Présentation

Article

1 - LA TRACE, UN OBJET JURIDIQUE À PART ENTIÈRE

  • 1.1 - La traçabilité comme obligation légale
  • 1.2 - Autres sources juridiques de l’obligation de tracer

2 - STATUT JURIDIQUE DE LA TRACE

  • 2.1 - La trace : une preuve
  • 2.2 - La trace : une donnée protégée

3 - UN CONFLIT DE LÉGITIMITÉ  APPARENT

  • 3.1 - Conflit de légitimité anticipée
  • 3.2 - Conflit de légitimité en suspens
  • 3.3 - Absence de trace comme solution au conflit de légitimité

4 - GESTION JURIDIQUE DE LA TRACE

5 - CONCLUSION : LE DROIT DES TRACES EN DEVENIR

6 - GLOSSAIRE

Article de référence | Réf : TR710 v2

Gestion juridique de la trace
Traçabilité et libertés individuelles

Auteur(s) : Eric BARBRY

Date de publication : 10 nov. 2022

Pour explorer cet article
Télécharger l'extrait gratuit

Vous êtes déjà abonné ?Connectez-vous !

Sommaire

Présentation

Version en anglais En anglais

RÉSUMÉ

Traçabilité et libertés individuelles sont souvent considérées comme antagonistes sur le plan juridique. La trace, surtout en environnement digital, est jugée comme attentatoire aux libertés individuelles, voire liberticide. Pourtant, la traçabilité est plus souvent au service de la protection de l'individu que l'inverse, comme c'est le cas avec la traçabilité des médicaments, des aliments ou encore avec la vidéoprotection. Cependant, traçabilité et libertés individuelles ne s'accordant pas toujours, il importe de bien savoir gérer ce conflit de légitimité existant entre l'obligation de satisfaire à une exigence de traçabilité d'une part, et celle de garantir les libertés individuelles d'autre part.

Lire cet article issu d'une ressource documentaire complète, actualisée et validée par des comités scientifiques.

Lire l’article

ABSTRACT

Traceability and individual freedoms

In the legal field, traceability and individual freedoms are often regarded as enemies. Leaving and/or keeping traces, especially in the digital world, is considered detrimental to or even destructive of individual freedoms. Yet, traceability is more of a friend than a foe: traceability of medicines is primarily intended to recall a defective batch, CCTVS are notably used to ensure public security, food traceability is designed to guarantee healthy products to customers. Still, more often than not, traceability and individual freedoms do not always mix well and a fair balance should be struck between two legitimate needs: the need to meet traceability requirements and the need to guarantee the respect for individual freedoms.

Auteur(s)

  • Eric BARBRY : Avocat au barreau de Paris - Associé, cabinet d’avocats Racine, Paris, en charge de l’équipe IP/IT et data

INTRODUCTION

En quelques années, la traçabilité est devenue une question juridique de premier plan.

Qu’il s’agisse de la traçabilité dans le domaine alimentaire, dans celui de la finance, dans celui de la santé, dans le secteur de la sécurité ou dans celui de l’électronique, la question est toujours la même : de quelle trace disposons-nous ? Et pour en faire quoi ?

Qu’est-ce que la traçabilité et qu’est-ce qu’une trace ? Il faut ici pouvoir distinguer la traçabilité d’un point de vue technique et la traçabilité dans sa sphère juridique et, in fine, de vérifier si l’une et l’autre sont placées sur le même plan.

La traçabilité est un néologisme dérivé de l’anglais traceability, pouvant être traduit par « capacité à tracer ».

La traçabilité rejoint les notions de « tracer », « trace » et « traçage », qui impliquent l’utilisation d’éléments de marquage et d’identification d’un objet ou d’un acteur.

La norme ISO 9000:2015 la définit comme étant « l’aptitude à retrouver l’historique, la mise en œuvre ou l’emplacement d’un objet ». Diverses exigences découlent de cette norme. Les entreprises et organisations doivent notamment planifier leurs actions face aux risques et aux objectifs qualité ou encore évaluer leur performance.

