Union Internationale des Magistrats

2e commission d’étude

Droit civil et procédure

 

Réponses de la délégation italienne au

Questionnaire pour la réunion de 2010

(Dakar – Sénégal, 7-11 novembre 2010)

 

QUESTIONS CIVILES LIÉES À LA

PROTECTION DE LA VIE PRIVÉE

(PLUS PRÉCISÉMENT LORSQU’INTERNET EST EN JEU)

 

Introduction

 

(I) L’évolution de la législation italienne avant 1996.

Aucune disposition de la Constitution italienne ne garantit explicitement le droit à la vie privée. La législation ordinaire ne reconnaissait pas non plus un tel droit d’une façon générale, jusqu’à l’approbation de la loi en date du 31 décembre 1996, n° 675, qui a transposé en droit interne la Directive n° 46/95/CE. Avant cette loi il existait pourtant plusieurs dispositions de caractère particulier, desquelles  la doctrine et la jurisprudence depuis longtemps avaient déduit l’existence de ce droit de la personnalité.

En commençant par la Constitution, il faudra mentionner les artt. 14 et 15, qui consacrent aussi bien l’inviolabilité du domicile que le secret de la correspondance et de toute autre forme de communication. Ces mêmes principes sont affirmés par le code pénal (artt. 614 ss.). Le secret de la correspondance est protégé aussi par la loi sur le droit d’auteur, qui permet à chacun de s’opposer à la diffusion de son courrier, de ses mémoires ou de ses écrits de caractère confidentiel (art. 93 de la loi du 22 avril 1941, n° 633; voir aussi, en matière de propriété littéraire et artistique, l’art. 126 de la même loi, qui prévoit le droit des auteurs de cacher la paternité intellectuelle de leurs œuvres).

Quelques aspects particuliers de la vie privée sont protégés par des articles du code pénal qui ont été introduits par la loi du 8 avril 1974, n° 89 (en matière de « protection de la vie privée et de la liberté et du secret des communications »). Ainsi l’art. 615 bis c.p. punit touts ceux qui, par l’emploi d’instruments de reprise visuelle ou sonore (par exemple, photographie au téléobjectif: cf. Trib. Milano, 8 avril 1991, Dir. inform., 1991, 865), se procurent indûment des nouvelles ou des images concernant la vie privée à l’intérieur du domicile d’autrui, ou dans un autre lieu de séjour privé. L’art. 617 bis c.p. punit touts ceux qui, en dehors des cas prévus par la loi, installent des appareils ou des instruments afin d’intercepter des communications ou des conversations téléphoniques ou télégraphiques. Il en est de même pour les écoutes de communications qui ont lieu par le biais d’instruments informatiques (cf. les articles 617 quater, 617 quinquies et 617 sexies du code pénal). Dans le domaine du droit pénal il faudra encore mentionner les dispositions concernant la protection du secret professionnel (art. 622 c.p.) et du secret sur les enquêtes criminelles (art. 684 c.p.; artt. 114 s., 329 c.p.p.).

Tout en revenant au droit privé, on pourra d’abord citer l’art. 10 c.c., en matière de droit à l’image: c’était la seule disposition du code civil de laquelle on pouvait  déduire avant 1996 l’existence du droit au respect de la vie privée.

Encore, quelques aspects de la vie privée sont protégés dans le domaine des actes de l’état civil. Ainsi l’art. 5 de la loi du 14 avril 1982, n° 164 (en matière de rectification de la mention du sexe) prévoit que, lorsque le changement du sexe et la conséquente rectification de l’acte de naissance ont été autorisés  par le tribunal, les officiers de l’état civil doivent délivrer les extraits relatifs aux personnes dont le sexe a été modifié avec la seule mention du nouveau sexe et du nouveau nom. L’art. 28 de la loi du 4 mai 1983, n° 184, en matière d’adoption comportant rupture des liens avec la famille d’origine, établit que les extraits de l’état civil concernant un enfant qui a été adopté ne peuvent indiquer que le nouveau nom de famille, sans aucune référence à la paternité ou à la maternité biologique du mineur.

Dans le domaine de la protection des travailleurs, l’art. 8 de la loi du 20 mai 1970, n° 300 (« statut des travailleurs ») interdit aux employeurs d’effectuer des recherches sur les opinions politiques, religieuses et syndicales des travailleurs. L’art. 4 de ladite loi interdit l’installation d’instruments audiovisuels et d’autres appareils pour contrôler à distance l’activité des travailleurs. De la même façon, l’art. 26 de la loi du 24 décembre 1986, n° 958 (qui a modifié l’art. 17 de la loi du 11 juillet 1978, n° 382), en matière de service militaire interdit l’annotation dans les fiches personnelles d’informations relatives aux opinions politiques, religieuses ou syndicales des militaires.

En matière de santé la loi du 5 juin 1990, n° 135 (sur la prévention et la lutte contre le SIDA), prévoit, à l’art. 5, alinéa 3, que personne ne puisse être soumis, contre son gré, à des analyses ayant pour but la vérification d’une infection du HIV, sauf pour des raisons de nécessité clinique et dans l’intérêt de la personne visée. Dans le cadre d’un  programme épidémiologique lesdites analyses ne sont permises que lorsque les échantillons à analyser ont été rendus anonymes avec absolue impossibilité de parvenir à l’identification des personnes  intéressées. L’art. 5, alinéa 4, de la même loi établit que la communication des  résultats des vérifications diagnostiques concernant les infections de HIV ne peut être effectuée qu’à la personne à laquelle les examens se rapportent.

 

(II) L’évolution de la jurisprudence italienne avant 1996.

Bien que n’ayant pas bénéficié d’une réglementation autonome, le droit à la protection de la vie privée était amplement reconnu par la jurisprudence, même s’il manquait une approche unitaire et systématique de cette discipline. La jurisprudence italienne a commencé à s’occuper du problème au cours des années cinquante et soixante du XXIème siècle, par rapport à certains cas de diffusion de nouvelles concernant la vie privée de personnages publics. Dans un premier nombre de décisions la Cour de Cassation avait nié l’existence d’un droit au respect de l’intimité, tout en considérant comme illégitime, en certains cas, la diffusion de nouvelles réservées sur la vie privée de personnages notoires (cf. Cass., 22 décembre 1956, n° 4487, citée ultérieurement ; Cass., 7 décembre 1960, n° 3199; Cass., 20 avril 1963, n° 990, citée ultérieurement).

