Union Internationale des Magistrats
2e commission d’étude
Droit civil et procédure
Réponses de la délégation italienne au
Questionnaire pour la réunion de 2010
(Dakar – Sénégal, 7-11 novembre 2010)
QUESTIONS CIVILES LIÉES À LA
PROTECTION DE LA VIE PRIVÉE
(PLUS PRÉCISÉMENT LORSQU’INTERNET EST EN JEU)
Introduction
(I)
L’évolution de la législation italienne avant 1996.
Aucune disposition de la
Constitution italienne ne garantit explicitement le droit à la vie privée. La
législation ordinaire ne reconnaissait pas non plus un tel droit d’une façon
générale, jusqu’à l’approbation de la loi en date du 31 décembre 1996, n° 675,
qui a transposé en droit interne la Directive n° 46/95/CE. Avant cette loi il
existait pourtant plusieurs dispositions de caractère particulier,
desquelles la doctrine et la
jurisprudence depuis longtemps avaient déduit l’existence de ce droit de la
personnalité.
En commençant par la
Constitution, il faudra mentionner les artt. 14 et 15, qui consacrent aussi
bien l’inviolabilité du domicile que le secret de la correspondance et de toute
autre forme de communication. Ces mêmes principes sont affirmés par le code
pénal (artt. 614 ss.). Le secret de la correspondance est protégé aussi par la
loi sur le droit d’auteur, qui permet à chacun de s’opposer à la diffusion de
son courrier, de ses mémoires ou de ses écrits de caractère confidentiel (art.
93 de la loi du 22 avril 1941, n° 633; voir aussi, en matière de propriété
littéraire et artistique, l’art. 126 de la même loi, qui prévoit le droit des
auteurs de cacher la paternité intellectuelle de leurs œuvres).
Quelques aspects
particuliers de la vie privée sont protégés par des articles du code pénal qui
ont été introduits par la loi du 8 avril 1974, n° 89 (en matière de
« protection de la vie privée et de la liberté et du secret des
communications »). Ainsi l’art. 615 bis
c.p. punit touts ceux qui, par l’emploi d’instruments de reprise visuelle ou
sonore (par exemple, photographie au téléobjectif: cf. Trib. Milano, 8 avril
1991, Dir. inform., 1991, 865), se
procurent indûment des nouvelles ou des images concernant la vie privée à
l’intérieur du domicile d’autrui, ou dans un autre lieu de séjour privé. L’art.
617 bis c.p. punit touts ceux qui, en
dehors des cas prévus par la loi, installent des appareils ou des instruments
afin d’intercepter des communications ou des conversations téléphoniques ou
télégraphiques. Il en est de même pour les écoutes de communications qui ont
lieu par le biais d’instruments informatiques (cf. les articles 617 quater, 617 quinquies et 617 sexies
du code pénal). Dans le domaine du droit pénal il faudra encore mentionner les
dispositions concernant la protection du secret professionnel (art. 622 c.p.)
et du secret sur les enquêtes criminelles (art. 684 c.p.; artt. 114 s., 329
c.p.p.).
Tout en revenant au droit
privé, on pourra d’abord citer l’art. 10 c.c., en matière de droit à l’image:
c’était la seule disposition du code civil de laquelle on pouvait déduire avant 1996 l’existence du droit au
respect de la vie privée.
Encore, quelques aspects
de la vie privée sont protégés dans le domaine des actes de l’état civil. Ainsi
l’art. 5 de la loi du 14 avril 1982, n° 164 (en matière de rectification de la
mention du sexe) prévoit que, lorsque le changement du sexe et la conséquente
rectification de l’acte de naissance ont été autorisés par le tribunal, les officiers de l’état
civil doivent délivrer les extraits relatifs aux personnes dont le sexe a été
modifié avec la seule mention du nouveau sexe et du nouveau nom. L’art. 28 de
la loi du 4 mai 1983, n° 184, en matière d’adoption comportant rupture des
liens avec la famille d’origine, établit que les extraits de l’état civil
concernant un enfant qui a été adopté ne peuvent indiquer que le nouveau nom de
famille, sans aucune référence à la paternité ou à la maternité biologique du
mineur.
Dans le domaine de la
protection des travailleurs, l’art. 8 de la loi du 20 mai 1970, n° 300
(« statut des travailleurs ») interdit aux employeurs d’effectuer des
recherches sur les opinions politiques, religieuses et syndicales des
travailleurs. L’art. 4 de ladite loi interdit l’installation d’instruments
audiovisuels et d’autres appareils pour contrôler à distance l’activité des
travailleurs. De la même façon, l’art. 26 de la loi du 24 décembre 1986, n° 958
(qui a modifié l’art. 17 de la loi du 11 juillet 1978, n° 382), en matière de
service militaire interdit l’annotation dans les fiches personnelles
d’informations relatives aux opinions politiques, religieuses ou syndicales des
militaires.
En matière de santé la
loi du 5 juin 1990, n° 135 (sur la prévention et la lutte contre le SIDA),
prévoit, à l’art. 5, alinéa 3, que personne ne puisse être soumis, contre son
gré, à des analyses ayant pour but la vérification d’une infection du HIV, sauf
pour des raisons de nécessité clinique et dans l’intérêt de la personne visée.
Dans le cadre d’un programme
épidémiologique lesdites analyses ne sont permises que lorsque les échantillons
à analyser ont été rendus anonymes avec absolue impossibilité de parvenir à
l’identification des personnes
intéressées. L’art. 5, alinéa 4, de la même loi établit que la
communication des résultats des
vérifications diagnostiques concernant les infections de HIV ne peut être
effectuée qu’à la personne à laquelle les examens se rapportent.
(II)
L’évolution de la jurisprudence italienne avant 1996.
Bien que n’ayant pas
bénéficié d’une réglementation autonome, le droit à la protection de la vie
privée était amplement reconnu par la jurisprudence, même s’il manquait une
approche unitaire et systématique de cette discipline. La jurisprudence
italienne a commencé à s’occuper du problème au cours des années cinquante et
soixante du XXIème siècle, par rapport à certains cas de diffusion
de nouvelles concernant la vie privée de personnages publics. Dans un premier
nombre de décisions la Cour de Cassation avait nié l’existence d’un droit au
respect de l’intimité, tout en considérant comme illégitime, en certains cas,
la diffusion de nouvelles réservées sur la vie privée de personnages notoires
(cf. Cass., 22 décembre 1956, n° 4487, citée ultérieurement ; Cass., 7 décembre
1960, n° 3199; Cass., 20 avril 1963, n° 990, citée ultérieurement).