La définition ISO de la traçabilité prévoit que la traçabilité peut être notamment liée à l’origine des matériaux et composants, l’historique de réalisation, la distribution et l’emplacement du produit ou du service après livraison.

Il s’agit d’identifier un bien tant matériel (exemple un objet) qu’immatériel (exemple une donnée), un service, une personne et de lui associer des événements qui, au fil du temps, l’ont transformé, ces événements pouvant eux-mêmes être identifiés et donc tracés.

La traçabilité est « plurielle » au sens de l’usage, alliant les aspects suivants :

  • identification : la traçabilité permet de différencier un bien, une personne, ou un groupe parmi d’autres et de le reconnaître dans un ensemble ;

  • authentification : cette approche permet de s’assurer qu’un bien ou une personne précédemment « certifiée » présente bien une signature authentique ; l’authentification fait appel à un tiers de confiance qui gère les secrets permettant la certification ;

  • localisation : la traçabilité place un bien ou une personne dans l’espace et dans le temps (tel le suivi GPS) ;

  • sécurisation : la fiabilité et la sécurité de l’information sont des éléments incontournables d’une solution de traçabilité ; l’altération de l’information peut déstabiliser un processus de production avec pour conséquence une perte de confiance dans la solution de traçabilité.

Ces aspects de la traçabilité, ou ce que certains appellent la « traçabilitique », doivent permettre une approche globale qui associe l’utilisation des technologies de support et de capture de l’information, faisant ainsi le lien entre la traçabilité et les technologies.

Sur le plan juridique, le terme de traçabilité est identifiable dans plus de trente codes aussi variés que le Code de commerce, le Code pénal, le Code général des impôts ou encore le Code de l’environnement.

On dénombre par ailleurs plus de vingt-neuf lois, décrets ou arrêtés qui comportent dans leur titre le mot même de traçabilité, sur des thèmes aussi variés que la chasse au gibier d’eau, les produits vinicoles ou les explosifs à usage civil, ou plus récemment les déchets…

Quant au nombre de textes de toutes natures qui comportent le terme de traçabilité, ils sont suffisamment nombreux pour ne pas les citer tous.

À côté du mot même de traçabilité, il existe un très grand nombre d’obligations ou de dispositions qui, sans utiliser la même terminologie, ont pour objet ou pour effet de traiter de la trace.

Il existe très peu de définitions juridiques du terme traçabilité.

Le règlement (CE) 178/2002 sur la sécurité alimentaire définit, dans son article 3-5, la traçabilité comme « la capacité de retracer, à travers toutes les étapes de la production, de la transformation et de la distribution, le cheminement d’une denrée alimentaire, d’un aliment pour animaux, d’un animal producteur de denrées alimentaires ou d’une substance destinée à être incorporée ou susceptible d’être incorporée dans une denrée alimentaire ou un aliment pour animaux ».

De son côté, le règlement CE 1830/2003 relatif aux OGM définit la traçabilité comme la capacité de suivre des OGM et des produits élaborés à partir d’OGM, à tous les stades de leur mise sur le marché, le long de la chaîne de production et de distribution.

Au sens technique, on parlera alors de log de connexion, de données techniques, de données de trafic, de données d’identification ou encore de données de connexion. Il convient cependant de distinguer les données de traçabilité de la traçabilité des données. Par exemple, un log de connexion est une donnée de traçabilité, tandis que le journal des logs permet d’assurer une traçabilité des données de connexion.

Au sens juridique, on leur donnera à peu près tous un seul et même synonyme : la preuve !

Sur le plan juridique, en effet, la trace devient une preuve : preuve d’un fait, d’un acte, d’une intervention, d’une présence, du respect de la loi ou de son manquement… mais aussi parfois absence d’action ou de réaction.

