Introduction
À l’heure où les technologies numériques collectent, croisent et analysent nos moindres comportements, la question de la protection des données personnelles s’impose comme un enjeu démocratique majeur.
Le Règlement général sur la protection des données (RGPD), entré en vigueur en 2018, encadre juridiquement le traitement des informations individuelles.
Mais au-delà de ce cadre technique, c’est l’article 8 de la Convention européenne des droits de l’homme (CEDH) qui garantit à chacun le droit au respect de sa vie privée et familiale, pierre angulaire de la protection des libertés numériques en Europe.
Comment la CEDH assure-t-elle la protection des données personnelles à l’ère de la surveillance algorithmique et de l’intelligence artificielle ?
L’analyse de sa jurisprudence montre que la Cour a progressivement construit un véritable bouclier contre les dérives de la société de surveillance.
I. L’article 8 de la Convention européenne des droits de l’homme : fondement du droit à la vie privée numérique
1. Vie privée et données personnelles : deux régimes juridiques distincts
Le RGPD et la CEDH poursuivent le même objectif (protéger les individus contre l’usage abusif de leurs informations) mais par des voies différentes.
Le RGPD fixe des obligations concrètes aux acteurs publics et privés : base légale du traitement, consentement, durée de conservation, sécurité des données.
L’article 8 de la Convention, lui, garantit un droit fondamental opposable aux États. Il ne réglemente pas le traitement des données, mais impose qu’aucune ingérence dans la vie privée ne soit arbitraire ou disproportionnée.
2. Le devoir des États d’encadrer la collecte et l’utilisation des données
Selon la Cour, toute collecte, conservation ou utilisation de données personnelles doit être prévue par la loi, poursuivre un but légitime et être nécessaire dans une société démocratique.
Cette exigence s’applique tant à la surveillance publique qu’à la régulation des acteurs privés, les États ayant l’obligation positive d’assurer une protection effective de la vie privée.
3. La jurisprudence fondatrice : les arrêts Amann c. Suisse et Rotaru c. Roumanie
Dans les arrêts Amann c. Suisse (2000) et Rotaru c. Roumanie (2000), la CEDH a considéré que la simple conservation de données personnelles par une autorité constitue une ingérence dans la vie privée.
Elle a ensuite étendu cette approche aux données numériques, biométriques et comportementales, reconnaissant que le traitement massif des informations individuelles menace la liberté même des citoyens.
II. Les nouveaux défis numériques à l’épreuve de la Convention européenne des droits de l’homme
1. Surveillance de masse et sécurité nationale
Lalutte contre le terrorisme et la criminalité a conduit plusieurs États européens à mettre en place des programmes de surveillance de masse.
La CEDH a rappelé dans les arrêts Big Brother Watch et autres c. Royaume-Uni (2021) et Centrum För Rättvisa c. Suède (2021) que la sécurité nationale ne saurait justifier des collectes illimitées de données.
La Cour exige que tout système de surveillance soit encadré par une loi claire, soumis à une autorisation préalable indépendante et contrôlé a posteriori par une instance judiciaire.
Ces décisions marquent un équilibre fondamental entre sécurité publique et respect de la vie privée.
2. Géolocalisation et données GPS : le contrôle de proportionnalité
La Cour a également traité des mesures de géolocalisation et de suivi GPS.
La CEDH a ainsi jugé dans l’arrêt Ben Faiza c. France (2018) que l’absence de base légale claire pour la pose d’un dispositif GPS sur un véhicule constituait une violation de l’article 8.
De même, elle a admis la surveillance de l’activité numérique d’un employé, à condition qu’elle soit limitée dans le temps, connue de l’intéressé et proportionnée au but poursuivi dans Florindo de Almeida Vasconcelos Gramaxo c. Portugal (2022),
Ces décisions soulignent que la vie privée mérite protection même dans l’espace professionnel.
3. Données biométriques, reconnaissance faciale et échantillons vocaux
Les technologies de reconnaissance faciale et de traitement biométrique bouleversent la notion même de vie privée.
La Cour a condamné l’identification d’un manifestant grâce à la reconnaissance faciale, dans l’arrêt Glukhin c. Russie (2023), en estimant que le dispositif, dépourvu de cadre légal précis, violait l’article 8.
Elle a également insisté sur les dangers liés à la conservation d’échantillons ADN, d’empreintes digitales ou d’échantillons vocaux, susceptibles de permettre une surveillance algorithmique permanente des individus.
La Cour considère que ces formes de traitement automatisé requièrent un contrôle particulièrement strict, tant la tentation du profilage généralisé est forte.
4. Surveillance numérique au travail et contrôle des ordinateurs
L’article 8 s’applique aussi au milieu professionnel.