En fait, la première
décision jurisprudentielle en matière de protection de la vie privée a été la
décision Caruso. À la suite de la
réalisation d’un film sur la vie du célèbre ténor, ses héritiers se plaignaient
du choix de l’acteur devant interpréter son rôle (Ermanno Randi), de
l’utilisation de la voix d’un autre ténor (Mario Del Monaco) aux lieux et
places de l’originale et de la transposition de certains épisodes de sa vie de
ténor qui jetaient le discrédit sur son image et sur celle de sa famille. En
première instance, le tribunal (Trib. Roma, 14 settembre 1953, Foro it.,
1954, I, c. 115, obs. G. Pugliese
[qui, commentant la décision, prend parti pour l’inexistence du droit à la
protection de la vie privée dans le système juridique italien et pour
l’impossibilité de l’application de l’analogie]) a reconnu l’existence d’un
véritable droit à la protection de la vie privée, alors qu’en appel (App. Roma,
15 maggio 1955, Foro it., 1955, I, c. 793), bien que confirmant la
décision du tribunal pour ce qui était de la somme due à titre de dommages et
intérêts, la cour plaçait le litige moins sur le terrain de l’ingérence
d’autrui dans la vie privée, que sur celui de l’atteinte à l’honneur. La Cour
de cassation, en revanche, adoptant une attitude différente, considéra que le
simple désir de discrétion ne méritait aucune protection, lorsque les
intéressés n’avaient pas eux-mêmes réussi à préserver la confidentialité de
faits relevant de leur vie privée (cf. Cass., 22 dicembre 1956, n. 4487, Giur.
it., 1957, I, 1, p. 366, obs. G. Pugliese
et obs. Ligi ; Foro it.,
obs. A. De Cupis ; Riv. dir.
comm., 1957, II, p. 2000 ; Giust. civ., 197, I, p. 214).
L’avis de la Cour suprême
enregistra un revirement marqué dans l’affaire Petacci c. Palazzi e Tofanelli (Cass., 24 aprile 1963, n. 990, Foro
it., 1963, I, c. 1298, obs. A. De
Cupis ; Foro Pad., 1963, I, c. 513, obs. Ondei ; Temi, 1963, p. 241, obs. Candian ; Giur. civ., I, p. 1280,
obs. Sgroi). Dans le cas d’espèce,
la Cour repéra le fondement du droit à la vie privée dans l’article 2 de la
Constitution italienne et considéra que les questions afférentes à la vie
privée doivent demeurer protégées de toute atteinte lorsque l’intéressé n’a pas
donné son consentement préalable à la diffusion de ces dernières, ou qu’il n’y
a pas de motif d’intérêt général à leur révélation.
A la moitié des années
soixante-dix la jurisprudence de légitimité a changé d’opinion, tout en
consacrant, d’un côté, le droit à la vie privée, mais en essayant, de l’autre,
à trouver un équilibre entre la liberté de la presse et la sauvegarde de la vie
privée. La solution a été trouvée dans
le principe selon lequel la diffusion de nouvelles concernant la vie privée est
justifiée lorsque les informations correspondent à un « intérêt
socialement appréciable », ou bien lorsqu’il existe des « intérêts
publics prééminents » (Cass., 27 mai 1975, n° 2129, citée ultérieurement ;
Cass., 13 mars 1985, n° 1968), comme,
par exemple, quand il s’agit de graves épisodes de la criminalité ou de
relevants phénomènes sociaux (Pret. Roma, 23 novembre 1989, Dir. aut., 1991, p. 554).
En tout cas, on ne peut
pas considérer qu’il existe un « intérêt public prééminent » lorsque
la diffusion des nouvelles n’est effectuée qu’à des buts commerciaux ou
lucratifs (cf. Pret. Firenze, 3 marzo 1986, Giust.
civ., 1986, I, p. 2279; Trib. Roma, 20 novembre 1986, Temi romana, 1986, p. 696 ; Trib. Roma, 16 febbraio 1990, Giur. it., 1991, I, 2, c. 34, en matière
de diffusion des actes du procès de divorce entre deux personnalités du
spectacle).
En effet, la
reconnaissance jurisprudentielle définitive du droit au respect de la vie
privée est intervenue avec la décision Soraya
Esfandiari c. Rusconi (Cass. 27 maggio 1975, n. 2129, Giur. it.,
1976, I, 1, c. 970). Le cas d’espèce est particulier : la princesse Soraya,
bien qu’ayant été répudiée par son mari, avait obtenu un droit à une rente
viagère, à la condition d’avoir une conduite irréprochable. Par la suite, un
hebdomadaire à scandales avait publié les photographies de la princesse,
apparaissant chez elle, dans des attitudes peu équivoques en compagnie d’un
inconnu. Naturellement, les personnes photographiées n’avaient pas donné leur
accord préalable à la publication de ces clichés. La Cour de cassation reconnut
un droit à la protection de la vie privée dans tous les cas où il est
impossible de se prévaloir du consentement de l’intéressé ou quand il est
d’intérêt général de prendre connaissance de la nouvelle.
(III) La
loi Nr. 675/96 et le décret législatif n° 196 du 30 juin 2003.
Si l’on peut donc dire
qu’un droit autonome à la protection de la vie privée avait déjà été reconnu
par la jurisprudence (dans ce sens, cf. G. Alpa,
La disciplina dei dati personali. Note esegetiche sulla legge 31dicembre
1996, n. 675 e successive modifiche, Milano, 1998, p. 22 ; Riccio, « La protection de la vie
privée : brève analyse de la situation italienne » : Lex Electronica, vol. 6, n° 2, Hiver / Winter 2001, http://www.lex-electronica.org/docs/articles_160.htm#*).
