par Jean FRAYSSINET

Professeur à l’Université d’Aix-Marseille III (France)

Consultant en Droit de l’informatique

Introduction

Dès les années 1970 l’idée que les machines informatiques, en permettant la collecte, le stockage, le traitement, la diffusion des informations relatives aux personnes physiques, puissent servir d’instruments pour porter atteinte aux libertés, spécialement à la vie privée, est une inquiétude à l’origine d’une première forme d’encadrement juridique spécifique de la mise en oeuvre de l’informatique. Progressivement, une cinquantaine d’États du monde se sont dotés d’une législation tendant, à travers des règles particulières de protection des données personnelles, à assurer la protection de l’ensemble des droits et libertés des personnes.

Aujourd’hui avec le développement de l’Internet, pour des services comme la messagerie électronique, le commerce électronique, la consultation des sites du Web, des enquêtes récentes effectuées aux Etats-Unis ont montré qu’une des principales inquiétudes des utilisateurs de l’Internet était la crainte de voir leurs données personnelles brutes (adresse IP, adresse E-mail, numéro de carte bancaire, nom, adresse, numéro de téléphone etc...) faire l’objet de multiples saisies, traitements et usages pour des finalités incontrôlables et préjudiciables pour eux. Les exemples réels sont trop nombreux pour que la crainte exprimée avec force soit considérée seulement comme un fantasme. Des effets pervers apparaissent : l’absence d’un niveau satisfaisant de protection des données personnelles, aussi bien technique que juridique, constitue un frein au développement par exemple du commerce électronique mondial. C’est pourquoi même l’Accord général du 15 avril 1994 sur les échanges des services (GATS, article XIV) établissant l’Organisation mondiale du commerce admet la protection des données à caractère personnel comme une raison légitime de restreindre la libre circulation des services. Faute de disposer d’un système suffisamment protecteur tout État peut par conséquent voir ses échanges économiques pénalisés en raison de la méfiance des États souhaitant protéger les données de leurs citoyens. Cela est particulièrement important à l’heure de la mondialisation de l’économie jointe à la mondialisation des échanges de données à travers les réseaux informatiques et de télécommunications.

A partir du souci initial de protéger prioritairement le droit à la vie privée (Right to privacy) l’évolution technologique, en faisant apparaître de nouveaux types de risques, a mené vers un régime de protection des données personnelles relatives à l’exercice de tous les droits et libertés de l’individu (I).

Mais il demeure différentes méthodes d’approche pour organiser un système juridique de protection comme l’illustrera la comparaison entre le cas de l’Union européenne et celui des Etats-Unis qui apparaissent comme les plus typiques et susceptibles d’intéresser les pays tiers (II).

I - Les nouvelles technologies de l’information et la nécessité de la protection  des données personnelles

La nécessaire protection de la personne, de ses droits et libertés, de sa vie privée face au développement multiforme des nouvelles technologies de l’information et des communications est une évidence. On utilisera le terme de nouvelles technologies de préférence à informatique qui ramène trop exclusivement vers la seule machine ordinateur et ses services directs ou d’infrastructure. On vise par là tous les services de toutes sortes qui reposent sur l’usage de machines, de processus, traitant automatiquement l’information et souvent une information personnelle (téléphone mobile, autocommutation d’entreprise, cartes à microprocesseurs, badges électroniques, systèmes de contrôle d’accès, de circulation, saisie automatique de données, système d’identification y compris des paramètres physiques et physiologiques, traitement de caractères alphanumériques, de sons, d’images, etc.).

C’est que l’évolution des risques présentés par les nouvelles technologies a opéré des changements conceptuels qu’il convient de préciser pour comprendre l’évolution de la problématique actuelle.

D’une part, gardant le souci initial de protéger la vie privée des personnes, on va aujourd’hui jusqu’à une administration de tous les types de données personnelles parce qu’ils peuvent affecter tous les types de droits et libertés des individus (A).

D’autre part, les usages de la technique présentent des risques d’une nouvelle nature, allant au-delà de la seule menace directe et évidente de la vie privée ; ceci nécessite l’avènement d’un nouveau droit : l’autonomie informationnelle de la personne (B).

A. De la protection de la vie privée et du right to privacy à la protection des données personnelles

Lorsque dans les années 1970, spécialement en Europe occidentale et aux Etats-Unis, fut évoqué le risque pour les libertés des personnes provoqué par le développement nouveau de l’informatique l’atteinte la plus décriée fut celle à la vie privée visant spécialement l’État. Grâce à l’ordinateur, l’Etat allait pouvoir ficher tous les citoyens en stockant et traitant les données relatives à l’intimité familiale, amoureuse, sexuelle, à la santé, aux opinions politiques, aux convictions religieuses, aux appartenances syndicales, aux comportements sociaux etc. L’informatique devenait alors un moyen de contrôle social général, le Big Brother de la société orwellienne. En  raison du niveau technique de l’époque il s’agissait plus d’un discours irrationnel que d’une crainte justifiée par des faits avérés. On remarquera aussi qu’à côté de la menace pour la vie privée -notion qui revient toujours en première ligne même à notre époque- le risque est étendu aux libertés individuelles (la vie privée n’en est qu’une composante) et aux libertés publiques.