En fait, la première décision jurisprudentielle en matière de protection de la vie privée a été la décision Caruso. À la suite de la réalisation d’un film sur la vie du célèbre ténor, ses héritiers se plaignaient du choix de l’acteur devant interpréter son rôle (Ermanno Randi), de l’utilisation de la voix d’un autre ténor (Mario Del Monaco) aux lieux et places de l’originale et de la transposition de certains épisodes de sa vie de ténor qui jetaient le discrédit sur son image et sur celle de sa famille. En première instance, le tribunal (Trib. Roma, 14 settembre 1953, Foro it., 1954, I, c. 115, obs. G. Pugliese [qui, commentant la décision, prend parti pour l’inexistence du droit à la protection de la vie privée dans le système juridique italien et pour l’impossibilité de l’application de l’analogie]) a reconnu l’existence d’un véritable droit à la protection de la vie privée, alors qu’en appel (App. Roma, 15 maggio 1955, Foro it., 1955, I, c. 793), bien que confirmant la décision du tribunal pour ce qui était de la somme due à titre de dommages et intérêts, la cour plaçait le litige moins sur le terrain de l’ingérence d’autrui dans la vie privée, que sur celui de l’atteinte à l’honneur. La Cour de cassation, en revanche, adoptant une attitude différente, considéra que le simple désir de discrétion ne méritait aucune protection, lorsque les intéressés n’avaient pas eux-mêmes réussi à préserver la confidentialité de faits relevant de leur vie privée (cf. Cass., 22 dicembre 1956, n. 4487, Giur. it., 1957, I, 1, p. 366, obs. G. Pugliese et obs. Ligi ; Foro it., obs. A. De Cupis ; Riv. dir. comm., 1957, II, p. 2000 ; Giust. civ., 197, I, p. 214).

L’avis de la Cour suprême enregistra un revirement marqué dans l’affaire Petacci c. Palazzi e Tofanelli (Cass., 24 aprile 1963, n. 990, Foro it., 1963, I, c. 1298, obs. A. De Cupis ; Foro Pad., 1963, I, c. 513, obs. Ondei ; Temi, 1963, p. 241, obs. Candian ; Giur. civ., I, p. 1280, obs. Sgroi). Dans le cas d’espèce, la Cour repéra le fondement du droit à la vie privée dans l’article 2 de la Constitution italienne et considéra que les questions afférentes à la vie privée doivent demeurer protégées de toute atteinte lorsque l’intéressé n’a pas donné son consentement préalable à la diffusion de ces dernières, ou qu’il n’y a pas de motif d’intérêt général à leur révélation.

A la moitié des années soixante-dix la jurisprudence de légitimité a changé d’opinion, tout en consacrant, d’un côté, le droit à la vie privée, mais en essayant, de l’autre, à trouver un équilibre entre la liberté de la presse et la sauvegarde de la vie privée.  La solution a été trouvée dans le principe selon lequel la diffusion de nouvelles concernant la vie privée est justifiée lorsque les informations correspondent à un « intérêt socialement appréciable », ou bien lorsqu’il existe des « intérêts publics prééminents » (Cass., 27 mai 1975, n° 2129, citée ultérieurement ; Cass., 13 mars 1985, n° 1968),  comme, par exemple, quand il s’agit de graves épisodes de la criminalité ou de relevants phénomènes sociaux (Pret. Roma, 23 novembre 1989, Dir. aut., 1991, p. 554).

En tout cas, on ne peut pas considérer qu’il existe un « intérêt public prééminent » lorsque la diffusion des nouvelles n’est effectuée qu’à des buts commerciaux ou lucratifs (cf. Pret. Firenze, 3 marzo 1986, Giust. civ., 1986, I, p. 2279; Trib. Roma, 20 novembre 1986, Temi romana, 1986, p. 696 ; Trib. Roma, 16 febbraio 1990, Giur. it., 1991, I, 2, c. 34, en matière de diffusion des actes du procès de divorce entre deux personnalités du spectacle).

En effet, la reconnaissance jurisprudentielle définitive du droit au respect de la vie privée est intervenue avec la décision Soraya Esfandiari c. Rusconi (Cass. 27 maggio 1975, n. 2129, Giur. it., 1976, I, 1, c. 970). Le cas d’espèce est particulier : la princesse Soraya, bien qu’ayant été répudiée par son mari, avait obtenu un droit à une rente viagère, à la condition d’avoir une conduite irréprochable. Par la suite, un hebdomadaire à scandales avait publié les photographies de la princesse, apparaissant chez elle, dans des attitudes peu équivoques en compagnie d’un inconnu. Naturellement, les personnes photographiées n’avaient pas donné leur accord préalable à la publication de ces clichés. La Cour de cassation reconnut un droit à la protection de la vie privée dans tous les cas où il est impossible de se prévaloir du consentement de l’intéressé ou quand il est d’intérêt général de prendre connaissance de la nouvelle.

 

(III) La loi Nr. 675/96 et le décret législatif n° 196 du 30 juin 2003.

