Anonymisation de la jurisprudence : la CNIL se réveille ... à moitié

Mercredi 12 octobre 2011

La CNIL vient récemment de condamner à 10 000 euros d’amende le site Lexeek pour non-anonymisation malgré ses mises en demeure répétées.

L’anonymisation des décisions de justice est un sujet sur lequel beaucoup d’encre coula, sur la liste Juriconnexion et sur ce blog [1].

Pourquoi faut il les anonymiser, me direz vous ? Application de l’article 7 de la loi Informatique et libertés.

Qu’est ce qu’on doit anonymiser ? On doit retirer les noms des parties personnes physiques et autres éléments permettant leur identification (adresse, etc.).

Qu’anonymisait-on déjà ? Les décisions en matière pénale (crimes et délits : meurtres, vols, enlèvements, menaces réitérées, etc.). Ca, c’est dans le Code de procédure pénale.

Mais pourquoi, souvent, ne le sont elles pas (anonymisées) (les décisions de justice) ? Bonne question, je vous remercie de l’avoir posée.

Parce que l’organisme chargé de s’occuper de ça est ... disons, débordé ? La CNIL a quand même mis trois ans avant de passer à la condamnation pour Lexeek, c’est sa décision elle-même qui le précise.

Le fondement de cette condamnation ? L’article 7 de la loi Informatique et libertés certes, mais aussi la recommandation de la CNIL de 2001 sur la diffusion de données personnelles sur internet par les banques de données de jurisprudence [2]. Selon le communiqué CNIL du 10 octobre [3] :

« Celle-ci préconise que les éditeurs de bases de données de décisions de justice librement accessibles s’abstiennent d’y faire figurer le nom et l’adresse des parties ou témoins au procès, quels que soient l’ordre et le degré de juridiction ainsi que la nature du contentieux. Cette décision de sanction traduit la ferme volonté de la CNIL de faire respecter cette recommandation protectrice de la vie privée des personnes et de garantir un véritable droit à l’oubli sur internet. »

Et les bases de données payantes ? Eh bien, si on interprète a contrario la recommandation de la CNIL, elles ne sont pas concernées par le droit à l’oubli [4].

Pourtant, le 19 janvier 2006, la CNIL adoptait un document intitulé Bilan de l’application de la recommandation de la CNIL du 29 novembre 2001 sur la diffusion de données personnelles sur Internet par les banques de données de jurisprudence qui englobe expressément les banques de données de jurisprudence à accès restreint dans le champ d’application de l’article 7 de la loi. Mais ce document n’est pas une recommandation CNIL, il n’en a pas le statut ...

Voici ce que la CNIL y disait :

« L’article 7 de la loi modifiée [par la loi n° 2004-801 du 6 août 2004, loi transposant la directive de 1995 sur la protection des personnes physiques à l’égard du traitement des données à caractère personnel] prévoit en principe qu’un traitement de données à caractère personnel doit avoir reçu le consentement de la personne concernée ou satisfaire à l’une des conditions posées par cette disposition.
Ainsi, l’article 7 3° ne fait pas obstacle à la constitution, sous une forme nominative, de bases de données de jurisprudence par les juridictions ayant prononcé les décisions pour un usage strictement interne dans la mesure où elle s’inscrit dans le cadre d’une mission de service public.
La Commission estime en revanche que la diffusion en accès restreint sur internet ou sur CDRoms de bases de données jurisprudentielles, si elle répond à un intérêt légitime des responsables de ces traitements, est toutefois de nature à méconnaître les droits et libertés fondamentaux de la personne concernée.
Dès lors, au regard de la nature particulière des informations contenues dans les bases de données jurisprudentielles, la Commission considère que l’exception posée par l’article 7-5° de la loi ne saurait s’appliquer en l’espèce. »

La Commission d’accès aux documents administratifs (CADA) a récemment rendu un avis dans lequel elle estime que c’est aux juridictions d’anonymiser, à la source, leurs décisions. Ce qui n’est toujours pas fait et laisserait de toute façon entier le problème du stock dans les banques de données de jurisprudence payantes des éditeurs.

Mais au niveau européen et constitutionnel, la CEDH et le Conseil constitutionnel pourraient ne pas être du même avis que la CNIL.

On ne peut que souhaiter que le problème soit porté et tranché à ce niveau. Et s’il ne l’est pas, que la loi s’applique sans distinction puisqu’elle ne distingue pas [5].

Notes de bas de page

[1Voir le mot-clé ("tag") anonymisation sur ce blog.

[2Délibération CNIL n° 01-057 du 29 novembre 2001.

[5Ubi lex non distinguit, nec nos distinguere debemus. Là où la loi ne distingue pas, nous non plus ne devons pas distinguer. Cet adage fait partie d’un ensemble d’adages souvent d’origine latine applicables en droit français.

Répondre à cette brève