Si le terme de vie privée, fréquemment utilisé, est présent dans de  nombreux systèmes juridiques, force est de constater que le contenu de la notion reste flou, imprévu, variable dans le temps et l’espace ; c’est au juge plus qu’à la loi d’en définir les contours dans sa jurisprudence, cas par cas, avec des variations importantes d’un pays à l’autre. Il existe des différences de conception et de contenu entre les pays européens ; il existe aussi une différence entre la vie privée européenne d’apparition officielle récente et le Right to privacy anglo-saxon évoqué par Brandes et Warren dès 1880 et découlant du quatrième amendement de la Constitution américaine. Le Right to privacy a ainsi une portée plus active, plus large -droit à être laissé tranquille - que le droit à la vie privée européenne. Mais dans tous les cas la protection de la vie privée au nom de la défense de la liberté individuelle se situe parmi les libertés constitutionnellement garanties et protégées notamment par les Cours constitutionnelles comme on peut le voir aux Etats-Unis qui se dotent d’un Privacy Act en 1974, en Allemagne, en France.

Il est indéniable que la notion de vie privée -cette part de la vie de la personne qui doit rester à l’abri du regard indiscret ou inquisitorial des autres personnes ou de la puissance publique- est fortement liée à la société libérale occidentale individualiste, à une culture socio-politique et juridique. Cela explique que la notion ne se retrouve pas dans le droit de certains États, ou avec des contenus très différents : la vie privée est inséparable du contexte sociétal dans lequel elle est évoquée, du contexte idéologique, philosophique, religieux.

Malgré cela on constate une internationalisation croissante du droit à la vie privée -assimilée par commodité au Right to privacy- à travers différents textes, sans liens avec le développement de l’informatique. Ainsi le droit à la vie privée est consacré par la Déclaration universelle des droits de l’Homme de l’ONU de 1948 (Art.12), par la Convention européenne de sauvegarde des droits de l’Homme et des libertés fondamentales de 1950 (Article 8), qui est intégré au droit communautaire européen, par le Pacte international relatif aux droits civils et politiques de l’ONU de 1966. Le droit à la vie privée devient ainsi partie intégrante des Droits de l’Homme, acquiert une certaine valeur universelle à rapprocher de la mondialisation informatique.

La protection de la vie privée est assurée aussi par des droits proches (droit à l’image personnelle) ou par des notions juridiques distinctes mais connexes comme le secret des correspondances et des télécommunications, le secret professionnel ou statistique, la protection du contenu informationnel des systèmes informatiques contre les formes de piratage. La divulgation d’informations touchant à la vie privée est souvent sanctionnée pénalement et engage la responsabilité de droit commun en cas de préjudice. Le droit de la vie privée a des rapports étroits avec le droit d’aller et de venir, la liberté d’opinion et d’expression, le droit de la santé, de la presse et des médias, le droit du travail etc. Il s’agit d’un droit se situant au carrefour de différentes disciplines juridiques.

L’ensemble normatif formé des textes nationaux et internationaux protégeant directement ou indirectement le droit à la vie privée a bien entendu vocation à s’appliquer aux données personnelles collectées, stockées, traitées, diffusées par le biais de fichiers classiques (fichier carton-papier) ou faisant l’objet d’un traitement informatique.

Mais il est remarquable que dès les années 1970 de nombreux pays vont se doter de lois nationales spécifiques à l’informatique. Le Land de Hesse en Allemagne donnera l’exemple en 1970 tout comme la Suède avec la loi du 11 mai 1973 sur la protection des données et plus tard la France avec la loi du 6 janvier 1978 relative à l’informatique aux fichiers et aux libertés, l’Allemagne Fédérale avec la loi du 27 janvier 1977. Le mouvement est continu jusqu’à nos jours où environ 40 États -surtout européens- disposent d’une législation spécifique ; les États d’Afrique, d’une partie de l’Orient et de l’Amérique du Sud paraissent les grands absents.

A côté du niveau national, des textes internationaux vont servir de références, de sources d’inspiration pour les États. On citera l’action de l’Organisation de coopération et de développement économique (OCDE) avec la fixation sous forme de recommandation des lignes directrices du 23 septembre 1980 et la publication de nombreuses recommandations sectorielles mais surtout celle du Conseil de l’Europe avec la Convention du 28 janvier 1981 (dite  convention 108) pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel ; L’ONU a adopté le 14 décembre 1990 par le biais de l’Assemblée générale des lignes directrices non obligatoires relatives aux fichiers automatisés de données personnelles (résolution n° 45/95). La protection des données personnelles concernant les travailleurs a fait l’objet d’un recueil de directives pratiques adopté par le Bureau international du travail de l’Organisation internationale du travail le 7 octobre 1996 (Genève - MEWP/1996/5). Chaque État a sa manière d’aborder le problème de la défense de l’individu face au fichage et traitement informatique. Certains le font au niveau de la Constitution (Espagne, Portugal...) d’autres, la plupart du temps, au niveau de la loi. Certaines lois ne visent que le secteur public et le traitement automatisé ; d’autres lois s’appliquent au secteur public et au secteur privé, aux traitements informatiques et aux fichiers classiques “carton-papier”.