Par ailleurs, le corpus normatif
existant n’offrait pas la possibilité d’une reconstruction unitaire de
l’institution. La doctrine, et plus spécialement la plus ancienne, n’avait pas
non plus réussi à aller au-delà de la détermination d’un droit à la vie privée,
entendu comme un droit à la protection de l’intimité contre les atteintes
d’autrui (A. De Cupis,
« Riservatezza e segreto (diritto a) » : Noviss. dig. it.,
XVI, Torino, 1969, p. 115, qui définit la protection de la vie privée comme
moyen d’être négatif de la personne par rapport aux autres sujets et, plus
précisément, à la connaissance de ceux-ci ; voir aussi A. Candian, « Anonimato
(diritto all’) » : Enc. dir., II, Milano, 1958, p. 501 ;
l’évolution jurisprudentielle du concept est bien synthétisé par M. Bessone et G. Giacobbe, Il diritto alla riservatezza in Italia e in
Francia, Padova, 1988, p. 377 ss.) ou, pour reprendre la célèbre
définition de Warren et Brandeis, comme right
to be let alone (cf. S.D. Warren
et L.D. Brandeis, « The right
to privacy » : 4 Harvard L.R. (1890), p. 193; Riccio, ibidem).
Le procédé analogique (rectius : interprétation extensive et
logico-systématique), suivi par la jurisprudence et la doctrine en recourant au
concept de l’atteinte à l’honneur et à la réputation ou en appliquant les
normes prévues pour protéger le droit à l’image et au nom, ne réussissait pas à
rassembler dans un corpus unitaire ni à caractériser un droit ou des droits à
la protection de la vie privée, l’identité personnelle et, surtout, la
protection des données à caractère personnel, ni à retrouver harmonieusement le
fondement de la protection juridique (Riccio,
ibidem). Le grand mérite de la loi
n°675/96 vient justement de sa capacité à parvenir « à la quadrature du cercle
», en réussissant à attribuer une dignité autonome à ce droit (Riccio, ibidem). À la lumière de ces considérations, la discussion semble
floue, même si appréciable dans une intention systématique, s’agissant de la
reconduction de la loi à la summa divisio, bien trop connue de la
doctrine italienne et peut-être quelque peu ignorée et sous-évaluée par celle
francophone, marquée par la théorie atomistique et pluraliste des droits de la
personnalité (la discussion est reprise, entre autres par D. Messinetti, « Personalità (diritti
della) » : Enc. Dir., XXXIII, Milano, 1983, p. 355).
Certains auteurs ont
remarqué (cf. p. ex. Riccio, ibidem) que, du point de vue comparatif,
les premiers textes normatifs (Suède 1973, Allemagne 1977, Autriche, 1978,
France 1978, Luxembourg 1978) apparaissent en fait tournés de manière rigide
vers la protection de la personne contre les risques possibles dûs au
traitement effectué par des ordinateurs. À cette époque, le spectre d’un monde
orwellien était encore trop présent dans les esprits et les progrès techniques
qui accéléraient les modalités de collecte et de traitement automatisé de
données ont favorisé une très nette fermeture de la part du législateur,
qu’exprime la rigidité des instruments de protection choisis. Dans une deuxième
phase, l’on trouve les normes plus récentes (par ex. : la loi suisse)
d’inspiration à l’évidence plus libérale, qui considèrent l’usage de
l’ordinateur comme un des instruments possibles adoptés pour effectuer le
traitement des données à caractère personnel. La Directive européenne 46/95/CE
et la législation italienne semblent s’insérer dans cette tendance, considérant
la personne comme l’objet de la protection (sur ce sujet, voir P. Stanzione, « Persona fisica,
Diritto civile » : Enc. Giur., XXIII, Roma, 1991, p. 1 ss ;
aussi in G. Autorino - P. Stanzione, Diritto civile e
situazioni esistenziali, Torino, 1997, p. 11 ss. ; sur la
transposition de ladite directive européenne dans le droit français cf. Soulier, La protection des données à caractère personnel et de la vie privée
dans le secteur des communications électroniques. Perspective française,
disponible à l’adresse web suivante :
http://www.persee.fr/web/revues/home/prescript/article/ridc_0035-3337_2002_num_54_2_18761
; Rigaux, Les paradoxes de la protection de la vie privée François,
disponible à l’adresse web suivante : http://www.asmp.fr/travaux/gpw/internetvieprivee/rapport1/chapitr3.pdf)
et offrant une perspective élargie de la donnée à caractère personnel en y
englobant toute opération permettant l’identification de la personne et
accomplie avec ou sans l’aide d’ordinateurs.
Il faudra encore ajouter
que les dispositions de la loi de 1996 ont été par la suite transposées dans le
décret législatif n° 196 du 30 juin 2003 (texte en anglais disponible au site
web suivant : http://www.garanteprivacy.it/garante/navig/jsp/index.jsp?folderpath=Normativa%2FItaliana%2FIl+Codice+in+materia+di+protezione+dei+dati+personali) :
le document a pris le nom de « Code pour la protection des données à
caractère personnel ». Ce « Code » a tenu compte entre autres,
de la transposition dans le droit italien de la directive 2002/58/CE du
Parlement européen et du Conseil du 12 juillet 2002 concernant le traitement
des données à caractère personnel et la protection de la vie privée dans le
secteur des communications électroniques (directive vie privée et communications
électroniques).
|
A. Lois et règlements 1)
Quelles lois régissent la protection de la vie privée
dans votre système juridique? Existe-t-il des dispositions dans le code
civil/les lois/la common law qui
protègent les particuliers contre les atteintes à la vie privée, notamment en
ce qui concerne : a)
dans le secteur public ·
l’accès des particuliers aux renseignements réunis sur
eux par divers organismes gouvernementaux; |
Le « Code pour la
protection des données à caractère personnel », sur la genèse duquel on
s’est entretenu dans les paragraphes précédants, vise à protéger la vie privée
des personnes contre tout type d’atteintes, soit dans le secteur public, soit
dans le secteur privé. Ledit code stipule, à l’art. 7, que toute personne
intéressée a le droit à accéder aux données à caractère personnelles le
concernant, afin d’obtenir que ces données soient mis à jour, traitées de façon
conforme à la loi et éventuellement effacées, si elles ont été insérées dans
une base de données contrairement à ce qui est prévu par la loi.
|
·
la protection de ces renseignements contre la
divulgation à des tiers ; |
La
divulgation des données concernant une personne est considérée comme une forme
de « traitement » par l’art. 4, alinéa 1, a), dudit Code. Il s’en
suit qu’aux termes de l’art. 7, alinéa 4, toute personne intéressée a le droit
de s’opposer au traitement (y compris la divulgation à des tiers) des données
le concernant, sauf que dans les cas où une quelque forme de traitement est
permise expressément par la loi.
