Appuyez sur Entrée pour voir vos résultats ou Echap pour annuler.

  0 commentaire
Bases de données de jurisprudence

Anonymisation des décisions de justice en ligne : la position de la CNIL de 2006
Les éditeurs privés aussi bien que Legifrance devraient à terme retirer tous les noms de parties

[Mise à jour au 30 mai 2008 :

  • Legifrance, après des années passées à ne rien faire d’autre que d’anonymiser à partir de 2002, a anonymisé d’un coup tout le stock d’avant 2002 à l’occasion de la sortie de sa version 2008, début janvier. Techniquement, c’est souvent mal fait [1], mais au moins se sont ils mis en règle
  • on ne peut pas en dire autant des éditeurs juridiques que sont Wolters Kluwer, LexisNexis et Lexbase. Leurs bases de données ne respectent toujours pas la position de la CNIL décrite dans cet article et, devrions nous dire, la loi, car comme nous l’expliquons infra, il n’y a pas lieu de distinguer là où la loi ne distingue pas
  • quant aux sites web gratuits, alors que ni la loi ni les diverses positions de la CNIL ne les y obligent en aucune manière, ils sont l’objet de demandes répétées d’anonymisation de la part de parties personnes morales ayant perdu un procès [2].

Mise à jour au 1er décembre 2016 :

  • 10 ans après, par l’entremise de la mise en ligne du Guide de citation des références juridiques, le groupe Droit du Syndicat national de l’édition (SNE) précise : « Depuis le 19 janvier 2006, la CNIL a adopté une nouvelle position et recommande de ne plus distinguer selon que l’accès aux bases de données est gratuit ou réservé. Il est ainsi recommandé d’anonymiser toutes les décisions de droit interne. » [3]
  • par ailleurs, les éditeurs juridiques précités ont fait d’indéniables mais inégaux efforts, depuis 2006, pour pseudonymiser (le nouveau terme à utiliser avec le RGPD qui vient) leur stock de décisions de justice

Mise à jour au 28 juillet 2017 : depuis la publication du règlement (européen) général de protection des données (RGPD), qui sera applicable en mai 2018, le terme anonymisation a un sens beaucoup plus fort : il désigne désormais une quasi-impossibilité de réidentifier les personnes physiques [4]. Anonymisation dans son sens ancien est remplacé par le terme pseudonymisation. Le RGPD exige, pour ne pas appliquer toute la rigueur du droit des données personnelles (et notamment la nécessité de recueillir le consentement de toutes les personnes traitées dans la base de données), que la base soit anonymisée au sens fort où, en l’état actuel de l’art, la ré-identification est quasiment (mais pas totalement impossible). Mais d’une part, des exceptions existent pour les traitements de données obligatoires selon une loi et d’autre part, des dispositions du RGPD permettent une interprétation moins exigeante. En pratique, donc, les pratiques de pseudonymisation anciennes continuent.

Mise à jour au 7 septembre 2019 : l’article 33 de la loi n° 2019-222 du 23 mars 2019 de programmation 2018-2022 et de réforme pour la justice (JORF n° 71 du 24 mars 2019 texte n° 2) marque cette fois dans le marbre de la loi (et non dans une position de la CNIL, simple recommandation comme le Conseil d’Etat ne manque pas de le rappeler indirectement de temps à autre) l’exigence de retirer les noms de personnes physiques parties des bases de données mais aussi ceux des tiers (membres des forces de l’ordre, par exemple). Elle y ajoute ceux des magistrats et greffiers et, en cas de risque pour la sécurité ou la vie privée de toutes ces personnes (parties, tiers, juges, greffiers), « tout élément permettant de [les] identifier ».

Mise à jour au 1er octobre 2019 : pour une mise à jour plus complète sur le sujet, lire notre billet Anonymisation des décisions de justice : le point sur les dernières évolutions et leurs finalités, qui de facto prend la place de celui-ci.]

La Commission nationale de l’informatique et des libertés (CNIL), le 19 janvier 2006, s’est prononcée en faveur d’un renforcement de l’anonymisation des décisions de justice via de nouvelles dispositions législatives [5].

C’est ce qui résulte d’un document adopté par la CNIL le 19 janvier 2006 : Bilan de l’application de la recommandation de la CNIL du 29 novembre 2001 sur la diffusion de données personnelles sur Internet par les banques de données de jurisprudence.

L’essentiel

Voici l’essentiel de ce que nous apprend ce document :

  • les décisions reproduites ou publiées au format papier peuvent évidemment rester nominatives
  • des logiciels d’anonymisation efficaces existent [Ils existent en fait depuis longtemps, en tout cas depuis au moins 2004 [6].]
  • les bases de données de jurisprudence et les plateformes des éditeurs juridiques privés devraient anonymiser non seulement les adresses des parties, mais aussi leurs noms. La CNIL constate toutefois qu’« en ce qui concerne les bases de données de jurisprudence en accès restreint, [...] l’anonymisation des décisions [...] en matière pénale est [déjà] la règle et l’adresse des parties est généralement supprimée »
  • on apprend incidemment que le stock de Legifrance (i.e. avant juillet 2002), après des problèmes de faisabilité et de coût, devrait être anonymisé à partir de « 2008, date à laquelle le système informatique des Journaux officiels permettra une accélération du processus d’anonymisation » (selon le document).