Par delà les différences on retrouve des points communs. D’abord l’idée que les technologies présentent des particularités quant à la menace des libertés des personnes justifiant une législation spécifique allant au delà de la simple mise en oeuvre des règles préexistantes de protection de la vie privée. Il faut des règles d’un contenu nouveau pour qu’elles soient efficaces.

Ensuite  il apparaît rapidement que la protection de la seule vie privée à partir de certaines données typées est un cadre trop étroit, dépassé. De nombreuses atteintes aux droits de la personne surgissent à partir de la collecte, du traitement de données qui juridiquement ne ressortent pas du domaine de la vie privée. Des traitements croisant des données anodines, publiques, peuvent ramener directement ou indirectement à la vie privée. Il n’y a pas seulement des données qui de manière évidentes, par leur objet, leur sens, leur contenu, touchent manifestement à la vie privée, ou Right to Privacy.  En fait ce sont toutes sortes de données qui en raison de la finalité -principe essentiel - de la collecte et du traitement, peuvent porter atteinte à la vie privée après en avoir révélé les composantes.

Des seules données touchant directement à la vie privée on a glissé immédiatement vers la considération de toutes les données personnelles c’est-à-dire se rapportant directement ou indirectement à une personne physique, quelque soit leur nature (image, son, texte...), leur objet, leur contenu, leur sens. La protection de la vie privée n’est devenu qu’un aspect à protéger. On a cherché à protéger tous les droits et libertés de la personne, publics comme privés, qualifiés pêle-mêle de droits de l’Homme, de libertés et droits fondamentaux etc.

C’est ainsi que partant de la protection de la vie privée on est arrivé à la protection de l’ensemble des libertés et droits de la personne à travers la protection de l’ensemble des données personnelles la concernant.

Les nouvelles technologies ont favorisé un élargissement considérable du champ de protection. Le droit considère une matière première neutre : les données personnelles. C’est ensuite leur finalité d’usage, leur gestion, qui doit s’inscrire dans le respect de certaines règles pour éviter l’atteinte des droits personnels. On a abouti à un droit d’administration des données personnelles, applicable du seul fait de la gestion de ces données, même si le risque d’atteinte aux droits de la personne est faible voire inexistant.

Pour illustrer le propos on peut se référer à la directive européenne du 24 octobre 1995 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel, dont nous reparlerons par la suite. L’article 1er de la directive exige des États membres de l’Union européenne “la protection des libertés et droits fondamentaux des personnes physiques, notamment de leur vie privée”. L’article 2-a “entend par « données à caractère personnel » toute information concernant une personne physique identifiée ou identifiable (personne concernée) ; est réputée identifiable une personne qui peut être identifiée, directement ou indirectement, notamment par référence à un numéro d’identification ou à un ou plusieurs éléments spécifiques propre à son identité physique, physiologique, psychique, économique, culturelle ou sociale”.

A la conception large des données personnelles correspond une conception large du traitement des données à caractère personnel (Art. 2-b) entendu comme “toute opération ou ensemble d’opérations effectuées ou non à l’aide de procédés automatisés et appliquées à des données à caractère personnel, telles que la collecte, l’enregistrement, l’organisation, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnection, ainsi que le verrouillage, l’effacement ou la destruction”.

Enfin, on constatera que les textes nationaux et internationaux assurant la protection des données personnelles automatiquement traitées mettent en oeuvre des principes proches que l’on retrouve dans les lignes directrices de l’OCDE ou dans la convention 108 du Conseil de l’Europe.

C’est ainsi que les données doivent être obtenues et traitées loyalement et licitement, être adéquates, pertinentes et non excessives par rapport aux finalités de leur traitement, faire l’objet de larges mesures de sécurité. Des règles particulières régissent les données les plus sensibles, dangereuses pour la vie privée ou les libertés ; l’encadrement des décisions automatisées est souvent prévu et le secteur public bénéficie de règles particulières. La personne concernée par les données doit bénéficier d’information préalable, peut parfois s’opposer pour des raisons légitimes à un traitement, dispose d’un droit d’accès et de contestation des données. Fréquemment un organisme indépendant est mis en place pour veiller à l’application des règles, gérer un mode de notification des traitements et exercer des pouvoirs d’investigation, de contrôle ou de sanction. La loi française du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés est un bon exemple de la teneur générale des législations protectrice des données personnelles.

En cas de violation de la réglementation le juge de droit commun sera en mesure de prononcer des sanctions sur le terrain du droit de la responsabilité et parfois sur celui du droit pénal quand il comprendra des infractions spécifiques.

Mais le droit existant a été conçu essentiellement dans un cadre national ce qui soulève le problème de son adaptation, de son application, de sa sanction à l’époque des réseaux et de l’Internet qui permettent la circulation et le traitement planétaires des données personnelles dans les domaines bancaires, financiers ou du transport aérien par exemple. Le droit international public et le droit international privé apportent quelques solutions mais complexes, contestées. Le dépassement du cadre national -tout en le respectant- est indispensable. Il peut se faire de multiples manières. On verra par la suite que par une directive du 24 octobre 1995 les quinze pays de l’Union européenne se sont dotés d’un fond de droit commun pour assurer un haut niveau de protection des données personnelles. Déjà cela incite à engager des négociations internationales pour assurer des compatibilités avec d’autres États du monde, les Etats-Unis, le Japon, le Canada par exemple. C’est une évolution qu’il faudra suivre attentivement dans le proche avenir.