|
·
l’accès des membres des médias ou du public aux
dossiers du gouvernement, par exemple, aux dossiers concernant la prise de
décisions et de mesures gouvernementales, et les limites prévues ; • les limites prévues en
matière d’échange de renseignements entre organismes gouvernementaux. |
Les
articles 59 et 60 du Code précité s’occupent de la matière de l’accès aux
documents administratifs en renvoyant pour cela à la loi spéciale n° 241 du 7
aout 1990. Les articles 22 ss. de cette loi stipulent un droit d’accès aux
documents administratifs, sauf quelques exceptions, liées surtout aux questions
de sureté nationale. Toute demande d’accès à un document administratif doit
pourtant être motivée. La loi prévoit aussi des procédures à suivre lorsque la
demande d’accès n’est pas accueillie. Le procès se déroule pardevant la
juridiction administrative (tribunaux administratif régionaux en premier degré
et Conseil d’Etat en appel). Une commission spéciale auprès de la présidence du
Conseil des ministres a été installée afin de veiller à la correcte application
de cette loi sur l’accès aux documents de l’administration publique.
|
b)
dans le secteur privé ·
la protection contre la divulgation à des tiers de
renseignements personnels réunis dans le cadre du commerce électronique, par
exemple : ü
renseignements personnels fournis par le biais de
cartes de crédit/de débit et autres transferts de fonds électroniques; ü
renseignements personnels obtenus aux fins d’évaluation
du crédit et d’opérations bancaires; ü
dossiers sur les habitudes des usagers (téléphone;
activités en ligne); ü
dossiers tenus aux fins de couverture d’assurance et
autres prestations des services sociaux offertes par le secteur privé. |
Comme on l’a déjà expliqué par rapport au secteur
public, le « Code pour la protection des données à caractère
personnel », sur la genèse duquel on s’est entretenu dans les paragraphes
précédants, vise à protéger la vie privée des personnes contre tout type
d’atteintes, soit dans le secteur public, soit dans le secteur privé. Ledit
code stipule, à l’art. 7, que toute personne intéressée a le droit à accéder
aux données à caractère personnelles le concernant, afin d’obtenir que ces
données soient mis à jour, traitées de façon conforme à la loi et
éventuellement effacées, si elles ont été insérées dans une base de données
contrairement à ce qui est prévu par la loi.
Ce principe trouve application, bien entendu, dans
chacun des rapports privés auxquels la question fait référence (banques, cartes
de crédit, compagnies d’assurance, sociétés fournissant services tels que
téléphone, activités en ligne, internet, prestations à caractère social, etc.).
Par conséquent, la divulgation des données concernant une personne étant
considérée comme une forme de « traitement » par l’art. 4, alinéa 1,
a), dudit Code, il s’en suit qu’aux termes de l’art. 7, alinéa 4, toute
personne intéressée a le droit de s’opposer au traitement (y compris la
divulgation à des tiers) des données le concernant, sauf que dans les cas où
une quelque forme de traitement est permise expressément par la loi.
Cela dit, il faut ajouter que le Code en question
discipline aux articles 117 – 120 les questions spécifiques ayant trait à la
matière des rapports avec les banques et les assurances. Dans ce cadre, un code
de déontologie a été approuvé en 2004 concernant les systèmes informatisés
gérés par les particuliers en matière de crédits de consommation, ainsi que sur
la fiabilité et la ponctualité dans les paiements. Pour ce qui est des
assurances, c’est à l’ISVAP (Institut de surveillance sur les assurances
privées et d’intérêt collectif) de définir par un règlement les procédures
régissant les banques de données concernant les accidents de la circulation, y
compris les droits et les modalités d’accès aux informations qu’y sont
stockées.
|
·
la protection contre la collecte clandestine de
renseignements sur Internet, par exemple, au moyen de technologies de
surveillance électronique telles qu’un « logiciel espion » ou un
« logiciel de publicité ». |
Les articles de 121 à 134 du « Code pour la
protection des données à caractère personnel » traitent spécifiquement des
services de communication électronique. En particulier, l’art. 122 stipule,
pour ce qui est des informations collectées sur les abonnées ou les usagers,
qu’en général est interdit de faire usage d’un réseau de communication
électronique pour accéder à des informations stockées dans l’ « appareil
terminal » (c.à.d. l’ordinateur) d’un abonné ou d’un usager, afin de
collecter des informations ou afin de contrôler les opérations de l’usager. Un
code de déontologie doit pourtant spécifier quels sont les conditions et les
limites concernant l’usage des réseaux pour assurer la réalisation de buts
légitimes concernant la mémorisation technique des données en question pour le
temps strictement nécessaire pour la communication. Ledit code de déontologie
doit aussi prévoir les cas dans lesquels, afin de fournir un service demandé
par l’usager, le fournisseur du service peut conserver les données en question,
pourvu qu’un consensus informé à ce sujet ait été exprimé par l’usager.
L’article 123 du « Code pour la protection des
données à caractère personnel » s’occupe des données relatives au trafic
internet entre fournisseurs du service de communication électronique et
usagers. Ces données doivent être normalement effacées ou rendues anonymes
lorsqu’elles ne sont plus nécessaires pour la transmission de la communication
électronique.
Le traitement des données concernant le débit qui
sont nécessaires pour la facturation des services rendus à l’abonné seront
gardés (afin de permettre la solution d’éventuels différends sur la
facturation) pour une période qui ne peut pas dépasser les six mois, sauf en
cas de contestation dans le cadre d’un procès.
L’autorité garante des communications peut
pourtant obtenir les données relatives à la facturation ou au trafic internet,
lorsqu’elles sont nécessaires afin de résoudre les différends en matière de
réseau d’interconnexion ou de facturation.
Pour ce qui est spécifiquement de l’Internet
(auquel lesdites règles toutefois s’appliquent), la loi prévoit un code de
déontologie pour le traitement des données à caractère personnel effectué par
les fournisseurs des services sur le réseau (providers), afin d’assurer une
règlementation uniforme, ainsi que pour sensibiliser les internautes sur leurs
droits dans cette matière et sur le niveau de sécurité assuré par chaque
fournisseur du service.