Si l’on peut donc dire qu’un droit autonome à la protection de la vie privée avait déjà été reconnu par la jurisprudence (dans ce sens, cf. G. Alpa, La disciplina dei dati personali. Note esegetiche sulla legge 31dicembre 1996, n. 675 e successive modifiche, Milano, 1998, p. 22 ; Riccio, « La protection de la vie privée : brève analyse de la situation italienne » : Lex Electronica, vol. 6, n° 2, Hiver / Winter 2001, http://www.lex-electronica.org/docs/articles_160.htm#*). Par ailleurs, le corpus normatif existant n’offrait pas la possibilité d’une reconstruction unitaire de l’institution. La doctrine, et plus spécialement la plus ancienne, n’avait pas non plus réussi à aller au-delà de la détermination d’un droit à la vie privée, entendu comme un droit à la protection de l’intimité contre les atteintes d’autrui (A. De Cupis, « Riservatezza e segreto (diritto a) » : Noviss. dig. it., XVI, Torino, 1969, p. 115, qui définit la protection de la vie privée comme moyen d’être négatif de la personne par rapport aux autres sujets et, plus précisément, à la connaissance de ceux-ci ; voir aussi A. Candian, « Anonimato (diritto all’) » : Enc. dir., II, Milano, 1958, p. 501 ; l’évolution jurisprudentielle du concept est bien synthétisé par M. Bessone et G. Giacobbe, Il diritto alla riservatezza in Italia e in Francia, Padova, 1988, p. 377 ss.) ou, pour reprendre la célèbre définition de Warren et Brandeis, comme right to be let alone (cf. S.D. Warren et L.D. Brandeis, « The right to privacy » : 4 Harvard L.R. (1890), p. 193; Riccio, ibidem).

Le procédé analogique (rectius : interprétation extensive et logico-systématique), suivi par la jurisprudence et la doctrine en recourant au concept de l’atteinte à l’honneur et à la réputation ou en appliquant les normes prévues pour protéger le droit à l’image et au nom, ne réussissait pas à rassembler dans un corpus unitaire ni à caractériser un droit ou des droits à la protection de la vie privée, l’identité personnelle et, surtout, la protection des données à caractère personnel, ni à retrouver harmonieusement le fondement de la protection juridique (Riccio, ibidem). Le grand mérite de la loi n°675/96 vient justement de sa capacité à parvenir « à la quadrature du cercle », en réussissant à attribuer une dignité autonome à ce droit (Riccio, ibidem). À la lumière de ces considérations, la discussion semble floue, même si appréciable dans une intention systématique, s’agissant de la reconduction de la loi à la summa divisio, bien trop connue de la doctrine italienne et peut-être quelque peu ignorée et sous-évaluée par celle francophone, marquée par la théorie atomistique et pluraliste des droits de la personnalité (la discussion est reprise, entre autres par D. Messinetti, « Personalità (diritti della) » : Enc. Dir., XXXIII, Milano, 1983, p. 355).

Certains auteurs ont remarqué (cf. p. ex. Riccio, ibidem) que, du point de vue comparatif, les premiers textes normatifs (Suède 1973, Allemagne 1977, Autriche, 1978, France 1978, Luxembourg 1978) apparaissent en fait tournés de manière rigide vers la protection de la personne contre les risques possibles dûs au traitement effectué par des ordinateurs. À cette époque, le spectre d’un monde orwellien était encore trop présent dans les esprits et les progrès techniques qui accéléraient les modalités de collecte et de traitement automatisé de données ont favorisé une très nette fermeture de la part du législateur, qu’exprime la rigidité des instruments de protection choisis. Dans une deuxième phase, l’on trouve les normes plus récentes (par ex. : la loi suisse) d’inspiration à l’évidence plus libérale, qui considèrent l’usage de l’ordinateur comme un des instruments possibles adoptés pour effectuer le traitement des données à caractère personnel. La Directive européenne 46/95/CE et la législation italienne semblent s’insérer dans cette tendance, considérant la personne comme l’objet de la protection (sur ce sujet, voir P. Stanzione, « Persona fisica, Diritto civile » : Enc. Giur., XXIII, Roma, 1991, p. 1 ss ; aussi in G. Autorino - P. Stanzione, Diritto civile e situazioni esistenziali, Torino, 1997, p. 11 ss. ; sur la transposition de ladite directive européenne dans le droit français cf. Soulier, La protection des données à caractère personnel et de la vie privée dans le secteur des communications électroniques. Perspective française, disponible à l’adresse web suivante :

http://www.persee.fr/web/revues/home/prescript/article/ridc_0035-3337_2002_num_54_2_18761 ; Rigaux, Les paradoxes de la protection de la vie privée François, disponible à l’adresse web suivante : http://www.asmp.fr/travaux/gpw/internetvieprivee/rapport1/chapitr3.pdf) et offrant une perspective élargie de la donnée à caractère personnel en y englobant toute opération permettant l’identification de la personne et accomplie avec ou sans l’aide d’ordinateurs.

Il faudra encore ajouter que les dispositions de la loi de 1996 ont été par la suite transposées dans le décret législatif n° 196 du 30 juin 2003 (texte en anglais disponible au site web suivant : http://www.garanteprivacy.it/garante/navig/jsp/index.jsp?folderpath=Normativa%2FItaliana%2FIl+Codice+in+materia+di+protezione+dei+dati+personali) : le document a pris le nom de « Code pour la protection des données à caractère personnel ». Ce « Code » a tenu compte entre autres, de la transposition dans le droit italien de la directive 2002/58/CE du Parlement européen et du Conseil du 12 juillet 2002 concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques (directive vie privée et communications électroniques).

 

 

A.             Lois et règlements

 

1)       Quelles lois régissent la protection de la vie privée dans votre système juridique? Existe-t-il des dispositions dans le code civil/les lois/la common law qui protègent les particuliers contre les atteintes à la vie privée, notamment en ce qui concerne :

a)        dans le secteur public

·          l’accès des particuliers aux renseignements réunis sur eux par divers organismes gouvernementaux;

 

 

 

Le « Code pour la protection des données à caractère personnel », sur la genèse duquel on s’est entretenu dans les paragraphes précédants, vise à protéger la vie privée des personnes contre tout type d’atteintes, soit dans le secteur public, soit dans le secteur privé. Ledit code stipule, à l’art. 7, que toute personne intéressée a le droit à accéder aux données à caractère personnelles le concernant, afin d’obtenir que ces données soient mis à jour, traitées de façon conforme à la loi et éventuellement effacées, si elles ont été insérées dans une base de données contrairement à ce qui est prévu par la loi.

 

·          la protection de ces renseignements contre la divulgation à des tiers ;

 

 

        La divulgation des données concernant une personne est considérée comme une forme de « traitement » par l’art. 4, alinéa 1, a), dudit Code. Il s’en suit qu’aux termes de l’art. 7, alinéa 4, toute personne intéressée a le droit de s’opposer au traitement (y compris la divulgation à des tiers) des données le concernant, sauf que dans les cas où une quelque forme de traitement est permise expressément par la loi.