B. L’évolution technologique et les nouveaux risques pour les droits et libertés des personnes

Le glissement de la protection étroite de la seule vie privée à un droit de gestion de toutes les données pouvant se rapporter à un individu pour protéger l’ensemble de ses droits et libertés s’explique par le changement de la nature des risques engendrés par une technologie en perpétuel changement.

Dans les années 1970, avant l’avènement de la micro-informatique, le danger pour la vie privée et les libertés était situé du côté des ordinateurs de l’État. On voyait dans les machines de nouvelles capacités de fichage, de stockage de données personnelles brutes, la possibilité ainsi de faire des connexions logiques entre les fichiers automatisés, ce qui a posé dans certains pays européens occidentaux le problème des identifiants personnels nationaux. On raisonnait en traitements automatisés de masse dans le cadre de grands systèmes nationaux fiscaux, de santé, de justice, de police. La notion de fichier automatisé et de fichier classique, était au centre du dispositif de protection des premières législations protectrices, les logiciels de gestion des données personnelles ayant des capacités de traitement limitées.

L’avènement de la micro-informatique et des progiciels aux coûts décroissants mais aux performances croissantes, la numérisation de toutes les formes de représentation des informations (texte, image, son...), et de toutes les machines capables de stocker et de traiter l’information, (guichet automatique de banque, badges, microprocesseurs), le rôle joué par l’infrastructure informatique pour tous les moyens de communication et de télécommunications ouvrant l’ère des réseaux ont complètement bouleversé le paysage en vingt ans.

Aujourd’hui dans les pays développés l’imprégnation technologique de la vie personnelle et de la vie professionnelle, de la vie individuelle et de la vie collective, est forte ; ces technologies multiformes aboutissent souvent à générer, pour et par leurs usages, des masses considérables de données personnelles qui apportent toutes des renseignements sur les individus concernés. Les nouvelles technologies de manière systématique, automatique, indolore, invisible tissent autour de chaque personne une toile faite de multiples informations. Celles-ci identifient, repèrent (téléphone mobile ; péage automatique autoroutier) retracent les actes importants comme anodins (tracabilité) ; les traitements informatiques peuvent ensuite rapprocher ces données, les analyser, pour déterminer des caractéristiques de la personne qui toucheront ou non à sa vie privée (profilage ; segmentation comportementale). Les nouvelles technologies permettent de suivre un individu, de savoir qui il est, où il est, ce qu’il fait, ce qu’il pense, ce qu’il préfère, ce qu’il consomme, ce qu’il mange, ce qu’il boit, ce qu’il regarde ou lit, de connaître ses comportements sociaux, ses préférences de consommateurs ou autres. L’infrastructure informatique permet d’analyser l’usage d’une carte bancaire (types d’achats, lieux et dates d’achats, revenus) d’une facture de téléphone (numéros appellants et appelés, lieux, durée, coût, types de services etc. ).

Le fournisseur d’accès à Internet (où toute navigation laisse des traces identifiables) dispose d’une masse de données sur la messagerie électronique du client, les adresses sortantes et entrantes, les services consultés, jusqu’au niveau d’une page. Le commerce électronique ne peut se faire sans gestion des données personnelles pour l’identification de l’acheteur, l’envoi du produit (adresse), la facturation. Grâce à des logiciels spécialisés on peut profiler la navigation du client sur de multiples critères pour lui apporter de l’information, des offres de vente ciblées (technique du push). Le profilage du client permet d’aller électroniquement au devant de lui, au delà de ses désirs exprimés. Les données personnelles très fines peuvent être rassemblées dans de grandes bases de données généralistes ou spécialisées (data-mining et data-warehouses) et vendues, échangées. De nouveaux croisements permettent d’obtenir des données toujours plus fines : le commerce de la valeur ajoutée des données personnelles connaît une rapide croissance, au niveau mondial avec l’Internet. Sur le Web des logiciels spécialisés détectent, aspirent les adresses de messagerie électronique, les numéros des cartes bancaires, source de fraude, ce qui débouche sur les publicités non sollicitées saturant les boîtes à lettres (spaming) l’absence de maîtrise de l’adresse E-mail, la diffusion des références bancaires. Ce sont bien toutes les données personnelles qui sont susceptibles d’être utilisées contre le gré et l’intérêt de la personne concernée. Les finalités du traitement des données échappent à la personne qui voit son pouvoir d’autodétermination informationnelle de plus en plus réduit au risque de voir ses grandes et petites libertés atteintes, amenuisées, mises sous contrôle ou surveillance. On est bien au delà du simple fichage des données personnelles de base d’une personne : les données permettent de classer l’individu, de le noter, l’évaluer, (scoring, dans les banques, les assurances, les sociétés de crédit...) par rapport à des normes statistiques, donc souvent de manière approximative voire fausse. Une identité numérique vient se surajouter, et déformer l’identité humaine ; une personne virtuelle est créée à côté de la personne réelle.