Venant à traiter de façon plus spécifique de
quelques questions liées à l’Internet, comme, par exemple, l’emploi de technologies
de surveillance électronique telles qu’un « logiciel espion » ou un « logiciel
de publicité », on pourra assurément se référer aux remarques qu’on vient de
faire sur les articles de 121 à 134 du « Code pour la protection des
données à caractère personnel », qui apparaissent applicables à cette
espèce.
Par contre on pourra aussi mentionner ici un
phénomène assez fâcheux lié à l’emploi de l’Internet : le
« spam ». On assiste en Italie à une extension de la définition du
spam du point de vue du support de communication (fax, mail, sms, ou mms) et du
contenu du message (propagande, liens vers des sites payants ou
pornographiques, communications politiques). Or, du point de vue du support de
communication : l’article 130 du « Code pour la protection des données
personnelles » prévoit en son alinéa 1er que « l’envoi par des
systèmes automatiques et sans accord préalable du destinataire de matériel
publicitaire, de vente directe ou visant à conduire une étude de marché »
est illégal. L’alinéa 2 précise que cette disposition s’applique également
« aux communications électroniques par poste électronique, fax, messages
de type mms, sms ou d’un autre type ». Du point de vue du contenu, si la
définition « classique » du spam (unsollicited commercial mails) consiste
en l’envoi systématique de mails non sollicités à caractère commercial ou
publicitaire, l’Autorité garante pour la protection des données personnelles
plaide pour une définition plus large. Le critère déterminant serait alors
l’absence de consentement préalable du destinataire indépendamment du type de
support et de contenu.
On pourra encore ajouter que le « Code pour
la protection des données à caractère personnel » prévoit la rédaction
d’un code de déontologie des pratiques sur internet. En plus, des lois sur le
commerce électronique sont aussi applicables au spam : l’article 10 du
décret-loi du 22 mai 1999 (transposant la directive de 1997 sur la protection
des consommateurs dans le respect des contrats à distance) dispose que
l’utilisation par un fournisseur de certains moyens de communication à distance
(incluant le mail) nécessite le consentement préalable du consommateur. Ce
texte s’applique aux contrats à distance concernant la fourniture de biens ou
de services. Le non-respect de ces dispositions est puni d’une amende
administrative pouvant aller de 2.582 à 5.164 euros. Ces amendes peuvent être
doublées en cas d’infraction importante ou répétée. La police administrative
dispose de l’autorité et des pouvoirs légaux de prononcer et faire appliquer
les amendes, sur saisine d’office ou sur plainte. L’article 9 du décret-loi du
9 avril 2003 (transposant la directive de 2000 sur le commerce électronique)
dispose que les communications commerciales non sollicitées par mail doivent
être clairement et distinctement identifiées. Elles doivent de plus contenir
une mention que le destinataire peut s’opposer à l’envoi de communications
futures. La charge de la preuve du caractère sollicité des communications pèse
ex lege sur l’expéditeur. Le non-respect de ces dispositions est puni d’une
amende administrative d’un montant pouvant aller jusqu’à 10.000 euros. La
police administrative dispose de l’autorité et des pouvoirs légaux de prononcer
et faire appliquer les amendes, sur saisine d’office ou sur plainte. D’autres
textes sont aussi applicables à cette situation. Ainsi, l’article 2043 du Code
civil italien, pour tout acte volontaire ou non qui cause une perte injuste,
permet à la personne qui a subi cette perte d’obtenir la réparation du dommage
par son auteur. Mais la victime doit prouver non seulement la perte et le lien
de causalité mais aussi le comportement négligeant ou volontairement
dommageable de l’auteur. Le droit des contrats permet en cas de non-respect des
conditions générales des contrats conclus avec les fournisseurs d’accès à
internet d’interrompre le contrat.
Finalement on pourra aussi citer les problèmes
soulevés par certains sites tels que Facebook, sur lesquels les particuliers
peuvent publier des données et des images à caractère personnel, qu’ils
pourraient vouloir dans un moment successif retirer ou effacer (pour une
explication en langue française, concernant les rapports avec la loi
canadienne, cf. Denham, La protection de la vie privée et le Web : comment
l’enquête du CPVP sur Facebook a créé des remous à l’échelle mondiale,
disponible au site web suivant :
http://www.priv.gc.ca/speech/2009/sp-d_20091007_ed_f.cfm).
|
2)
Quelles lois régissent les enquêtes et la protection
des droits en matière de respect de la vie privée? ·
Cette protection est-elle suffisante? |
L’article 15 du
« Code pour la protection des données à caractère personnel » prévoit
pour l’activité de traitement, l’applicabilité de l’article 2050 Code civil
italien en matière d’activités dangereuses (sur le sujet, cf. F.D. Busnelli,
« Il trattamento dei dati personali nella vicenda dei diritti della
persona : la tutela risarcitoria », in V. Cuffaro, V. Ricciuto et V.
Zeno-Zencovich, Trattamento dei dati e tutela della persona, Milano, 1998, p.
177 ss. ; G. Comandè, « Danni cagionati per effetto del trattamento dei
dati personali », in F.D. Busnelli et C.M. Bianca, Tutela della
privacy : Nuove leggi civ. comm., 1999, p. 478 ss. ; G. Alpa, « La
normativa sui dati personali. Modelli di lettura e problemi
esegetici » : Dir. inf., 1997, p. 703 ss. ; D. Carusi, « La
responsabilità », in V. Cuffaro et V. Ricciuto, Il trattamento dei dati
personali, 2ª ed., Torino, 1999, p. 356 ss. ; R. Clarizia, « Legge 675/96
e responsabilità civile » : Dir. Inf., 1998, p. 235 ss. ; G.
Buttarelli, Banche dati e tutela della riservatezza, Milano, 1997, p. 350 ss. ;
M. Bin, « Privacy e trattamento dei dati personali » : Contr.
Impr./ Europa, 1997, p. 459 ss. ; E. Giannantonio, « Responsabilità civile
e trattamento dei dati personali » : Dir. Inf., 1999, p. 1035 ss.)
La question que la
doctrine se pose est la suivante : le législateur a-t-il voulu qualifier l’activité
de traitement de « dangereuse » ou alors a-t-il simplement prévu un régime plus
rigoureux par rapport à celui organisé par l’article 2043 Code civil Italien,
norme générale du système juridique italien, en matière de fait illicite ?
Partant du principe que cette dernière solution apparaît préférable, l’on
tentera en premier lieu de clarifier la portée de la norme du Code civil.