 

·          l’accès des membres des médias ou du public aux dossiers du gouvernement, par exemple, aux dossiers concernant la prise de décisions et de mesures gouvernementales, et les limites prévues ;

       les limites prévues en matière d’échange de renseignements entre organismes gouvernementaux.

 

        Les articles 59 et 60 du Code précité s’occupent de la matière de l’accès aux documents administratifs en renvoyant pour cela à la loi spéciale n° 241 du 7 aout 1990. Les articles 22 ss. de cette loi stipulent un droit d’accès aux documents administratifs, sauf quelques exceptions, liées surtout aux questions de sureté nationale. Toute demande d’accès à un document administratif doit pourtant être motivée. La loi prévoit aussi des procédures à suivre lorsque la demande d’accès n’est pas accueillie. Le procès se déroule pardevant la juridiction administrative (tribunaux administratif régionaux en premier degré et Conseil d’Etat en appel). Une commission spéciale auprès de la présidence du Conseil des ministres a été installée afin de veiller à la correcte application de cette loi sur l’accès aux documents de l’administration publique. 

 

 

 

b)       dans le secteur privé

·          la protection contre la divulgation à des tiers de renseignements personnels réunis dans le cadre du commerce électronique, par exemple :

ü        renseignements personnels fournis par le biais de cartes de crédit/de débit et autres transferts de fonds électroniques;

ü        renseignements personnels obtenus aux fins d’évaluation du crédit et d’opérations bancaires;

ü        dossiers sur les habitudes des usagers (téléphone; activités en ligne);

ü        dossiers tenus aux fins de couverture d’assurance et autres prestations des services sociaux offertes par le secteur privé.

 

 

Comme on l’a déjà expliqué par rapport au secteur public, le « Code pour la protection des données à caractère personnel », sur la genèse duquel on s’est entretenu dans les paragraphes précédants, vise à protéger la vie privée des personnes contre tout type d’atteintes, soit dans le secteur public, soit dans le secteur privé. Ledit code stipule, à l’art. 7, que toute personne intéressée a le droit à accéder aux données à caractère personnelles le concernant, afin d’obtenir que ces données soient mis à jour, traitées de façon conforme à la loi et éventuellement effacées, si elles ont été insérées dans une base de données contrairement à ce qui est prévu par la loi.

Ce principe trouve application, bien entendu, dans chacun des rapports privés auxquels la question fait référence (banques, cartes de crédit, compagnies d’assurance, sociétés fournissant services tels que téléphone, activités en ligne, internet, prestations à caractère social, etc.). Par conséquent, la divulgation des données concernant une personne étant considérée comme une forme de « traitement » par l’art. 4, alinéa 1, a), dudit Code, il s’en suit qu’aux termes de l’art. 7, alinéa 4, toute personne intéressée a le droit de s’opposer au traitement (y compris la divulgation à des tiers) des données le concernant, sauf que dans les cas où une quelque forme de traitement est permise expressément par la loi.

Cela dit, il faut ajouter que le Code en question discipline aux articles 117 – 120 les questions spécifiques ayant trait à la matière des rapports avec les banques et les assurances. Dans ce cadre, un code de déontologie a été approuvé en 2004 concernant les systèmes informatisés gérés par les particuliers en matière de crédits de consommation, ainsi que sur la fiabilité et la ponctualité dans les paiements. Pour ce qui est des assurances, c’est à l’ISVAP (Institut de surveillance sur les assurances privées et d’intérêt collectif) de définir par un règlement les procédures régissant les banques de données concernant les accidents de la circulation, y compris les droits et les modalités d’accès aux informations qu’y sont stockées.

 

 

·          la protection contre la collecte clandestine de renseignements sur Internet, par exemple, au moyen de technologies de surveillance électronique telles qu’un « logiciel espion » ou un « logiciel de publicité ».

 

 

Les articles de 121 à 134 du « Code pour la protection des données à caractère personnel » traitent spécifiquement des services de communication électronique. En particulier, l’art. 122 stipule, pour ce qui est des informations collectées sur les abonnées ou les usagers, qu’en général est interdit de faire usage d’un réseau de communication électronique pour accéder à des informations stockées dans l’ « appareil terminal » (c.à.d. l’ordinateur) d’un abonné ou d’un usager, afin de collecter des informations ou afin de contrôler les opérations de l’usager. Un code de déontologie doit pourtant spécifier quels sont les conditions et les limites concernant l’usage des réseaux pour assurer la réalisation de buts légitimes concernant la mémorisation technique des données en question pour le temps strictement nécessaire pour la communication. Ledit code de déontologie doit aussi prévoir les cas dans lesquels, afin de fournir un service demandé par l’usager, le fournisseur du service peut conserver les données en question, pourvu qu’un consensus informé à ce sujet ait été exprimé par l’usager.

L’article 123 du « Code pour la protection des données à caractère personnel » s’occupe des données relatives au trafic internet entre fournisseurs du service de communication électronique et usagers. Ces données doivent être normalement effacées ou rendues anonymes lorsqu’elles ne sont plus nécessaires pour la transmission de la communication électronique.

Le traitement des données concernant le débit qui sont nécessaires pour la facturation des services rendus à l’abonné seront gardés (afin de permettre la solution d’éventuels différends sur la facturation) pour une période qui ne peut pas dépasser les six mois, sauf en cas de contestation dans le cadre d’un procès.

L’autorité garante des communications peut pourtant obtenir les données relatives à la facturation ou au trafic internet, lorsqu’elles sont nécessaires afin de résoudre les différends en matière de réseau d’interconnexion ou de facturation.

Pour ce qui est spécifiquement de l’Internet (auquel lesdites règles toutefois s’appliquent), la loi prévoit un code de déontologie pour le traitement des données à caractère personnel effectué par les fournisseurs des services sur le réseau (providers), afin d’assurer une règlementation uniforme, ainsi que pour sensibiliser les internautes sur leurs droits dans cette matière et sur le niveau de sécurité assuré par chaque fournisseur du service.