Le plus souvent la collecte, le traitement, la diffusion des données exploite la bonne foi de l’intéressé. C’est à l’insu de ce dernier, que les données vont satisfaire des finalités cachées négatives pour lui ;  aucune information préalable ne sera donnée, aucun droit d’opposition, aucun droit d’accès ne pourra être effectivement exercé. On connaît par exemple l’inquiétude soulevée sur l’Internet par l’usage des cookies. Il s’agit de petits fichiers “pondus” à l’insu de la personne qui se connecte à un site du Web par le serveur de ce site et qui demeurent dans l’ordinateur de l’intéressé après connexion. Il s’agit de “mouchards” identifiant les adresse IP de l’utilisateur, les caractéristiques de sa machine et des logiciels utilisés, gardant traces des sites interrogés, des pages consultées, de la manière de naviguer, des liens hypertextes utilisés. Lors d’une nouvelle connexion au site “pondeur”, celui-ci rapatrie discrètement le contenu des cookies et exploite les données pour définir le profil de l’utilisateur. Celui-ci consulte-t-il souvent les sites d’images pornographiques, les sites de commerce électronique pour les livres, les sites sur les vieilles voitures à titre de passe-temps ? Le caractère inquisitorial, indiscret, caché, des cookies inquiète beaucoup les utilisateurs de l’Internet à tel point qu’ils ont obtenu de la part des concepteurs des logiciels de navigation la possibilité de faire révéler la “ponte” du cookie avant de pouvoir s’opposer à recevoir ce cadeau empoisonné car souvent présenté par les “sites pondeurs” comme permettant de mieux connaître les utilisateurs donc de leur apporter de meilleurs services en fonction d’un profilage fin.

Ces quelques exemples permettent de constater que la génération des données personnelles est constante et que  toutes les données personnelles ont quelque chose à dire sur la personne concernée aussi bien sur sa vie publique que sur sa vie privée, la frontière devenant d’ailleurs de plus en plus imprécise. C’est pourquoi toutes les organisations publiques et privées collectent et traitent les données personnelles pour des finalités souvent ignorées par l’intéressé alors que les résultats du traitement seront éventuellement retournés contre celui-ci, y compris dans le cadre de systèmes automatiques d’aide à la décision. Se créent de nouvelles formes de dépendances, parfois visibles parfois cachées, de la personne vis-à-vis de celui qui exerce sur elle des pouvoirs du fait de la possession de données personnelles qui la caractérisent dans toutes ses composantes. Il revient alors au droit de rétablir un équilibre menacé plus que jamais au détriment des personnes que nous sommes. Apparaît ainsi la nécessité d’un système d’administration des données personnelles imposant des contraintes préventives au maître du traitement et reconnaissant à la personne une maîtrise sur les données la concernant, un droit à l’autonomie informationnelle qui suppose une information sur la collecte, l’usage et la diffusion des données. Ce droit à l’autodétermination informationnelle a par exemple été reconnu en Allemagne par la Cour constitutionnelle fédérale dans une décision du 15 décembre 1983 à propos du traitement des données du recensement de la population.

II - Les systèmes juridiques de protection des données personnelles

Il n’est bien sûr pas question de passer en revue le détail des règles de toutes les législations nationales qui tendent dans le monde à assurer la protection des personnes en régulant la gestion des données personnelles traitées automatiquement.

Mais sans déformer excessivement la réalité on peut dire qu’en la matière un État a le choix entre deux types de modes de protection : le modèle européen et le modèle des Etats-Unis. En fait le choix est orienté par le contexte philosophique, idéologique, l’histoire du système étatique et juridique.

Le modèle européen, imposé, réglementaire, contraignant, est maintenant bien représenté par la directive du 24 octobre 1995 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données. Il est commun au quinze États formant l’Union européenne. Mais nous insisterons aussi sur le fait qu’ils concernent volens nolens les États extérieurs à l’Union européenne. (A).

Le modèle américain est celui du pragmatisme optimiste, de l’autorégulation, de la confiance dans la convergence de l’intérêt des individus et de ceux qui gèrent les données les concernant, la puissance étatique ne devant intervenir qu’en cas de déséquilibre excessif (B).

Entre ces deux modèles méthodologiques, on peut prendre des positions intermédiaires ; de manière forte l’Internet incite aujourd’hui à l’établissement d’un niveau de compatibilité à partir de principes communs.

A. Le système de protection de l’Union européenne : la directive du 24 octobre 1995

Parallèlement à l’apparition des législations nationales protectrices des données personnelles dans les pays d’Europe occidentale à partir des années 70 adoptant des approches différentes, est survenu le besoin pour les quinze pays de l’Union européenne d’adopter un système commun de protection. Les travaux des institutions communautaires européennes durèrent plus de dix ans et connurent de nombreuses péripéties. On assista à l’affrontement des partisans d’un faible niveau de protection des données à  ceux qui exigeaient un haut niveau de protection : c’est ce dernier point de vue qui l’emporta finalement avec la publication de la directive 95/46/CE du 24 octobre 1995 “relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données”. Ce texte est composé de 34 articles précédés d’un long préambule de 72 considérants essentiels pour la compréhension et l’interprétation du document.