Ce que l’on cherche en effet à faire avec la trace, c’est prouver… prouver que X a fait ceci, prouver que Y était bien là le jour J, prouver que Madame Michu a bien acheté ceci sur Internet ou encore que Monsieur Michu est bien passé trop vite devant le radar automatique…

Issue primairement du secteur industriel, notamment de la métrologie avec l’étalonnage, la traçabilité y est entendue comme un processus qui assure des liens entre les différents flux physiques et d’informations, tel un chaînage depuis les matières premières jusqu’aux produits finis, en y incluant le procédé de transformation.

Dans le secteur agroalimentaire, la traçabilité est l’un des moyens essentiels pour assurer la sécurité alimentaire. Dans ce domaine, la traçabilité est devenue une obligation légale prévue par le règlement européen (CE) 178/2002 du 28 janvier 2002, notamment par son article 18 intitulé « Traçabilité », imposant aux entreprises du secteur agroalimentaire une obligation de traçabilité des denrées alimentaires à tous les stades de la chaîne de production et de commercialisation :

  • denrées et substances incorporées ou susceptibles d’être incorporées dans les denrées ;

  • identification des fournisseurs et des clients ;

  • mise à disposition des autorités compétentes de tous les éléments de contrôle nécessaires sur demande.

Les entreprises agroalimentaires sont tenues en particulier d’assurer un archivage des flux pendant cinq ans (délai pouvant être modulé suivant la durée de vie du produit alimentaire) et de restituer l’information grâce à la mise en place d’un système structuré. Ceci est particulièrement important dans le cadre d’un retrait de produit du marché et d’un rappel au consommateur que l’article 19 du même règlement européen rend obligatoires en cas de risque. Les entreprises du secteur agroalimentaire ont donc une obligation de résultats et non de moyens.

Cette traçabilité est supposée nous éviter de consommer de la viande de cheval à la place de la viande de bœuf ou d’éviter que des animaux impropres à la consommation humaine finissent dans nos assiettes. Toute ressemblance avec des situations existantes ou ayant existé n’a rien de fortuite ! Et l’on comprend ainsi que la traçabilité peut aussi être détournée ou contournée.

Dans la pratique, la traçabilité est donc la capacité à retrouver un ensemble de produits (alimentaires au besoin) lorsqu’il parcourt une suite de transformations ou lorsqu’il est ensuite distribué au consommateur.

Si un produit présente un risque pour le consommateur, la traçabilité est la capacité de l’identifier, de le localiser et de le retirer des points de vente (plan de retrait-rappel).

Dans d’autres secteurs (industrie nucléaire, pharmaceutique, etc.), des contraintes réglementaires d’application de la traçabilité sont également prévues notamment pour des raisons de retrait de produits ou de vente illégale.

Enfin, dans la construction mécanique et électrique, la traçabilité s’occupe également, à partir d’un produit ou d’un service livré, de suivre la chaîne d’informations et d’indiquer l’origine du produit, ou du service, et de tous les sous-traitants ou fournisseurs qui ont participé à sa fabrication.

La traçabilité des objets permet ainsi de déterminer la responsabilité d’un acteur dans la chaîne de production ou de distribution.

Dans le domaine alimentaire, on parlera essentiellement de la traçabilité des animaux, singulièrement lorsqu’ils sont à destination comestible ; dans le domaine de la santé, on pensera immédiatement à la traçabilité des lots de médicaments ; dans le domaine de la banque et de la finance, la traçabilité portera sur les opérations mises en œuvre et leur caractère plus ou moins exceptionnel. Dans le secteur de la sécurité et des équipements individuels de protection (EPI), la traçabilité pourra rimer avec vidéosurveillance ou biométrie, et dans celui de l’électronique avec logs, données de trafic ou données de connexion. Enfin, il sera également question de traçabilité des animaux de compagnie avec le « puçage » obligatoire.

Dans la plupart de ces situations, traçabilité rime avec identité.