Dans l’affaire Barbulescu c. Roumanie (2017), la Cour a estimé que la surveillance de la messagerie d’un salarié ne peut être admise qu’à condition que celui-ci ait été informé au préalable et que le contrôle reste proportionné.
Elle a réaffirmé, à travers la jurisprudence Gramaxo c. Portugal, que le droit à la vie privée subsiste au sein de l’entreprise, même face aux exigences de sécurité ou de productivité.
Plus récemment, dans l’arrêt Guyvan c. Ukraine (2025), la Cour a confirmé cette exigence en considérant que l’écoute du téléphone professionnel d’un agent public sans information préalable claire constituait une violation de l’article 8
Elle prolonge ainsi la jurisprudence Barbulescu et Gramaxo en l’adaptant aux moyens de communication contemporains.
III. Les données sensibles : santé, orientation sexuelle, religion et opinions politiques
1. Une protection fondée sur la dignité et la vie privée
Les données sensibles (celles qui touchent à la santé, à la religion, à l’orientation sexuelle ou aux convictions politiques) reçoivent une protection renforcée.
La divulgation ou la conservation de telles données sans base légale claire constitue une atteinte grave à la dignité humaine.
2. La logique de proportionnalité
La Cour a condamné la divulgation de données médicales confidentielles, dans l’arrêt Z c. Finlande (1997), au motif qu’elle violait le secret médical et portait atteinte à la vie privée.
La Cour a aussi a jugé une affaire où il fallait examiner la conservation d’informations relatives aux opinions politiques d’un employé dans un fichier de sécurité nationale (Leander c. Suède, 1987).
Ces affaires montrent que la Cour apprécie la proportionnalité entre la finalité poursuivie (sécurité, santé publique, ordre public) et la gravité de l’ingérence.
3. CEDH vs RGPD : approche fondamentale contre approche normative
Là où le RGPD adopte une logique de conformité technique (bases légales, consentement, durée de conservation), la CEDH adopte une approche fondée sur la proportionnalité et la protection des droits fondamentaux.
Les deux instruments se complètent : le RGPD encadre les pratiques, la CEDH garantit les principes.
IV. Vers une protection globale de la vie privée numérique
1. Articulation entre RGPD et article 8 CEDH
Le RGPD et la CEDH convergent vers un même objectif : garantir à chacun le contrôle de ses données personnelles.
La CEDH demeure le dernier recours en cas de carence du droit national ou d’absence de réparation effective.
Une violation du RGPD peut ainsi révéler une violation de l’article 8, notamment si l’État a omis d’encadrer ou de sanctionner un traitement illégal.
2. Le droit au recours effectif et les obligations positives des États
La Cour souligne régulièrement que les individus doivent disposer de recours effectifs pour contester la collecte ou la conservation de leurs données.
Les États membres ont donc l’obligation positive de garantir un cadre législatif transparent, prévisible et contrôlable.
Cette exigence renforce la cohérence entre le droit européen des données et la jurisprudence de Strasbourg.
3. La CEDH, dernier rempart face à la société de surveillance
À l’ère de la reconnaissance faciale, de l’intelligence artificielle et du traçage numérique, la Cour européenne des droits de l’homme s’impose comme le rempart juridique ultime contre la surveillance généralisée.
Elle rappelle que la protection des données personnelles n’est pas un simple enjeu technique, mais une condition essentielle de la liberté individuelle dans une société démocratique.
Foire aux questions
– Le RGPD et la CEDH protègent-ils les mêmes droits ?
Pas exactement. Le RGPD fixe des règles techniques, tandis que la CEDH protège un droit fondamental opposable aux États.
– Peut-on saisir la CEDH en cas de violation du RGPD ?
Oui, si cette violation traduit une carence de l’État à protéger efficacement le droit à la vie privée.
– Les entreprises privées peuvent-elles être visées directement ?
Non, mais l’État peut être tenu responsable s’il n’a pas encadré leurs pratiques ou prévu de recours effectif.
– La reconnaissance faciale est-elle conforme à la CEDH ?
Seulement si elle repose sur une base légale claire, un objectif légitime et un contrôle judiciaire strict.
Besoin d’un avocat pour une atteinte à vos données personnelles ?
Le cabinet d’avocats Meyer et Nouzha, avocats à Strasbourg, assiste les particuliers et les entreprises confrontés à des violations du droit à la vie privée ou du RGPD, devant les juridictions nationales et la Cour européenne des droits de l’homme (CEDH).
Contactez le cabinet gratuitement pour une évaluation de votre situation et déterminer si une requête à la CEDH peut être envisagée.