L’élaboration d’une directive s’explique par différentes raisons. L’objectif principal (article 1er) est de permettre la libre circulation sans restriction ni interdiction des données personnelles gérées grâce à des fichiers classiques, manuels, sur support papier ou faisant l’objet d’un traitement informatique ou circulant dans les réseaux sur le territoire des pays constituant le marché unique européen. A cet égard les données personnelles sont assimilées à des biens ayant une valeur économique. En retour il convient d’imposer aux États membres d’assurer la protection des libertés et droits fondamentaux des personnes physiques, notamment de leur vie privée, à l’égard du traitement des données à caractère personnel (notions définies largement à l’article 2 de la directive). Mais le système de protection des États doit être conforme au contenu de la directive européenne pour éviter de disparités de niveaux de protection qui viendraient fausser la concurrence économique ou encourageraient des délocalisations d’implantation des traitements des données personnelles pour échapper aux contraintes plus fortes de certains pays : la directive impose un système commun minimal de protection des données personnelles. En  effet la directive impose aux États de l’Union européenne de transposer son contenu dans le système juridique national ; le délai de transposition fixé à trois ans a expiré le 24 octobre 1998 ; à cette date des pays comme l’Allemagne et la France n’ont pas encore transposé la directive ce qui n’empêche pas celle-ci de produire certains effets de droit pour les habitants de l’Union européenne devant les juges nationaux. Dans le cadre de la transposition nationale les États membres peuvent jouer sur les choix ouverts par la directive, sur des différences d’interprétation, peuvent prévoir des règles complémentaires et plus sévères : bien que partant d’un minimum obligatoire commun on peut aboutir à des législations nationales comportant des approches des règles différentes : la directive ne signifie pas l’unité, l’uniformité. Mais la directive revêt un caractère obligatoire, à travers la loi nationale ; son aspect normatif est prononcé : tout habitant de l’Union européenne peut en revendiquer l’application devant les juges nationaux qui disposent d’un système de sanction, y compris éventuellement pénal. La portée de la directive est large : ses préceptes et règles s’appliquent à toutes les données personnelles définies extensivement (article 2) gérées par des fichiers classiques ou par tous les moyens permettant le traitement automatique, ou la collecte, la circulation  des données dans les réseaux ; elle s’applique au secteur public (y compris les administrations des États) et au secteur privé, à toutes les organisations économiques ou autres étrangères implantées sur le territoire de l’Union européenne (articles 1 à 4).

La directive du 24 octobre 1995 joue aussi le rôle d’une directive cadre  pour inspirer des directives sectorielles. C’est ainsi que l’Union européenne s’est aussi dotée de la directive n° 97/66/CE du 15 décembre 1997 relative à la protection des données personnelles dans le secteur des télécommunications.

La directive énonce des principes généraux proches de la Convention 108 du Conseil de l’Europe : les données personnelles doivent être traitées légalement et licitement, collectées pour des finalités déterminées, explicites et légitimes ; elles doivent être adéquates, pertinentes, non excessives au regard des finalités du traitement, exactes, remises à jour, conservées durant une période limitée (article 6). Le traitement ne peut être effectué que si la personne a indubitablement donné son consentement : tel est le principe. Mais des dérogations sont possibles en particulier si les données sont nécessaires à la conclusion d’un contrat ou à l’exécution de mesures précontractuelles, ou pour respecter des obligations légales ou pour assurer une mission de service public, (article 7). La directive impose à celui qui collecte les données personnelles auprès de la personne concernée ou auprès d’un tiers de fournir des informations précises sur le responsable du traitement, les finalités les destinataires des informations, l’existence d’un droit d’accès (articles 10 et 11).

Des règles particulières régissent les données sensibles révélant l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques, l’appartenance syndicale, celles relatives à la santé et à la vie sexuelle. Le principe est celui de l’interdiction de traitement de ces données ; mais des exceptions sont prévues (article 8).

Les personnes concernées par les données bénéficient du droit de savoir si ces données sont traitées ou non, du droit d’en obtenir communication (droit d’accès), d’obtenir la rectification ou l’effacement des données (article 12), le droit de s’opposer pour des raisons prépondérantes et légitimes à un traitement (en particulier à un traitement à des fins de prospection, y compris commerciale) (articles 12 et 14). Des exceptions existent pour des traitements relatifs à la sûreté de l’État, la défense, la sécurité publique etc. (article 13).

Témoignant qu’on dépasse le cadre étroit de la vie privée, la directive pose que le responsable du traitement doit mettre en oeuvre les mesures techniques et d’organisation appropriées pour protéger les données personnelles contre la destruction accidentelle ou illicite, la perte accidentelle, l’altération, la diffusion ou l’accès non autorisés, notamment lorsque le traitement comporte des transmissions de données dans un réseau, ainsi que contre toute forme de traitement illicite. Cette obligation de sécurité (article 17), par son étendue qui va au delà de la protection de la vie privée, sera certainement source de multiples contentieux.

La directive (section 9) prévoit l’obligation pour le responsable du traitement de notifier celui-ci à une autorité de contrôle. Mais certains traitements simples et fréquents pourront être dispensés de notification ou bénéficier d’une notification allégée ; mais dans certains cas le traitement sera subordonné à une autorisation. Il est imposé aux États de mettre en place une ou plusieurs autorités de contrôle indépendante pour veiller à l’application de la législation nationale. Ces autorités bénéficient de pouvoirs d’investigation, d’intervention et peuvent être saisies par toute personne ou association (article 28). Un groupe de protection des personnes à l’égard du traitement des données à caractère personnel, à caractère consultatif et indépendant est institué (article 29) ; il regroupe des représentants de chaque autorité nationale pour veiller à l’application de la directive, donner des avis à la Commission européenne etc. La directive encourage l’élaboration de codes de conduite nationaux ou communautaires au niveau des différents secteurs d’activité (article 27) et impose aux États de prévoir des recours juridictionnels, des sanctions, un régime de responsabilité pour permettre aux personnes ayant subi un dommage de faire respecter leurs droits et d’obtenir réparation.