La question en effet est moins de savoir d’où vient la vache que de savoir si elle est folle et qui a pu en consommer… tout comme en matière pharmacologique, la question sera d’identifier la personne qui a pu avoir accès à un lot critique (exemple : médicaments défectueux).

En matière de banque, on s’intéressera surtout à identifier celui ou celle des traders qui a pu engager une démarche hors norme et si la banque en avait eu connaissance. Le contentieux autour de l’affaire Kerviel illustre parfaitement ces enjeux. En 2008, la Société Générale déclare avoir été victime d’une fraude dans ses activités de produits financiers. Son trader Jérôme Kerviel est accusé d’avoir pris des positions massives, à hauteur de 50 milliards d’euros. Dans sa décision du 19 mars 2014, la Cour de cassation confirme la condamnation de Kerviel mais relève également l’existence de fautes commises par la Société Générale ayant concouru au développement de la fraude et à ses conséquences financières.

En matière de sécurité, la problématique posée est celle de l’identification d’un délinquant et en matière électronique savoir qui de Pierre ou de Paul s’est connecté, à quoi, et pendant combien de temps.

Dans tous les cas et même lorsque la trace ne porte pas sur la personne elle-même, elle la touche directement : la traçabilité des médicaments ou des aliments rejaillit sur ceux qui les consomment ; la traçabilité des armes, encadrée par le nouveau système d’information sur les armes (SIA) depuis le 8 février 2022, sur ceux qui les manipulent, et ainsi de suite.

Il existe donc une corrélation, pour ne pas dire une immixtion, entre la trace et l’individu.

Il existe donc un lien étroit pour ne pas dire systématique entre traçabilité et données personnelles et il existe donc naturellement ou nécessairement une problématique entre la légitimité de la trace et une potentielle atteinte aux libertés individuelles ou collectives.

Cette immixtion est telle qu’une même trace peut être appréhendée du côté malin ou du côté malsain. Personne ou presque n’aime l’idée d’être vidéo-surveillé ; mais tout le monde applaudit lorsqu’il s’agit d’identifier en un temps record un délinquant ou un terroriste via un système de vidéoprotection.

Or, entre vidéosurveillance et vidéoprotection, rien ne change mais tout est différent : rien ne change sur un plan technique car il s’agit toujours de filmer des personnes et de conserver pendant un certain laps de temps les images ; mais tout est différent car la vidéosurveillance sera considérée comme une atteinte aux libertés individuelles ; alors que la vidéoprotection sera admise comme un bon moyen de protéger les libertés collectives.

Il importe d’ailleurs à ce stade d’en revenir au sujet lui-même et à la notion même de liberté. On évoque ici la liberté individuelle mais à vrai dire, la traçabilité peut tout aussi bien toucher ou affecter les libertés collectives.

Cependant, ce sont bien les libertés individuelles au premier rang desquelles figure le droit à la protection de la vie privée et des données personnelles qui posent question lorsqu’il s’agit de traiter de la traçabilité des individus.

On parle de conflit de légitimité dès lors qu’il faut respecter deux obligations en apparence contradictoires.

En matière de traçabilité, le conflit de légitimité est indéniable dès lors qu’existe une obligation de traçabilité d’une part et qu’existent en même temps un droit à la protection des libertés individuelles et des données personnelles… autrement dit le droit à l’anonymat.

Ce conflit est d’autant plus prégnant que les conséquences d’une violation de l’une ou l’autre des obligations (traçabilité versus droit des données personnelles) sont sanctionnées pénalement.

Ce conflit, même s’il existe, peut facilement être maîtrisé pour autant qu’un certain nombre de règles du jeu soient respectées.

Cet article est réservé aux abonnés.
Il vous reste 94% à découvrir.

Pour explorer cet article
Téléchargez l'extrait gratuit

Vous êtes déjà abonné ?Connectez-vous !