Venant à traiter de façon plus spécifique de quelques questions liées à l’Internet, comme, par exemple, l’emploi de technologies de surveillance électronique telles qu’un « logiciel espion » ou un « logiciel de publicité », on pourra assurément se référer aux remarques qu’on vient de faire sur les articles de 121 à 134 du « Code pour la protection des données à caractère personnel », qui apparaissent applicables à cette espèce.

Par contre on pourra aussi mentionner ici un phénomène assez fâcheux lié à l’emploi de l’Internet : le « spam ». On assiste en Italie à une extension de la définition du spam du point de vue du support de communication (fax, mail, sms, ou mms) et du contenu du message (propagande, liens vers des sites payants ou pornographiques, communications politiques). Or, du point de vue du support de communication : l’article 130 du « Code pour la protection des données personnelles » prévoit en son alinéa 1er que « l’envoi par des systèmes automatiques et sans accord préalable du destinataire de matériel publicitaire, de vente directe ou visant à conduire une étude de marché » est illégal. L’alinéa 2 précise que cette disposition s’applique également « aux communications électroniques par poste électronique, fax, messages de type mms, sms ou d’un autre type ». Du point de vue du contenu, si la définition « classique » du spam (unsollicited commercial mails) consiste en l’envoi systématique de mails non sollicités à caractère commercial ou publicitaire, l’Autorité garante pour la protection des données personnelles plaide pour une définition plus large. Le critère déterminant serait alors l’absence de consentement préalable du destinataire indépendamment du type de support et de contenu.

On pourra encore ajouter que le « Code pour la protection des données à caractère personnel » prévoit la rédaction d’un code de déontologie des pratiques sur internet. En plus, des lois sur le commerce électronique sont aussi applicables au spam : l’article 10 du décret-loi du 22 mai 1999 (transposant la directive de 1997 sur la protection des consommateurs dans le respect des contrats à distance) dispose que l’utilisation par un fournisseur de certains moyens de communication à distance (incluant le mail) nécessite le consentement préalable du consommateur. Ce texte s’applique aux contrats à distance concernant la fourniture de biens ou de services. Le non-respect de ces dispositions est puni d’une amende administrative pouvant aller de 2.582 à 5.164 euros. Ces amendes peuvent être doublées en cas d’infraction importante ou répétée. La police administrative dispose de l’autorité et des pouvoirs légaux de prononcer et faire appliquer les amendes, sur saisine d’office ou sur plainte. L’article 9 du décret-loi du 9 avril 2003 (transposant la directive de 2000 sur le commerce électronique) dispose que les communications commerciales non sollicitées par mail doivent être clairement et distinctement identifiées. Elles doivent de plus contenir une mention que le destinataire peut s’opposer à l’envoi de communications futures. La charge de la preuve du caractère sollicité des communications pèse ex lege sur l’expéditeur. Le non-respect de ces dispositions est puni d’une amende administrative d’un montant pouvant aller jusqu’à 10.000 euros. La police administrative dispose de l’autorité et des pouvoirs légaux de prononcer et faire appliquer les amendes, sur saisine d’office ou sur plainte. D’autres textes sont aussi applicables à cette situation. Ainsi, l’article 2043 du Code civil italien, pour tout acte volontaire ou non qui cause une perte injuste, permet à la personne qui a subi cette perte d’obtenir la réparation du dommage par son auteur. Mais la victime doit prouver non seulement la perte et le lien de causalité mais aussi le comportement négligeant ou volontairement dommageable de l’auteur. Le droit des contrats permet en cas de non-respect des conditions générales des contrats conclus avec les fournisseurs d’accès à internet d’interrompre le contrat. 

Finalement on pourra aussi citer les problèmes soulevés par certains sites tels que Facebook, sur lesquels les particuliers peuvent publier des données et des images à caractère personnel, qu’ils pourraient vouloir dans un moment successif retirer ou effacer (pour une explication en langue française, concernant les rapports avec la loi canadienne, cf. Denham, La protection de la vie privée et le Web : comment l’enquête du CPVP sur Facebook a créé des remous à l’échelle mondiale, disponible au site web suivant :

http://www.priv.gc.ca/speech/2009/sp-d_20091007_ed_f.cfm).

 

 

2)       Quelles lois régissent les enquêtes et la protection des droits en matière de respect de la vie privée?

·          Cette protection est-elle suffisante?

 

 

L’article 15 du « Code pour la protection des données à caractère personnel » prévoit pour l’activité de traitement, l’applicabilité de l’article 2050 Code civil italien en matière d’activités dangereuses (sur le sujet, cf. F.D. Busnelli, « Il trattamento dei dati personali nella vicenda dei diritti della persona : la tutela risarcitoria », in V. Cuffaro, V. Ricciuto et V. Zeno-Zencovich, Trattamento dei dati e tutela della persona, Milano, 1998, p. 177 ss. ; G. Comandè, « Danni cagionati per effetto del trattamento dei dati personali », in F.D. Busnelli et C.M. Bianca, Tutela della privacy : Nuove leggi civ. comm., 1999, p. 478 ss. ; G. Alpa, « La normativa sui dati personali. Modelli di lettura e problemi esegetici » : Dir. inf., 1997, p. 703 ss. ; D. Carusi, « La responsabilità », in V. Cuffaro et V. Ricciuto, Il trattamento dei dati personali, 2ª ed., Torino, 1999, p. 356 ss. ; R. Clarizia, « Legge 675/96 e responsabilità civile » : Dir. Inf., 1998, p. 235 ss. ; G. Buttarelli, Banche dati e tutela della riservatezza, Milano, 1997, p. 350 ss. ; M. Bin, « Privacy e trattamento dei dati personali » : Contr. Impr./ Europa, 1997, p. 459 ss. ; E. Giannantonio, « Responsabilità civile e trattamento dei dati personali » : Dir. Inf., 1999, p. 1035 ss.)