Ce fond commun de règles va assurer un niveau minimum de protection juridique de données personnelles permettant la libre circulation de ces données sur le territoire de l’Union européenne. Mais à l’heure des réseaux et de l’Internet le risque existe de contourner la directive et les lois nationales de transposition en exportant les données et les traitements en dehors de l’Union vers des pays lointains ou proches qui imposent pas ou peu de contraintes, avant d’en récupérer les résultats.

C’est pourquoi le chapitre IV de la directive traite du transfert de données à caractère personnel vers des pays tiers, c’est à dire tous les pays non membres de l’Union européenne, quelque soit leur situation géographique, politique et juridique.

L’article 25-1 de la directive pose que les États membres de l’Union européenne prévoient que le transfert vers un pays tiers de données personnelles faisant l’objet d’un traitement, ou destinés à faire l’objet d’un traitement après leur transfert (même  sur un support non informatique), ne peut avoir lieu que si le pays tiers en question assure un niveau de protection adéquat (alors que la convention 108 du Conseil de l’Europe envisage un niveau de protection équivalent). Le caractère adéquat du niveau de protection s’apprécie de manière assez impressionniste (article 25-2) puisque sont prises en considération la nature des données, la finalité et la durée du ou des traitements envisagés, les pays d’origine et de destination finale, les règles de droit générales ou sectorielles en vigueur dans le pays tiers, les règles professionnelles, les règles de sécurité.

Ceci aboutit à une forme d’exportation de la directive au niveau mondial : chaque pays hors Union européenne, si il veut traiter des données personnelles en provenant après transfert, doit créer ou mettre à niveau ses règles nationales pour disposer d’un niveau de protection adéquat. Faute d’y parvenir le principe est celui de l’interdiction du transfert. La technique des réseaux impose une démarche qui d’européenne devient mondialiste ce que certains, spécialement les Etats-Unis, ressentent comme une forme nouvelle d’impérialisme doctrinaire parfaitement irréaliste quant à son application et à sa sanction en cas de violation. On réalise facilement pour des secteurs comme le commerce électronique, les finances, les banques, le transport (réseaux de réservation aériens...), le tourisme, la gestion interne d’entreprises multinationales etc. toutes les conséquences gênantes qui peuvent en résulter. D’autant plus que (article 25-3-4) les États membres et la commission européenne s’informent mutuellement lorsqu’ils estiment qu’un pays tiers n’a pas le niveau de protection adéquat et que la commission peut demander aux États de prendre les mesures nécessaires pour empêcher le transfert des données avant d’engager des négociations avec le pays visé ; la commission peut aussi constater qu’un pays tiers assure un niveau de protection adéquat en raison de sa législation ou de ses engagements internationaux. Il y a là place à des négociations entre les États du monde et l’Union européenne qui pourraient tenir compte de nombreux paramètres.

Après la rigueur de l’exigence d’un niveau de protection adéquat, l’article 26 de la directive vient apporter de la souplesse en  prévoyant des dérogations incorporables aux législations nationales ; elles auront souvent à s’appliquer.

C’est ainsi que le transfert de données personnelles vers un pays ne disposant pas d’un niveau de protection adéquat est possible si la personne concernée a donné indubitablement son consentement au transfert, si le transfert des données est nécessaire à l’exécution d’un contrat ou à l’exécution de mesures précontractuelles, si le transfert est nécessaire pour la sauvegarde d’un intérêt public important ou pour la sauvegarde de l’intérêt vital de la personne (Article 21-1).

Mieux encore l’article 26-2 autorise le transfert lorsque le responsable du traitement (et non plus l’État d’appartenance) offre des garanties suffisantes de protection de la vie privée et des libertés et droits fondamentaux des personnes, ainsi qu’à l’égard de l’exercice des droits correspondants ; mais c’est l’État membre qui délivre l’autorisation et en informe la commission  et les autres États membres qui peuvent s’y opposer.

On retiendra que les garanties offertes par le maître du traitement, une entreprise par exemple, peuvent notamment résulter de clauses contractuelles appropriées ; cela concerne tous les types de contrats et peu importe leur objet. Comme aux Etats-Unis la directive ouvre ainsi directement la voie à une contractualisation de la protection des données personnelles permettant du sur mesure mais aussi dégageant de la responsabilité contractuelle. Il y a là un élément de souplesse qui, si il est géré avec sérieux, atténue fortement la contrainte de l’article 25 tout en protégeant les personnes.

A partir d’un cadre contraignant, rigide, la directive de 1995  débouche sur des formules souples qui ouvrent la porte à des formes d’autorégulation homologuées par les États et les contractants. Il y a là un point fort de rapprochement possible avec le système de protection américain, malgré les différences.

