professionnelle des données à caractère personnel. Cette question trouve sa réponse dans le cadre de l’obligation de sécurité, avec ses trois axes, ci-après, imposée au responsable du traitement et/ou au sous-traitant : la protection de l’intégrité, de la disponibilité et de la confidentialité des données à caractère personnel. La seconde problématique est celle du sort de l’obligation de secret et de confidentialité qui pourrait lier le lanceur d’alerte professionnelle. Sur ce point, le lanceur d’alerte professionnelle est civilement et pénalement irresponsable dans le cas où il divulgue des informations relevant de son obligation de secret et/ou de confidentialité. En revanche, ladite divulgation doit remplir deux conditions, pour ne pas tomber sous le coup de la loi : elle doit être nécessaire et proportionnée à la sauvegarde des intérêts en cause, d’une part, et elle doit avoir été faite conformément aux dispositions procédurales légales de signalement, d’autre part [20].
Les sanctions au titre de la violation de la confidentialité sont de deux ordres. Il y a les sanctions au titre du RGPD et les sanctions au titre d’autres domaines du droit.
Quel que soit leur fondement, les sanctions peuvent être civiles, administratives, pénales, ou commerciales.
1. Les sanctions communes à toutes les violations du secret des données personnelles.
Les sanctions civiles, commerciales, disciplinaires et administratives communes du non-respect des obligations de secret et de confidentialité des données à caractère personnel peuvent être celles ci-après : indemnisation du préjudice moral et/ou matériel, cessation et/ou interdiction de l’atteinte constatée, destruction totale ou partielle des informations, publicité de la sanction, restriction de l’accès aux informations, résiliation, résolution ou annulation contractuelle, sanctions disciplinaires, etc.
Sur le plan pénal de manière générale, des amendes et des peines privatives de liberté peuvent être infligées, au titre de traitement de données à caractère personnel, par un moyen frauduleux, déloyal ou illicite, notamment une peine d’emprisonnement de 5 ans et une amende de 300 000 euros [21].
2. Les sanctions spécifiques aux violations de certaines obligations de confidentialité.
Au titre du RGPD, le non-respect de l’obligation de sécurité et de confidentialité entraîne, de manière générale, des sanctions non pécuniaires et des amendes administratives de la fourchette basse [22]. En ce qui concerne le secret professionnel du salarié, sa violation est sanctionnée par une condamnation de 2 ans d’emprisonnement et 30 000 euros d’amende [23]. La violation du secret médical, quant à elle, entraîne 1 an d’emprisonnement et 15 000 euros d’amende [24]. Quant au secret des affaires, les condamnations sont possibles à divers titres : 7 ans d’emprisonnement et 1 500 000 euros d’amendes [25], 5 ans d’emprisonnement ou 375 000 euros d’amende [26], 3 ans d’emprisonnement et 45 000 euros d’amende, 5 ans d’emprisonnement et 150 000 euros d’amende [27]. Les faits constitutifs d’infraction ou de faute civile peuvent être le vol et/ou le recel de données, l’intrusion dans un système informatisé de données, l’abus de confiance, etc.
Ce qu’il faut retenir.
Dans le cadre de la protection des données à caractère personnel, l’obligation de secret et de confidentialité, concerne aussi bien les personnes, le contenu que les caractéristiques du support d’informations. La problématique du secret et de la confidentialité en fait ressortir plusieurs types, qui sont en réalité des variantes du secret professionnel, dont les différents aspects s’avèrent d’une délicatesse évidente.
En raison des frontières parfois difficilement délimitables des spécificités de la confidentialité, le Data Protection Officer pourrait être mis à contribution pour mettre en place une politique de confidentialité et de secret adaptée.