L’article 2050 du Code civil italien représente une des hypothèses de
responsabilité « spéciale » prévues par le législateur italien. Le nombre des
activités considérées comme dangereuses n’est pas exhaustif mais s’établit au
cas par cas. En ce sens, l’on doit considérer que le législateur a consacré
(comme l’on peut déduire de l’incipit de l’article : « quiconque cause un dommage
[...] ») un principe d’ « atypicité subjective », permettant d’adapter le
concept de dangerosité au développement des activités économiques. L’art. 15 du
« Code pour la protection des données à caractère personnel »prévoit
donc un élargissement des hypothèses pouvant donner lieu à dommages et intérêts
: en fait, alors que la Directive européenne (art. 23) parle de dommage causé
par un traitement illicite, la loi italienne évoque simplement le dommage causé
par le traitement (G. Comandè, « Danni cagionati per effetto del
trattamento dei dati personali », in F.D. Busnelli et C.M. Bianca, Tutela
della privacy : Nuove leggi civ. comm., 1999, p. 482), sans mentionner une
quelconque illicéité. En réalité, se référant aux dispositions de l’article 2043
c.c. it. également dans ces cas, la condition de l’injustice de la violation
est une nécessité (cf. dans ce dernier sens aussi M. Franzoni, « Dati
personali e responsabilità civile » : Resp. civ. prev., 1998, p.
902).
En ce qui concerne le
critère choisi en matière d’imputabilité de la responsabilité, en revanche, la
norme italienne semble refléter, même si ce n’est pas tout à fait fidèlement,
les choix communautaires. En fait, l’art. 23 de la Directive prévoit un système
fondé sur un critère au moins en apparence objectif, qui cependant, laisse au
responsable du traitement une possibilité de preuve libératoire. De même, la
loi italienne, s’en tenant au cadre de l’article 2050 du Code civil italien,
prévoit implicitement la possibilité pour le responsable de s’exonérer de sa
responsabilité, en apportant la preuve que le fait dommageable ne lui est pas
imputable à partir du moment où il a adopté toutes les mesures de nature à
éviter la survenance du préjudice (S.
Sica, « Commento sub art. 18 », in E. Giannantonio, M. G. Losano et
V. Zeno-Zencovich, La tutela dei dati personali. Commentario alla l. 675/96,
Padova, 1997, p. 177). De plus, le texte prend en considération, de manière
globale, le dommage causé par le traitement qui, conformément aux dispositions
de l’article 1 de la loi indiquée, est défini comme toute opération ou ensemble
d’opérations, accomplies avec ou sans l’aide de moyens électroniques, en tout
état de cause, informatisés (principe d’atypicité objective des moyens qui
peuvent provoquer le dommage). L’on peut en conséquence en conclure que la
norme trouve à s’appliquer non seulement en cas de dommage dit « informatique
», mais également pour tout type de traitement, y compris les traitements des
manual data (cf. Riccio, ibidem).
On peut donc en conclure
que l’optique du législateur italien semble véritablement orientée vers un
renforcement des exigences de compensation de la victime du traitement (cf.
Riccio, ibidem).
|
·
Les lois sont-elles exécutoires ou de nature
informative? |
Des
précisions qu’on vient de porter on pourra aisément déduire que la législation
italienne en matière ne contient pas seulement des dispositions qu’on pourrait
qualifier de nature informative, mais renferme plutôt des normes tout-à-fait
exécutoires.
|
·
Comment un particulier peut-il porter plainte
lorsqu’une entité privée ou un gouvernement enfreint les lois régissant le
respect de la vie privée? ·
Qui se charge de poursuivre ou de faire appliquer la
loi – par exemple, un commissaire à la protection de la vie privée, un organe
administratif, comme un tribunal de la vie privée? ·
A-t-on prévu le droit à un recours judiciaire? ·
A-t-on prévu des possibilités de règlement des litiges
à l’amiable? |
Tous les
droits prévus par le « Code pour la protection des données à caractère
personnel » peuvent être fait valoir pardevant l’autorité judiciaire
ordinaire ou bien, en alternative, pardevant le bureau du Garant en matière de
protection des données à caractère personnel. Le Garant, qui est une autorité
administrative indépendante joue un rôle essentiel dans la protection contre
les attaques à la vie privée. Il s’agit, plus exactement, de l’ « Autorité
garante pour la protection des données à caractère personnel ». La
Directive, bien que ne mentionnant pas dans les définitions de l’art. 2 cette
institution, y fait référence dans ses considérants n° 25, 27, 48, 52, 54, 62,
63. L’on peut donc estimer que l’institution d’une autorité constitue, quelle
que soit la manière dont on l’envisage, une application et une adaptation de la
norme communautaire. L’expérience italienne vient donc si situer dans le sillon
tracé dans d’autres systèmes juridiques, là où les autorités de garantie
avaient trouvé leur place naturelle en étant mises en place par le
législateur : voir, par exemple, la Commission Nationale de
l’Informatique et des Libertés (la première autorité administrative
indépendante) crée en France par la loi n° 17-78 dite « Informatique et
Liberté » (sur ce point, cf. J. Frayssinet
et P. Kayser, « La loi du 6
janvier 1978 relative à l’informatique, aux fichiers et aux libertés et le
décret du 17 juillet 1978 » : Revue de droit public, 1978, p.
629 ss. ; H. Maisl, « La
maîtrise d’une interdépendance. Commentaire de la loi du 6 janvier 1978 relative
à l’informatique, aux fichiers et aux libertés » : JCP éd. G,
1978, I, n. 2891 ; également, pour la doctrine italienne, M. Bessone, « L’esperienza francese
del diritto alla «intimità» della vita privata » : Pol. Dir.,
1978, p. 335; G. Alpa,
« Privacy e statuto dell’informazione. Il Privacy Act, 1974 e
la Loi relative à l’informatique, aux fichiers et aux libertés n. 78/17del
1978 » : Riv. dir. civ., 1979, I, p. 65 ; M. Dassio, « Tutela delle persone e
trattamento dei dati personali » : Riv. trim. dir. proc. civ.,
1999, p. 445).