L'expertise technique et scientifique de référence

La plus importante ressource documentaire technique et scientifique en langue française, avec + de 1 200 auteurs et 100 conseillers scientifiques.
+ de 10 000 articles et 1 000 fiches pratiques opérationnelles, + de 800 articles nouveaux ou mis à jours chaque année.
De la conception au prototypage, jusqu'à l'industrialisation, la référence pour sécuriser le développement de vos projets industriels.

KEYWORDS

general data protection regulation (GDPR)   |   traceability   |   individual liberties   |   personal data   |   legal evidence

VERSIONS

Il existe d'autres versions de cet article :

DOI (Digital Object Identifier)

https://doi.org/10.51257/a-v2-tr710


Cet article fait partie de l’offre

Éco-conception et innovation responsable

(138 articles en ce moment)

Cette offre vous donne accès à :

Une base complète d’articles

Actualisée et enrichie d’articles validés par nos comités scientifiques

Des services

Un ensemble d'outils exclusifs en complément des ressources

Un Parcours Pratique

Opérationnel et didactique, pour garantir l'acquisition des compétences transverses

Doc & Quiz

Des articles interactifs avec des quiz, pour une lecture constructive

ABONNEZ-VOUS

Version en anglais En anglais

4. Gestion juridique de la trace

À la vérité, il n’y a rien de complexe à s’accommoder de la trace et du droit. Il faut là encore s’assurer qu’un certain nombre de règles sont respectées.

Il n’est pas ici possible d’identifier avec exhaustivité chacune des précautions à prendre ou étape à respecter mais les principales sont exposées ci-après.

  • Règle 1 – Définir si besoin un socle juridique approprié

    La mise en œuvre de systèmes d’information, qu’ils soient publics ou privés, est libre par nature. De fait, il ne nécessite pas d’être créé et mis en œuvre par un texte de loi. Ceci est vrai pour tous les systèmes d’information à l’exception des services de l’administration électronique.

    L’article L112-9 du Code des relations entre le public et administration précise que « L’administration met en place un ou plusieurs téléservices, dans le respect des dispositions de loi n° 78-17 du 6 janvier 1978 relative à l’informatique et aux libertés et des règles de sécurité et d’interopérabilité prévues aux chapitres IV et V de l’ordonnance n° 2005-1516 du 8 décembre 2005 relative aux échanges électroniques entre les usagers et les autorités administratives et entre les autorités administratives. Lorsqu’elle met en place un ou plusieurs téléservices, l’administration rend accessibles leurs modalités d’utilisation, notamment les modes de communication possibles. Ces modalités s’imposent au public. Lorsqu’elle a mis en place un téléservice réservé à l’accomplissement de certaines démarches administratives, une administration n’est régulièrement saisie par voie électronique que par l’usage de ce téléservice ».

    Les téléservices s’entendent pour leur part de « Tout système d’information permettant aux usagers de procéder par voie électronique à des démarches ou formalités administratives » au sens de l’article 1 de l’ordonnance n° 2005-1516 du 8 décembre 2005 relative aux échanges électroniques entre les usagers et les autorités administratives et entre les autorités administratives.

    Mais l’ordonnance n’est pas la seule source de droit. Il faut également tenir compte de l’article 27-2-4 de la loi Informatique...

Cet article est réservé aux abonnés.
Il vous reste 95% à découvrir.

Pour explorer cet article
Téléchargez l'extrait gratuit

Vous êtes déjà abonné ?Connectez-vous !


L'expertise technique et scientifique de référence

La plus importante ressource documentaire technique et scientifique en langue française, avec + de 1 200 auteurs et 100 conseillers scientifiques.
+ de 10 000 articles et 1 000 fiches pratiques opérationnelles, + de 800 articles nouveaux ou mis à jours chaque année.
De la conception au prototypage, jusqu'à l'industrialisation, la référence pour sécuriser le développement de vos projets industriels.