Laurent-Fabrice Zengue Data Privacy Manager, spécialiste de la protection des données personnelles Arbitre/Expert international, Chambre de Médiation, de Conciliation et d'Arbitrage d'Occitanie à Toulouse Diplômé de l'Université Paris 1 Panthéon-Sorbonne Diplômé de l'Université Toulouse 1 Capitole [->laurentfabricezengue@gmail.com][1] Guinchard (Serge) et Debard (Thierry) (sous la direction de), Lexique des termes juridiques 29ème édition 2021-2022, 2021, Dalloz. Les types de secret y sont définis : secret des affaires, le secret des sources, le secret médical, le secret professionnel.
[2] Articles L151-7, L151-8 et L151-9 du Code de commerce.
[3] Article L7111-3 du Code du travail.
[4] Article 4 du Code de déontologie médicale.
[5] Conseil National des Barreaux.
[6] Article 4 du Décret du 12 juillet 2005 et article 2 du Règlement intérieur national de la profession d’avocat.
[7] Directive anti-blanchiment n°2005/60/CE du 26 octobre 2005, transposée en droit interne français par l’ordonnance n° 2009-104 du 30 janvier 2009.
[8] Article L98 du Code général des impôts.
[9] Directive (UE) 2016/943 du Parlement européen et du Conseil du 8 juin 2016 sur la protection des savoir-faire et des informations commerciales non divulgués (secrets d’affaires) contre l’obtention, l’utilisation et la divulgation illicites.
[10] Article L151-1 du Code de commerce.
[11] Le Traité de l’Organisation mondiale de la propriété intellectuelle (OMPI) du 20 décembre 1996, dans son article 5, définit la base de données comme « la compilation de données ou d’autres éléments, sous quelque forme que ce soit ».
[12] La question du secret des sources est traitée dans l’article 2 de la loi du 29 juillet 1881 sur la liberté de la presse, les articles 56-2, 100-5 et 437 du Code de procédure pénale, l’article L7111-3 du Code du travail, et l’Arrêt 11.7.2002, Christine Goodwin c. Royaume-Uni (GC) - 28957/95.
[13] Article 66-5 de la Loi n° 71-1130 du 31 décembre 1971 portant réforme de certaines professions judiciaires et juridiques.
[14] Article 226-13 du Code pénal.
[15] Article R4127-4 - Code de la santé publique.
[16] Article 32 du Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (RGPD).
[17] Pour le cas de la France, le Conseil d’Etat français juge que la formation restreinte de la Commission Nationale d’Informatique et des Libertés, autorité de contrôle française, peut être qualifiée de tribunal au sens de l’article 6-1 de la Convention européenne de sauvegarde des droits de l’homme et des libertés fondamentales, eu égard à sa nature, sa composition et ses attributions, que la procédure devant ladite formation restreinte respecte les principes du procès équitable, notamment les droits de la défense, la procédure contradictoire, que le responsable de traitement a le droit d’être représenté par un avocat, et qu’une voie de recours devant le conseil est prévue (CE, Ord. Réf., 19 février 2008, req. N°311974, Société Profil France : dans cette décision).
[18] L’article 6.3.3 du Règlement Intérieur National de la profession d’avocat précise, à ce titre, ce qui suit : « l’avocat Délégué à la Protection des Données doit refuser de représenter toute personne ou organisme pour lesquels il exerce ou a exercé la mission de correspondant à la protection des données à caractère personnel (CIL) ou de Délégué à la Protection des Données dans le cadre de procédures administratives ou judiciaires mettant en cause le responsable des traitements ».
[19] L’article 38 du RGPD précise les garanties d’indépendance qui doivent caractériser la fonction de délégué à la protection des données et rappelle son rôle d’intermédiaire.
[20] Article 122-9 du Code pénal.
[21] Article 226-18 du Code pénal.
[22] L’article 83-4.a du RGPD prévoit la sanction de l’ordre de 10 millions d’euros ou 2% du chiffre d’affaires annuel mondial total, le montant le plus élevé, entre le pourcentage et la valeur réelle, étant retenu.
[23] Article L1227-1 du Code du travail.
[24] Article 226-13 et 226-14 du Code pénal.
[25] Article 314-3 du Code pénal.
[26] Article 314 du Code pénal.
[27] Article 323-3 du Code pénal.