La question que la doctrine se pose est la suivante : le législateur a-t-il voulu qualifier l’activité de traitement de « dangereuse » ou alors a-t-il simplement prévu un régime plus rigoureux par rapport à celui organisé par l’article 2043 Code civil Italien, norme générale du système juridique italien, en matière de fait illicite ? Partant du principe que cette dernière solution apparaît préférable, l’on tentera en premier lieu de clarifier la portée de la norme du Code civil. L’article 2050 du Code civil italien représente une des hypothèses de responsabilité « spéciale » prévues par le législateur italien. Le nombre des activités considérées comme dangereuses n’est pas exhaustif mais s’établit au cas par cas. En ce sens, l’on doit considérer que le législateur a consacré (comme l’on peut déduire de l’incipit de l’article : « quiconque cause un dommage [...] ») un principe d’ « atypicité subjective », permettant d’adapter le concept de dangerosité au développement des activités économiques. L’art. 15 du « Code pour la protection des données à caractère personnel »prévoit donc un élargissement des hypothèses pouvant donner lieu à dommages et intérêts : en fait, alors que la Directive européenne (art. 23) parle de dommage causé par un traitement illicite, la loi italienne évoque simplement le dommage causé par le traitement (G. Comandè, « Danni cagionati per effetto del trattamento dei dati personali », in F.D. Busnelli et C.M. Bianca, Tutela della privacy : Nuove leggi civ. comm., 1999, p. 482), sans mentionner une quelconque illicéité. En réalité, se référant aux dispositions de l’article 2043 c.c. it. également dans ces cas, la condition de l’injustice de la violation est une nécessité (cf. dans ce dernier sens aussi M. Franzoni, « Dati personali e responsabilità civile » : Resp. civ. prev., 1998, p. 902).

En ce qui concerne le critère choisi en matière d’imputabilité de la responsabilité, en revanche, la norme italienne semble refléter, même si ce n’est pas tout à fait fidèlement, les choix communautaires. En fait, l’art. 23 de la Directive prévoit un système fondé sur un critère au moins en apparence objectif, qui cependant, laisse au responsable du traitement une possibilité de preuve libératoire. De même, la loi italienne, s’en tenant au cadre de l’article 2050 du Code civil italien, prévoit implicitement la possibilité pour le responsable de s’exonérer de sa responsabilité, en apportant la preuve que le fait dommageable ne lui est pas imputable à partir du moment où il a adopté toutes les mesures de nature à éviter la survenance du  préjudice (S. Sica, « Commento sub art. 18 », in E. Giannantonio, M. G. Losano et V. Zeno-Zencovich, La tutela dei dati personali. Commentario alla l. 675/96, Padova, 1997, p. 177). De plus, le texte prend en considération, de manière globale, le dommage causé par le traitement qui, conformément aux dispositions de l’article 1 de la loi indiquée, est défini comme toute opération ou ensemble d’opérations, accomplies avec ou sans l’aide de moyens électroniques, en tout état de cause, informatisés (principe d’atypicité objective des moyens qui peuvent provoquer le dommage). L’on peut en conséquence en conclure que la norme trouve à s’appliquer non seulement en cas de dommage dit « informatique », mais également pour tout type de traitement, y compris les traitements des manual data (cf. Riccio, ibidem).

On peut donc en conclure que l’optique du législateur italien semble véritablement orientée vers un renforcement des exigences de compensation de la victime du traitement (cf. Riccio, ibidem).

 

·          Les lois sont-elles exécutoires ou de nature informative?

 

 

        Des précisions qu’on vient de porter on pourra aisément déduire que la législation italienne en matière ne contient pas seulement des dispositions qu’on pourrait qualifier de nature informative, mais renferme plutôt des normes tout-à-fait exécutoires.

 

·          Comment un particulier peut-il porter plainte lorsqu’une entité privée ou un gouvernement enfreint les lois régissant le respect de la vie privée?

·          Qui se charge de poursuivre ou de faire appliquer la loi – par exemple, un commissaire à la protection de la vie privée, un organe administratif, comme un tribunal de la vie privée?

·          A-t-on prévu le droit à un recours judiciaire?

·          A-t-on prévu des possibilités de règlement des litiges à l’amiable?

 

 

        Tous les droits prévus par le « Code pour la protection des données à caractère personnel » peuvent être fait valoir pardevant l’autorité judiciaire ordinaire ou bien, en alternative, pardevant le bureau du Garant en matière de protection des données à caractère personnel. Le Garant, qui est une autorité administrative indépendante joue un rôle essentiel dans la protection contre les attaques à la vie privée. Il s’agit, plus exactement, de l’ « Autorité garante pour la protection des données à caractère personnel ». La Directive, bien que ne mentionnant pas dans les définitions de l’art. 2 cette institution, y fait référence dans ses considérants n° 25, 27, 48, 52, 54, 62, 63. L’on peut donc estimer que l’institution d’une autorité constitue, quelle que soit la manière dont on l’envisage, une application et une adaptation de la norme communautaire. L’expérience italienne vient donc si situer dans le sillon tracé dans d’autres systèmes juridiques, là où les autorités de garantie avaient trouvé leur place naturelle en étant mises en place par le législateur : voir, par exemple, la Commission Nationale de l’Informatique et des Libertés (la première autorité administrative indépendante) crée en France par la loi n° 17-78 dite « Informatique et Liberté » (sur ce point, cf. J. Frayssinet et P. Kayser, « La loi du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés et le décret du 17 juillet 1978 » : Revue de droit public, 1978, p. 629 ss. ; H. Maisl, « La maîtrise d’une interdépendance. Commentaire de la loi du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés » : JCP éd. G, 1978, I, n. 2891 ; également, pour la doctrine italienne, M. Bessone, « L’esperienza francese del diritto alla «intimità» della vita privata » : Pol. Dir., 1978, p. 335; G. Alpa, « Privacy e statuto dell’informazione. Il Privacy Act, 1974 e la Loi relative à l’informatique, aux fichiers et aux libertés n. 78/17del 1978 » : Riv. dir. civ., 1979, I, p. 65 ; M. Dassio, « Tutela delle persone e trattamento dei dati personali » : Riv. trim. dir. proc. civ., 1999, p. 445).