Cet article fait partie de l’offre

Éco-conception et innovation responsable

(138 articles en ce moment)

Cette offre vous donne accès à :

Une base complète d’articles

Actualisée et enrichie d’articles validés par nos comités scientifiques

Des services

Un ensemble d'outils exclusifs en complément des ressources

Un Parcours Pratique

Opérationnel et didactique, pour garantir l'acquisition des compétences transverses

Doc & Quiz

Des articles interactifs avec des quiz, pour une lecture constructive

ABONNEZ-VOUS

Lecture en cours
Gestion juridique de la trace
Sommaire
Sommaire

BIBLIOGRAPHIE

  • (1) - MERZEAU (L.), ARNAUD (M.) -   Afnor, ISO 9000 : 2005 Systèmes de management de la qualité –  -  Principes essentiels et vocabulaire, p. 13. – Traçabilité et réseaux Hermès (2009).

  • (2) - Fiches de travail CNIL -   Fiches travail et données personnelles : recrutement et gestion du personnel, géolocalisation des véhicules, outils informatiques, accès aux locaux et contrôle des horaires, vidéosurveillance, écoute et enregistrement des appels,  -  édition 2018.

  • (3) -   Recommandation CNIL relative aux mesures de journalisation  -  du 18 novembre 2021.

  • (4) -   Guide CNIL de sécurité des données à caractère personnel.   - 

NORMES

  • AFNOR, Systèmes de management de la qualité – Principes essentiels et vocabulaire. - ISO 9000 - 2015

1 Réglementation

Code de la consommation – notamment les articles L 412-1 et R 214-20.

Code de l’environnement – notamment l’article L 523-1.

Code du travail – notamment l’article L 4622-2.

Code de la propriété intellectuelle – notamment l’article L 623-24-4.

Code pénal – notamment les articles 226-17, 226-21, 226-22, 323-1, 323-2, 323-3.

Code de la sécurité intérieure – article L111-1, R211-14.

Code de procédure pénale – notamment A53-6.

Code des postes et des communications électroniques – notamment L 34-1, R 10-13.

Code civil, notamment les articles 9, 1240 à 1368.

Code des relations entre le public et administration – L112-9.

Code monétaire et financier – article R561-37-1.

Code de commerce – article R123-152-2.

Code général des impôts – article 289.

Ordonnance n 2005-1516 du 8 décembre 2005 relative aux échanges électroniques entre les usagers et les autorités administratives et entre les autorités administratives.

Décret n° 2021-321 du 25 mars 2021, le dispositif de traçabilité des déchets, des terres excavées et des sédiments a été renforcé par l’obligation de créations de bases de données dématérialisées et centralisées afin de permettre la traçabilité de certains déchets.

Loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés.

Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE.

Règlement (UE) 2015/847 du Parlement européen et du...

Cet article est réservé aux abonnés.
Il vous reste 92% à découvrir.

Pour explorer cet article
Téléchargez l'extrait gratuit

Vous êtes déjà abonné ?Connectez-vous !


L'expertise technique et scientifique de référence

La plus importante ressource documentaire technique et scientifique en langue française, avec + de 1 200 auteurs et 100 conseillers scientifiques.
+ de 10 000 articles et 1 000 fiches pratiques opérationnelles, + de 800 articles nouveaux ou mis à jours chaque année.
De la conception au prototypage, jusqu'à l'industrialisation, la référence pour sécuriser le développement de vos projets industriels.

Cet article fait partie de l’offre

Éco-conception et innovation responsable

(138 articles en ce moment)

Cette offre vous donne accès à :

Une base complète d’articles

Actualisée et enrichie d’articles validés par nos comités scientifiques

Des services

Un ensemble d'outils exclusifs en complément des ressources

Un Parcours Pratique

Opérationnel et didactique, pour garantir l'acquisition des compétences transverses

Doc & Quiz

Des articles interactifs avec des quiz, pour une lecture constructive

ABONNEZ-VOUS