Le Garant opère de
manière pleinement autonome et avec une indépendance de jugement et
d’appréciation. En effet, il s’agit d’une autorité tierce qui exerce son propre
mandat de manière autonome sans subir le contrôle ou l’interférence des
pouvoirs législatif et judiciaire. Cette caractéristique se reflète également
sur un autre aspect : bien qu’il s’agisse d’un organe administratif qui doit
s’inscrire dans le cadre plus vaste des autorités administratives indépendantes
(sur ce point, S. Cassese et F. Franchni (a cura di), I garanti delle
regole, Bologna, 1996), celui-ci est doté de pouvoirs parajudiciaires
pouvant décider pour toute question afférente à la protection des droits des
intérêts en cause.
Comme on l’a déjà précisé
plus haut, le recours au Garant traduit une hypothèse de double protection
alternative : il est possible en fait de saisir l’autorité garante ou
l’autorité judiciaire ordinaire. Le remède est alternatif dans la mesure où, en
vertu des dispositions du Code pour la protection des données à caractère
personnel, le recours au Garant devient impossible si l’autorité judiciaire a
déjà été saisie et, en sens contraire, la saisine du Garant rend impossible la
saisine de l’autorité judiciaire. Le grand avantage du recours au Garant
consiste à supprimer les coûts et abréger les délais qui sont normalement
nécessaires dans les jugements ordinaires.
Les membres de l’autorité
sont au nombre de quatre : deux sont élus par la chambre des députés et deux
par le Sénat de la République. Ils sont en charge durant 4 ans et ne peuvent
être réélus plus d’une seule fois. Les membres ne peuvent exercer, sous peine
de perdre leur charge, de fonctions de consultant ou autre activité
professionnelle, être investis de charges électives ou être administrateurs ou
employés d’administrations publiques (art. 153 du Code précité). Les quatre
membres élisent un Président dont la voix prévaut en cas de parité.
En premier lieu, la
présence d’un sujet doté de compétences spécifiques permet d’ajourner les
dispositions légales et d’intégrer de nouveaux apports plus en phase avec la
réalité. De plus, l’importance d’autres moyens à disposition du Garant est loin
d’être négligeable (par ex. : newsletter, communiqués, etc...) qui
bien que n’ayant pas valeur contraignante, aident à résoudre certains problèmes
particuliers (toutes les décisions et mesures prises par le Garant sont
consultables à l’adresse <http://www.garanteprivacy.it>).
Il reste enfin à éclaircir le
rôle du sujet légitimé passif qui peut être appelé à répondre du dommage. La
Directive dispose que l’obligation de dédommagement est imposée au responsable
du traitement, défini à l’art. 2, lett. d), « comme la personne physique ou morale
l’autorité publique, le service ou tout autre organisme qui seul ou
conjointement avec d’autres détermine
les finalités et les moyens du traitement de données à caractère personnel ;
lorsque les finalités et les moyens du traitement sont déterminés par des
dispositions législatives ou
réglementaires nationales ou
communautaires, le responsable du traitement ou les critères spécifiques pour
le désigner peuvent être fixés par le droit national ou communautaire ». La loi
italienne prévoit en revanche que puisse être appelée à indemniser le dommage,
« toute personne » s’occupant du traitement, c’est-à-dire, soit le titulaire,
soit le responsable. En conséquence, leur position apparaît, de manière
abstraite, de nature à laisser envisager une hypothèse de responsabilité
solidaire conformément à l’article 2055 du Code civil Italien (cf. Riccio, ibidem).
Ainsi, c’est en ce sens,
que le décalage entre la terminologie utilisée par le législateur communautaire
et celle préférée pour la transposition n’est plus un problème : au responsable
du traitement correspond, dans la version italienne, le titulaire (art. 4, al.
2, lett. f), du Code précité), et au contraire, le responsable coïncide avec
celui qui est en charge du traitement dans la Directive.
|
B. Initiatives du secteur privé 1)
Certaines entreprises, industries ou associations
professionnelles de votre pays ont-elles leurs propres règles en matière de
protection de la vie privée? Par exemple, existe-t-il des politiques, des
codes professionnels, des normes volontaires en matière de respect de la vie
privée? 2)
Qui ou quel organe, le cas échéant, s’assure que ces
normes sont satisfaites? |
Le « Code pour la
protection des données à caractère personnel » (et, avant celui-ci, la loi
n° 675 du 31 décembre 1996 sur la protection des personnes contre le traitement
des données) comporte la rédaction de toute une série de codes de déontologie
dans plusieurs domaines « privés ». Ils sont tous disponibles dans le
site de l’Autorité garante (www.garanteprivacy.it).
Ici on pourra mentionner
le code de déontologie des journalistes.
Il faudra tout d’abord préciser que toute personne qui traite des données
personnelles, avec ou sans moyens électroniques, doit le notifier au Garant.
Les journalistes entrent dans le champ d’application de la loi : ils doivent
respecter une procédure de notification simplifiée. Les articles 136 ss. du
« Code pour la protection des données à caractère personnel »
stipulent que les données sensibles (c’est-à-dire qui concernent l’origine
raciale et ethnique, les convictions religieuses, philosophiques ou autres, les
opinions politiques, la participation à des partis, à des syndicats, à des
associations ou à des organisations à caractère religieux, philosophique,
politique ou syndical, ainsi que des données propres à révéler l’état de santé
et la vie sexuelle) ne peuvent pas faire l’objet de quelque traitement que ce
soit sans l’accord écrit de l’intéressé et sans l’autorisation préalable du
Garant.
Cependant, à titre
exceptionnel, les journalistes peuvent traiter des données sensibles sans
autorisation de l’intéressé si les conditions suivantes sont réunies : - qu’ils
agissent dans l’exercice de leur profession, et pour la poursuite exclusive des
objectifs de la profession ; - qu’ils restent dans les strictes limites du
« droit de chronique » ; - que l’information rapportée ait un
caractère essentiel pour l’intérêt public. Cette exception ne s’applique pas
aux informations relatives à l’état de santé ou à la vie sexuelle. Cette
disposition tend à établir l’équilibre entre la liberté de la presse et le
droit au respect de la vie privée. La loi prévoit aussi que le Garant encourage
l’adoption par le Conseil national des journalistes d’un code de déontologie
sur le traitement des données sensibles. Ce code de déontologie doit notamment
comporter des mesures de garantie pour les intéressés. La violation du code de
déontologie pourra être sévèrement punie par le Garant qui pourra interdire le
traitement de certaines données, voire en imposer l’embargo. Ce code de
déontologie a été adopté en 1998 (par effet de la loi de 1996, qui contenait
déjà des dispositions semblables à celle du « Code pour la protection des
données à caractère personnel »).