Le Garant opère de manière pleinement autonome et avec une indépendance de jugement et d’appréciation. En effet, il s’agit d’une autorité tierce qui exerce son propre mandat de manière autonome sans subir le contrôle ou l’interférence des pouvoirs législatif et judiciaire. Cette caractéristique se reflète également sur un autre aspect : bien qu’il s’agisse d’un organe administratif qui doit s’inscrire dans le cadre plus vaste des autorités administratives indépendantes (sur ce point, S. Cassese et F. Franchni (a cura di), I garanti delle regole, Bologna, 1996), celui-ci est doté de pouvoirs parajudiciaires pouvant décider pour toute question afférente à la protection des droits des intérêts en cause.

Comme on l’a déjà précisé plus haut, le recours au Garant traduit une hypothèse de double protection alternative : il est possible en fait de saisir l’autorité garante ou l’autorité judiciaire ordinaire. Le remède est alternatif dans la mesure où, en vertu des dispositions du Code pour la protection des données à caractère personnel, le recours au Garant devient impossible si l’autorité judiciaire a déjà été saisie et, en sens contraire, la saisine du Garant rend impossible la saisine de l’autorité judiciaire. Le grand avantage du recours au Garant consiste à supprimer les coûts et abréger les délais qui sont normalement nécessaires dans les jugements ordinaires.

Les membres de l’autorité sont au nombre de quatre : deux sont élus par la chambre des députés et deux par le Sénat de la République. Ils sont en charge durant 4 ans et ne peuvent être réélus plus d’une seule fois. Les membres ne peuvent exercer, sous peine de perdre leur charge, de fonctions de consultant ou autre activité professionnelle, être investis de charges électives ou être administrateurs ou employés d’administrations publiques (art. 153 du Code précité). Les quatre membres élisent un Président dont la voix prévaut en cas de parité.

En premier lieu, la présence d’un sujet doté de compétences spécifiques permet d’ajourner les dispositions légales et d’intégrer de nouveaux apports plus en phase avec la réalité. De plus, l’importance d’autres moyens à disposition du Garant est loin d’être négligeable (par ex. : newsletter, communiqués, etc...) qui bien que n’ayant pas valeur contraignante, aident à résoudre certains problèmes particuliers (toutes les décisions et mesures prises par le Garant sont consultables à l’adresse <http://www.garanteprivacy.it>).

Il reste enfin à éclaircir le rôle du sujet légitimé passif qui peut être appelé à répondre du dommage. La Directive dispose que l’obligation de dédommagement est imposée au responsable du traitement, défini à l’art. 2, lett. d), « comme la personne physique ou morale l’autorité publique, le service ou tout autre organisme qui seul ou conjointement  avec d’autres détermine les finalités et les moyens du traitement de données à caractère personnel ; lorsque les finalités et les moyens du traitement sont déterminés par des dispositions législatives  ou réglementaires nationales  ou communautaires, le responsable du traitement ou les critères spécifiques pour le désigner peuvent être fixés par le droit national ou communautaire ». La loi italienne prévoit en revanche que puisse être appelée à indemniser le dommage, « toute personne » s’occupant du traitement, c’est-à-dire, soit le titulaire, soit le responsable. En conséquence, leur position apparaît, de manière abstraite, de nature à laisser envisager une hypothèse de responsabilité solidaire conformément à l’article 2055 du Code civil Italien (cf. Riccio, ibidem).

Ainsi, c’est en ce sens, que le décalage entre la terminologie utilisée par le législateur communautaire et celle préférée pour la transposition n’est plus un problème : au responsable du traitement correspond, dans la version italienne, le titulaire (art. 4, al. 2, lett. f), du Code précité), et au contraire, le responsable coïncide avec celui qui est en charge du traitement dans la Directive.

 

B.            Initiatives du secteur privé

1)       Certaines entreprises, industries ou associations professionnelles de votre pays ont-elles leurs propres règles en matière de protection de la vie privée? Par exemple, existe-t-il des politiques, des codes professionnels, des normes volontaires en matière de respect de la vie privée?

2)       Qui ou quel organe, le cas échéant, s’assure que ces normes sont satisfaites?

 

 

Le « Code pour la protection des données à caractère personnel » (et, avant celui-ci, la loi n° 675 du 31 décembre 1996 sur la protection des personnes contre le traitement des données) comporte la rédaction de toute une série de codes de déontologie dans plusieurs domaines « privés ». Ils sont tous disponibles dans le site de l’Autorité garante (www.garanteprivacy.it).

Ici on pourra mentionner le code  de déontologie des journalistes. Il faudra tout d’abord préciser que toute personne qui traite des données personnelles, avec ou sans moyens électroniques, doit le notifier au Garant. Les journalistes entrent dans le champ d’application de la loi : ils doivent respecter une procédure de notification simplifiée. Les articles 136 ss. du « Code pour la protection des données à caractère personnel » stipulent que les données sensibles (c’est-à-dire qui concernent l’origine raciale et ethnique, les convictions religieuses, philosophiques ou autres, les opinions politiques, la participation à des partis, à des syndicats, à des associations ou à des organisations à caractère religieux, philosophique, politique ou syndical, ainsi que des données propres à révéler l’état de santé et la vie sexuelle) ne peuvent pas faire l’objet de quelque traitement que ce soit sans l’accord écrit de l’intéressé et sans l’autorisation préalable du Garant.

Cependant, à titre exceptionnel, les journalistes peuvent traiter des données sensibles sans autorisation de l’intéressé si les conditions suivantes sont réunies : - qu’ils agissent dans l’exercice de leur profession, et pour la poursuite exclusive des objectifs de la profession ; - qu’ils restent dans les strictes limites du « droit de chronique » ; - que l’information rapportée ait un caractère essentiel pour l’intérêt public. Cette exception ne s’applique pas aux informations relatives à l’état de santé ou à la vie sexuelle. Cette disposition tend à établir l’équilibre entre la liberté de la presse et le droit au respect de la vie privée. La loi prévoit aussi que le Garant encourage l’adoption par le Conseil national des journalistes d’un code de déontologie sur le traitement des données sensibles. Ce code de déontologie doit notamment comporter des mesures de garantie pour les intéressés. La violation du code de déontologie pourra être sévèrement punie par le Garant qui pourra interdire le traitement de certaines données, voire en imposer l’embargo. Ce code de déontologie a été adopté en 1998 (par effet de la loi de 1996, qui contenait déjà des dispositions semblables à celle du « Code pour la protection des données à caractère personnel »).