B. Le système de protection des Etats-Unis

Il est parfois prétendu -notamment en Europe- que les Etats-Unis ne se soucient pas de la protection des données personnelles dans le cadre du développement des nouvelles technologies et préconisent la “politique du laisser-faire”. Ceci est inexact. En raison de leur mentalité, du contexte politique, économique et social, de leur tradition juridique, les Etats-Unis ont une manière autre que celle des européens d’aborder le problème ; il s’agit essentiellement d’une différence d’état d’esprit, de méthode, qui souvent dissimule un accord au moins relatif sur les objectifs à poursuivre et sur les préconisations de protection.

L’approche américaine a un certain nombre de traits caractéristiques :

- l’analyse est fondée de manière pragmatique sur l’observation et l’évaluation des faits ; on ne se détermine pas a priori par rapport à une analyse juridique ou idéologique de protection de la vie privée ; ce n’est que si de manière durable et effective les droits des personnes sont menacés qu’une action est envisagée pour la protection des données personnelles.

- le poids de l’opinion publique est fort et se reflète à travers les médias et des groupes de pression variés et puissants.

L’opposition est forte entre ceux qui souhaitent aucune régulation au nom d’une liberté absolue et ceux qui, au contraire, considèrent que les nouvelles technologies mettent en  danger certains mécanismes de la démocratie, la religion ou la morale, menacent l’esprit familial ou les enfants par exemple.

- l’intervention des États fédérés et de l’État fédéral n’est pas souhaitée a priori. La priorité est donnée à l’autorégulation par les acteurs eux-mêmes, en particulier les entreprises. On part du principe que les règles de fonctionnement du marché sont capables de déterminer un équilibre entre la protection des données personnelles des consommateurs, des abonnés aux services, des utilisateurs et les besoins de gestion, de meilleurs services, de marketing, des entreprises qui réclament toujours plus d’informations collectées et traitées. L’idée confiante d’une convergence d’intérêt entre la personne concernée par les données et le gestionnaire de celles-ci est dominante. On considère que si une entreprise ou une administration utilisent abusivement les données personnelles pour limiter ou violer les droits personnels, les actions seront connues, médiatisées, éventuellement sanctionnées par le juge ; il en résultera une perte de confiance du public qui se méfiera et se détournera au profit des concurrents : l’intérêt économique (ou politique) exige donc une transparence et un “fair play” vis-à-vis du public. Au contraire les européens considèrent cette attitude comme trop optimiste voire naïve : ils ont tendance à opposer par principe les intérêts divergents du public et des entreprises ou des administrations en estimant que ces dernières bénéficient d’un  rapport de force favorable. C’est pourquoi on réclame au droit, à la loi, à la puissance publique, d’établir autoritairement des règles pour établir un équilibre au profit des faibles personnes puisque les nouvelles technologies avantagent les plus forts, accentuent les déséquilibres des marchés économiques ou des relations avec les citoyens.

L’autorégulation préconisée aux Etats-Unis, de préférence à l’intervention de la puissance publique pourra prendre des formes variées parce que libres.

Ce n’est que si l’autorégulation de protection des données personnelles est insuffisante par rapport à la demande sociale ou est perçue comme un alibi dissimulant des pratiques considérées comme attentatoires à la liberté individuelle que l’intervention de la puissance étatique sera souhaitée ; mais elle devra être proportionnée et finalisée par rapport au problème à résoudre, donner des lignes directrices de comportement ou fixer des objectifs à atteindre en laissant au gestionnaire des données personnelles le soin de définir les moyens et leur condition de mise en oeuvre.

L’autorégulation en dehors du champ d’intervention étatique suppose l’existence de structures fortes de droit privé (associations, fondations...) capables de veiller au suivi du comportement des collecteurs et des gérants des données personnelles, de contrôler le respect des règles autorégulatrices, de mobiliser l’opinion publique pour faire pression sur les milieux économiques et politiques avec efficacité, de déclencher des sanctions (boycott ; usage massif de la messagerie électronique pour protester ; contre publicité etc.), de faire des propositions et de servir d’interlocuteurs fiables aux acteurs économiques et politiques. On peut estimer que de telles structures existent dans le cadre de la société américaine, contrairement aux pays développés d’Europe ; cette grave insuffisance quasi démocratique de la société européenne pour la protection des données personnelles explique pourquoi l’action des États et de l’Union européenne reste déterminante.

- Les européens considèrent que les personnes, étant en position de faiblesse, restent passives parce que peu conscientes des menaces qui pèsent sur leurs libertés, ce qui oblige à faire supporter des contraintes fortes et obligatoires à celui qui gère les données personnelles suspecté a priori. Les américains, au contraire, misent sur la capacité d’autodétermination des acteurs qui imposent la nécessité d’établir, grâce à l’information réciproque et préalable, une relation confiante, un contrat formel ou informel, que celui qui collecte les données le fasse de manière loyale, transparente, qu’il précise les usages des données, qu’il s’engage à protéger la confidentialité, qu’il donne à la  personne concernée la possibilité de s’opposer à la cession par exemple, ou à la fourniture de certaines données ; en retour la personne concernée par les données choisira de donner ou non les informations, indiquera les finalités des traitements qu’elle autorise.

- à l’approche globale et rationnelle des européens qui avec la directive de 1995 entendent réguler le secteur public et privé, les traitements automatisés et les fichiers traditionnels à partir d’un fond de règles communes, les Etats-Unis préfèrent une approche différenciée et sectorielle. