L’expression de « gestion » ou « maitrise » de l’identité numérique est récurrente sur le Web : tutoriaux libres, recommandations gouvernementales, entreprises proposant des services « d’E-réputation contrôlée », avocats spécialisés en droit des TIC, articles de presse, blogs…
Ce fourmillement répond aux inquiétudes des individus, de plus en plus sensibilisés à la propension virale qu’ont leurs données à se disséminer dans une équation numérique dominée par le traitement et l’exploitation des Big Data. Le phénomène se résume par cet adage assez connu des curieux du numérique : « If you’re not paying for it, you’re the product ».
Gérer son identité numérique : une idée a priori séduisante. Mais comment garantir un statut personnel qui n’est ni défini, ni explicitement reconnu par le droit positif ?
L’identité numérique peut être fortuitement rencontrée par la réunion d’un faisceau de droits subjectifs (Loi informatique et libertés, droit au respect de la vie privée, voire ponctuellement protection contre la diffamation). Cet ensemble est réuni en droit français sous la bannière des « droits de la personnalité », dont l’interprétation classique semble impropre à saisir la substance des données à caractère personnel. Comment en effet aborder la question de l’éclatement des données à l’aide d’une catégorie intégrée aux droits extrapatrimoniaux, qui impliquent « par nature » l’intransmissibilité, l’imprescriptibilité, l’inaliénabilité et l’insaisissabilité des droits concernés ? (Théo Hassler, « La crise d’identité des droits de la personnalité », Les Petites Affiches, n°244, 7 décembre 2004, pp. 3-11; Claire Strugala, « La protection de la personnalité à l’épreuve du numérique », Lamy Droit de l’Immatériel, n° 66, 2010, pp. 49-56 ; Laure Marino, « Les nouveaux territoires des droits de la personnalité », La Gazette du Palais, Recueil Mai-Juin 2007, pp. 1477-1483).
La patrimonialisation du nom, de l’image, et de la voix, a montré les premières limites de cette catégorie juridique (Laure Marino, « La patrimonialisation du nom, de la voix et de l’image », in Traité de droit de la presse et des médias, LexisNexis, Paris, pp. 997-1049). La réification de la personne est déjà partiellement réalisée, mais pas au sens physique; c’est le traitement des données à caractère personnel qui décuple les possibilités de marchandisation de ces attributs de la personnalité. En cela, on peut envisager une acception libérale de ce droit, en parlant de « biens de la personnalité » (François Rigaux, La protection de la vie privée et des autres biens de la personnalité, Thèse, Bruxelles, Bruylant, 1990). On peut également entrevoir un dépassement classique de la notion de propriété, en la fondant désormais sur l’exclusivité par rapport au bien (Frédéric Zenati-Castaing et Thierry Revet, Les biens, 3ème éd., Paris, PUF, 2008, p. 332).
Il est donc inopportun de considérer que la personnalité est un imprenable bastion, qui ne s’embarrasse pas de considérations économiques. Les données sont parfois surnommées « pétrole du XXIème siècle » : en poussant l’analogie, les plus alarmistes verront une inexorable marche vers l’épuisement du capital vie privée, à l’image de l’épuisement du capital écologique (Alex Türk, La vie privée en péril. Des citoyens sous contrôle, Odile Jacob, Paris, 2011).
La protection de l’identité numérique relève de deux exigences. La première est de responsabiliser et d’intégrer la personne dans le processus de « contrôle » de son identité numérique. Il est essentiel de lui laisser une marge d’autodétermination, une autonomie lui permettant d’exprimer sa volonté sur le support numérique. En ce sens, la Cour européenne des Droits de l’Homme a entamé lors de la dernière décennie la cristallisation d’un droit à l’autonomie personnelle, issu d’une interprétation extensive de l’article 8 de la Convention (Droit au respect de la vie privée et familiale).
A l’occasion des arrêts S. et Marper (Cour européenne des droits de l’Homme, S. et Marper c. Royaume-Uni, 4 décembre 2008, n°30562/04 et 30566/04), la Cour a confirmé sa jurisprudence d’intégration des données à la protection assurée par ce même article 8. Mais plus intéressant, elle a souligné l’importance de la volonté personnelle en matière de conservation et d’utilisation des données constitutives de l’identité « physique et sociale » :
« La Cour rappelle que la notion de vie privée […] peut donc englober de multiples aspects de l’identité physique et sociale d’un individu. Des éléments tels, par exemple, l’identification sexuelle, le nom, l’orientation sexuelle et la vie sexuelle relèvent de la sphère personnelle protégée par l’article 8 » (§66)
On notera que la Cour insiste sur le volet social de la vie privée, qui doit être entendu depuis l’arrêt Niemietz comme « le droit pour l’individu de nouer et développer des relations avec ses semblables » (Cour européenne des droits de l’Homme, Niemietz contre Allemagne, 16 décembre 1992, n°13710/88). Ainsi l’autonomie personnelle peut-elle être entendue, en matière numérique, comme la possibilité de transcrire et maitriser son identité. Cette autonomie s’accompagne du droit pour chacun de « savoir ce que l’on sait de lui ». (Voir Hélène Hurpy, Fonction de l’autonomie personnelle et protection des droits de la personne humaine dans les jurisprudences constitutionnelles et européennes, Thèse dactylographiée, Univ. Aix-en-Provence, soutenue le 27 juin 2013).
La seconde exigence est de consolider le fondement juridique du droit à la protection de l’identité numérique sur un plan constitutionnel, afin de clarifier le régime des données à caractère personnel. Le rattachement successif des données à la liberté personnelle (Combinaison des article 2 et 4 de la Déclaration des Droits de l’Homme et du Citoyen ; Conseil constitutionnel, n°91-294 DC, 25 juillet 1991; Conseil constitutionnel, n°92-316 DC, 20 janvier 1993) puis à la vie privée (Article 2 DDHC ; Conseil constitutionnel, n°99-416 DC, 23 juillet 1999) brouille la lisibilité du régime de protection constitutionnel. La tendance incite à conclure que le Conseil n’est pas enclin à prendre en considération l’aspect « vécu » de l’identité (voir Xavier Bioy, « L’identité de la personne devant le Conseil constitutionnel », Revue Française de droit constitutionnel, n°65, 2006/1, pp. 73-95).
L’Allemagne fait figure de précurseur en la matière, ayant déduit des articles 1 et 2 du Titre 1 de la Loi fondamentale allemande (garantissant notamment dignité et liberté personnelle) la protection d’un « droit à l’autodétermination informationnelle » (Cour constitutionnelle allemande, BVerfGE 65, 1, Volkszählung, 15 décembre 1983). On trouve là une notion jumelle de la détermination de l’identité numérique, et totalement intégrée au droit à l’autonomie personnelle.
Alors que la France a pris un certain retard en la matière, peut-être faut-il voir dans la jurisprudence de la Cour européenne quelques avertissements quant à la considération d’un droit à l’identité numérique :
« La protection des données à caractère personnel joue un rôle fondamental pour l’exercice du droit au respect de la vie privée et familiale consacré par l’article 8 de la Convention. La législation interne doit donc ménager des garanties appropriées pour empêcher toute utilisation de données à caractère personnel qui ne serait pas conforme aux garanties prévues dans cet article » (S. et Marper contre Royaume-Uni, précité, §103).