D’autres codes de déontologie ont été approuvé dans des champs tels que celui des agences d’investigation (approuvé en 2008), celui des systèmes gérés par des sujets privés en matière de crédits à la consommation, fiabilité et ponctualité dans les payements (approuvé en 2004), celui du traitement des données personnelles pour des buts statistiques et scientifiques (approuvé en 2004), celui du traitement des données personnelles à des fin d’effectuer des recherches historiques (approuvé en 2001).

 

 

C.            Questions internationales et transfrontalières

1)       Comment la vie privée est-elle protégée lorsque les renseignements sont échangés avec d’autres pays ou transmis à d’autres pays?

2)       Existe-t-il des ententes, lois, traités ou protocoles internationaux visant à protéger la vie privée dans ce cas?

3)       Votre pays limite-t-il l’échange de renseignements aux pays ayant les mêmes mesures de protection de la vie privée?

 

 

En ce qui concerne les conventions internationales, on peut rappeler l’art. 8 de la Convention Européenne pour la Protection des Droits de l’Homme et des Libertés Fondamentales, ratifiée par l’Italie en 1955, qui établit que chaque personne a le droit au respect de sa propre vie privée et familiale, de son domicile et de sa correspondance. L’art. 16 de la convention de New York du 20 novembre 1989 relative aux droits de l’enfant (ratifiée et rendue exécutive en Italie par la loi du 27 mai 1991, n° 176) établit que nul enfant ne fera l’objet d’immixtions arbitraires ou illégales dans sa vie privée, sa famille, son domicile ou sa correspondance (pour un cas de protection de la vie privée d’un enfant adoptif cf. Pret. Torino, 19 décembre 1989, Dir. fam. pers., 1990, p. 572).

L’Italie a en outre signé et ratifié la convention du Conseil de l’Europe « pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel » (STE n° 108), Ouverte à la signature des Etats membres du Conseil de l’Europe, à Strasbourg, le 28 janvier 1981 (entrée en vigueur le 1er octobre 1985). La Convention a été le premier instrument international contraignant ayant pour objet de protéger les personnes contre l’usage abusif du traitement automatisé des données à caractère personnel, et qui réglemente les flux transfrontaliers des données.

Outre des garanties prévues en ce qui concerne le traitement automatisé des données à caractère personnel, elle proscrit le traitement des données « sensibles » relatives à l’origine raciale, aux opinions politiques, à la santé, à la religion, à la vie sexuelle, aux condamnations pénales, etc... , en l’absence de garanties offertes par le droit interne. La Convention garantit également le droit des personnes concernées de connaître les informations stockées à leur sujet et d’exiger le cas échéant des rectifications. Seule restriction à ce droit : lorsque les intérêts majeurs de l’Etat (sécurité publique, défense, etc...) sont en jeu. La Convention impose également des restrictions aux flux transfrontaliers de données dans les Etats où n’existe aucune protection équivalente.

Pour ce qui est de la législation interne italienne, les articles 42 – 45 du « Code pour la protection des données à caractère personnel » s’occupent des problèmes déterminés par la transmission de données à l’étranger. En particulier, l’art. 42 stipule que les dispositions dudit Code ne peuvent être appliquées de façon à restreindre ou interdire la libre circulation des données entre les Etats membres de l’U.E.

Pour ce qui est de la transmission de données à caractère personnel vers des Pays qui ne font pas partie de l’U.E., cette transmission est permise, aux termes de l’art. 43, sous réserve d’un certain nombre de conditions, parmi lesquelles figurent, à titre d’exemple, le consensus exprimé par le sujet concerné, ou bien la présence d’un certain nombre de situations prévues par la loi, telles que des exigences liées aux enquêtes pénales ou à des procès civils, pénaux ou administratifs. Encore, le transfert de ces données est permis à des fins de recherche scientifique. L’Autorité garante peut aussi autoriser la transmission à l’étranger (dans des Pays qui ne sont pas membres de l’U.E.) des données à caractère personnel à certaines conditions spécifiées par l’art. 44. Pour ce qui est des cas non prévus par les articles 43 et 44, la transmission à l’étranger de ces données est interdite (art. 45) lorsque le Pays concerné n’assure pas un niveau de protection adéquat.

L’Italie a d’ailleurs signé (mais pas encore ratifié) le Protocole additionnel à la Convention du Conseil de l’Europe susmentionnée pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel, concernant les autorités de contrôle et les flux transfrontières de données (STE n° 181). Ce texte renforce la protection des données personnelles et de la vie privée, en complétant la « convention-mère » de 1981 sur deux points : il prévoit l’établissement d’autorités de contrôle chargées d’assurer le respect des lois ou règlements introduits par les Etats en application de la Convention concernant la protection des données personnelles et les flux transfrontières de données. Le deuxième point concerne les flux transfrontières de données vers des pays tiers, qui ne pourront être transférées que si elles bénéficient dans l’Etat ou l’organisation internationale destinataire, d’un niveau de protection adéquat.

L’Autorité garante italienne a mis en place un département international qui développe ses efforts dans plusieurs directions comme le renforcement des relations bilatérales avec les pays tiers pour favoriser le partage d’informations, et une présence marquée auprès de la Commission européenne. L’Italie est par ailleurs membre de l’Internet Society et participe au SMSI (sommet mondial de la société de l’information) organisé par l’Union internationale des télécommunications.

Finalement, du point de vue du droit comparé, on pourra signaler deux sites contenant des adresses web relatives aux autorités garantes de la protection des données personnelles, ainsi que d’autres informations sur les questions liées à la protection de la vie privée dans plusieurs système du monde : http://www.privacy.it/linkpriv1.html ; http://www.cnil.fr/fileadmin/documents/approfondir/dossier/international/panorama-legislation.pdf.

 

Turin, le 12 juin 2010.

 

Giacomo Oberto

Secrétaire Général Adjoint

de l’Union Internationale des Magistrats

 

RETOUR A LA PAGE D’ACCUEIL