D’autres codes de
déontologie ont été approuvé dans des champs tels que celui des agences
d’investigation (approuvé en 2008), celui des systèmes gérés par des sujets
privés en matière de crédits à la consommation, fiabilité et ponctualité dans
les payements (approuvé en 2004), celui du traitement des données personnelles
pour des buts statistiques et scientifiques (approuvé en 2004), celui du
traitement des données personnelles à des fin d’effectuer des recherches
historiques (approuvé en 2001).
|
C. Questions internationales et
transfrontalières 1)
Comment la vie privée est-elle protégée lorsque les
renseignements sont échangés avec d’autres pays ou transmis à d’autres pays? 2)
Existe-t-il des ententes, lois, traités ou protocoles
internationaux visant à protéger la vie privée dans ce cas? 3)
Votre pays limite-t-il l’échange de renseignements aux
pays ayant les mêmes mesures de protection de la vie privée? |
En ce qui concerne les
conventions internationales, on peut rappeler l’art. 8 de la Convention
Européenne pour la Protection des Droits de l’Homme et des Libertés
Fondamentales, ratifiée par l’Italie en 1955, qui établit que chaque personne a
le droit au respect de sa propre vie privée et familiale, de son domicile et de
sa correspondance. L’art. 16 de la convention de New York du 20 novembre 1989
relative aux droits de l’enfant (ratifiée et rendue exécutive en Italie par la
loi du 27 mai 1991, n° 176) établit que nul enfant ne fera l’objet d’immixtions
arbitraires ou illégales dans sa vie privée, sa famille, son domicile ou sa
correspondance (pour un cas de protection de la vie privée d’un enfant adoptif
cf. Pret. Torino, 19 décembre 1989, Dir.
fam. pers., 1990, p. 572).
L’Italie a en outre signé
et ratifié la convention du Conseil de l’Europe « pour la protection des
personnes à l’égard du traitement automatisé des données à caractère
personnel » (STE n° 108), Ouverte à la signature des Etats membres du
Conseil de l’Europe, à Strasbourg, le 28 janvier 1981 (entrée en vigueur le 1er
octobre 1985). La Convention a été le premier instrument international
contraignant ayant pour objet de protéger les personnes contre l’usage abusif
du traitement automatisé des données à caractère personnel, et qui réglemente
les flux transfrontaliers des données.
Outre des garanties
prévues en ce qui concerne le traitement automatisé des données à caractère
personnel, elle proscrit le traitement des données « sensibles »
relatives à l’origine raciale, aux opinions politiques, à la santé, à la
religion, à la vie sexuelle, aux condamnations pénales, etc... , en l’absence
de garanties offertes par le droit interne. La Convention garantit également le
droit des personnes concernées de connaître les informations stockées à leur
sujet et d’exiger le cas échéant des rectifications. Seule restriction à ce
droit : lorsque les intérêts majeurs de l’Etat (sécurité publique, défense,
etc...) sont en jeu. La Convention impose également des restrictions aux flux
transfrontaliers de données dans les Etats où n’existe aucune protection
équivalente.
Pour ce qui est de la
législation interne italienne, les articles 42 – 45 du « Code pour la
protection des données à caractère personnel » s’occupent des problèmes
déterminés par la transmission de données à l’étranger. En particulier, l’art.
42 stipule que les dispositions dudit Code ne peuvent être appliquées de façon
à restreindre ou interdire la libre circulation des données entre les Etats
membres de l’U.E.
Pour ce qui est de la
transmission de données à caractère personnel vers des Pays qui ne font pas
partie de l’U.E., cette transmission est permise, aux termes de l’art. 43, sous
réserve d’un certain nombre de conditions, parmi lesquelles figurent, à titre d’exemple,
le consensus exprimé par le sujet concerné, ou bien la présence d’un certain
nombre de situations prévues par la loi, telles que des exigences liées aux
enquêtes pénales ou à des procès civils, pénaux ou administratifs. Encore, le
transfert de ces données est permis à des fins de recherche scientifique.
L’Autorité garante peut aussi autoriser la transmission à l’étranger (dans des
Pays qui ne sont pas membres de l’U.E.) des données à caractère personnel à
certaines conditions spécifiées par l’art. 44. Pour ce qui est des cas non
prévus par les articles 43 et 44, la transmission à l’étranger de ces données
est interdite (art. 45) lorsque le Pays concerné n’assure pas un niveau de
protection adéquat.
L’Italie a d’ailleurs
signé (mais pas encore ratifié) le Protocole additionnel à la Convention du
Conseil de l’Europe susmentionnée pour la protection des personnes à l’égard du
traitement automatisé des données à caractère personnel, concernant les
autorités de contrôle et les flux transfrontières de données (STE n° 181). Ce
texte renforce la protection des données personnelles et de la vie privée, en
complétant la « convention-mère » de 1981 sur deux points : il
prévoit l’établissement d’autorités de contrôle chargées d’assurer le respect des
lois ou règlements introduits par les Etats en application de la Convention
concernant la protection des données personnelles et les flux transfrontières
de données. Le deuxième point concerne les flux transfrontières de données vers
des pays tiers, qui ne pourront être transférées que si elles bénéficient dans
l’Etat ou l’organisation internationale destinataire, d’un niveau de protection
adéquat.
L’Autorité garante
italienne a mis en place un département international qui développe ses efforts
dans plusieurs directions comme le renforcement des relations bilatérales avec
les pays tiers pour favoriser le partage d’informations, et une présence
marquée auprès de la Commission européenne. L’Italie est par ailleurs membre de
l’Internet Society et participe au SMSI (sommet mondial de la société de
l’information) organisé par l’Union internationale des télécommunications.
Finalement, du point de
vue du droit comparé, on pourra signaler deux sites contenant des adresses web
relatives aux autorités garantes de la protection des données personnelles,
ainsi que d’autres informations sur les questions liées à la protection de la
vie privée dans plusieurs système du monde : http://www.privacy.it/linkpriv1.html
; http://www.cnil.fr/fileadmin/documents/approfondir/dossier/international/panorama-legislation.pdf.
Turin, le 12 juin 2010.
|
Secrétaire
Général Adjoint |
|
de l’Union
Internationale des Magistrats |