Les deux derniers paragraphes de la conclusion parlent d’eux-mêmes :

  • [Sur les bases de données de jurisprudence des éditeurs : ] « La Commission relève l’évolution du cadre juridique applicable aux bases de données jurisprudentielles et, à ce titre, estime que les dispositions des articles 7 et 9 de la loi du 6 janvier 1978 modifiée devraient, dorénavant, conduire les éditeurs privés de bases de données de jurisprudence accessibles en accès restreint ou par CD-Roms à occulter le nom et l’adresse des parties et témoins des décisions de justice qu’ils diffusent. »
  • [Sur la diffusion et la réutilisation des données publiques juridiques : ] « En tout état de cause, la Commission estime que les risques, au regard des droits et libertés des personnes qui y sont citées, liés à la diffusion de bases de données de décisions de justice commandent l’adoption d’une disposition législative spécifique prévoyant l’anonymisation de celles-ci lors de leur diffusion par des moyens électroniques et, comme le lui permet l’article 11 4° b) de la loi du 6 janvier 1978 modifiée, appelle l’attention du Gouvernement sur ce point. »

Le paragraphe supra du « bilan » nous amène à un point de droit administratif : les positions de la CNIL ont, au mieux, le statut de recommandation. C’est une interprétation de la loi recommandée par une autorité administrative indépendante (AAI). Pas une loi ni un décret [7]. De temps à autre, le Conseil d’Etat, dans une décision, ne se prive pas le rappeler indirectement à la CNIL. C’est bien pour cela que la CNIL demande que le législateur se saisisse du problème. [Celui-ci ne le fera que 13 ans plus tard par l’article 33 de la loi de programmation et de réforme de la justice du 23 mars 2019 — voir notre billet du 8 septembre 2019.].

La CNIL plaide donc désormais pour une application de la loi Informatique et libertés aux bases de données de jurisprudence sans distinguer selon que l’accès en est public (Legifrance, sites web gratuits et d’accès libre) ou réservé (plateformes payantes, sites accessibles sur mot de passe).

La position de la CNIL a évolué

C’est un contraste fort avec sa position initiale [8] qui recommandait alors aux sites web publics ou gratuits l’anonymisation rigoureuse — et coûteuse — consistant à enlever nom et prénom des personnes physiques parties ou témoins, et aux éditeurs le seul retrait de l’adresses de ces personnes [9].

Cette nouvelle position de la CNIL semble plus pertinente, dans la mesure où il n’y a pas à distinguer là où la loi (article 7 de la loi Informatique et libertés [10]) ne distingue pas. [11] A noter, toutefois, qu’il s’agit ici d’un simple document de la CNIL et non d’une "recommandation" officielle de la Commission ...

Les usagers consultés, cette fois

Le communiqué de la CNIL (20 février 2006) donne une précision :

« La CNIL a entrepris, au cours de l’année de dresser un bilan de l’application de sa recommandation, notamment grâce à l’audition et à la consultation des Cours suprêmes (Conseil d’Etat, Cour de cassation, Cour des comptes), du Secrétariat général du gouvernement, des associations d’utilisateurs de bases de données de jurisprudence et des éditeurs privés. »

Précision importante, car lors de l’élaboration de sa recommandation sur les bases de données de jurisprudence [12], les principaux intéressés, à savoir les associations de victimes et celles d’utilisateurs de bases de données juridiques, n’avaient pas été consultés. Cette fois, les remarques des utilisateurs ont été traitées, sans que la CNIL baisse sa garde pour autant puisque les suggestions de suppression des champs Noms des parties ou d’anonymisation à la demande ont été considérées comme insuffisamment protectrices du droit à l’oubli et du droit à la vie privée.

Il est toutefois à regretter que cette fois encore, apparemment, les représentants des victimes n’aient pas été entendus.

L’anonymisation des arrêts doit pousser au développement de la référence neutre à ceux-ci

Conséquence de cette nouvelle position de la CNIL : l’adoption par les éditeurs de références neutres aux décisions de justice risque de devenir nécessaire. Notamment, ici, en reprenant systématiquement le numéro officiel donné par les juridictions pour identifier les décisions sans erreur (n° de pourvoi pour la Cour de cassation [13], n° de rôle général (RG) pour les autres juridictions de l’ordre judiciaire, n° de requête pour le Conseil d’Etat et les cours administratives d’appel, n° de jugement pour les tribunaux administratifs). A l’heure actuelle, seul Lamy cite systématiquement un arrêt de la Cour de cassation par son n° de pourvoi. Quant aux décisions judiciaires de premier et second degrés, quel que soit l’éditeur, elles ne sont que très rarement citées avec leur n° RG.

L’absence de nom de partie est une réelle gêne pour identifier un arrêt et plus encore une affaire (série de décisions sur un même sujet et une même partie). Si les éditeurs passent à la référence neutre et fournissent le n° RG ou de pourvoi et l’indexent dans leurs bases de données plateformes en ligne, on les retrouvera. Mais il y a quand même gros à parier que les documentalistes auront encore longtemps à croiser les critères pour retrouver une décision citée de manière nominative ou imprécise.

Emmanuel Barthe
documentaliste juridique

Notes

[2Message du 30 mai sur la liste Juriconnexion de Jean-Claude Patin du site Juritel, un des pionniers de l’Internet juridique français, qui vend des copies de décisions de justice au format PDF image, le texte de la décision au format HTML étant lui gratuit.

[3Voir en bas de page.

[4Tout comme la loi Informatique et libertés, la RGPD ne protège pas les personnes morales — mais tout comme la loi I&L s’applique à leurs représentants. Cf l’article 4 Définitions du RGPD : « Aux fins du présent règlement, on entend par : « données à caractère personnel », toute information se rapportant à une personne physique identifiée ou identifiable (ci-après dénommée "personne concernée") ; est réputée être une "personne physique identifiable" une personne physique qui peut être identifiée, directement ou indirectement [...] »

[5Signalé par Anne Chalandon, dans un message intitulé "Anonymisation des décisions de justice" publié le 28 février 2006 sur la liste de discussion Juriconnexion.

[6Voir le logiciel d’anonymisation des données personnelles mis au point par la société française e-doc Labs ou le logiciel NOME utilisé par Lexum au Québec.

[7Anonymisation des décisions de justice : le retour, par Stephane Cottin, ServiceDoc Info, 3 mars 2006.

[8Voir la délibération n° 01-057 du 29 novembre 2001 portant recommandation sur la diffusion de données personnelles sur internet par les banques de données de jurisprudence, notamment la partie intitulée "Le cas particulier des sites spécialisés en accès restreint et des CD-ROM de jurisprudence". Lire aussi le commentaire de cette recommandation par Christophe Pallez, secrétaire général de la CNIL, en novembre 2004.

[9Extrait des conclusions de la décision du 29 novembre 2001 :

« Il serait souhaitable :

  • que les éditeurs de bases de données de décisions de justice librement accessibles sur des sites Internet s’abstiennent, dans le souci du respect de la vie privée des personnes physiques concernées et de l’indispensable "droit à l’oubli", d’y faire figurer le nom et l’adresse des parties au procès ou des témoins ;
  • que les éditeurs de bases de données de décisions de justice accessibles par Internet, moyennant paiement par abonnement ou à l’acte ou par CD-ROM, s’abstiennent, à l’avenir, dans le souci du respect de la vie privée des personnes concernées, d’y faire figurer l’adresse des parties au procès ou des témoins ».

Il faut rappeler ici que la Cour des comptes et le Conseil constitutionnel, qui ont à juger des comptables publics, pour l’une et des élus pour l’autre, ont clairement fait savoir à la CNIL qu’ils ne suivraient pas sa recommandation et n’anonymiseraient pas leurs décisions.

[10Loi n° 78-17 du 6 Janvier 1978 relative à l’informatique, aux fichiers et aux libertés : versions consolidées disponibles sur Legifrance et sur le site web de la CNIL.

[11La CNIL évoque, elle, une évolution de la loi :

« L’article 7 de la loi modifiée [par la loi n° 2004-801 du 6 août 2004, loi transposant la directive de 1995 sur la protection des personnes physiques à l’égard du traitement des données à caractère personnel] prévoit en principe qu’un traitement de données à caractère personnel doit avoir reçu le consentement de la personne concernée ou satisfaire à l’une des conditions posées par cette disposition.
Ainsi, l’article 7 3° ne fait pas obstacle à la constitution, sous une forme nominative, de bases de données de jurisprudence par les juridictions ayant prononcé les décisions pour un usage strictement interne dans la mesure où elle s’inscrit dans le cadre d’une mission de service public.
La Commission estime en revanche que la diffusion en accès restreint sur internet ou sur CDRoms de bases de données jurisprudentielles, si elle répond à un intérêt légitime des responsables de ces traitements, est toutefois de nature à méconnaître les droits et libertés fondamentaux de la personne concernée.
Dès lors, au regard de la nature particulière des informations contenues dans les bases de données jurisprudentielles, la Commission considère que l’exception posée par l’article 7-5° de la loi ne saurait s’appliquer en l’espèce. »

Toutefois, avant même cette modification réalisée à l’été 2005, la loi Informatique et libertés ne faisait aucune distinction entre les bases en accès libre et les autres.

[12Délibération n° 01-057 du 29 novembre 2001 portant recommandation sur la diffusion de données personnelles sur internet par les banques de données de jurisprudence. Pour la liste des personnes consultées, voir le cinquième visa, au début du document.

Commentaires

Aucun commentaire

Laisser un commentaire

Emmanuel Barthe

Mots-clés de l'article

A lire aussi

Twitter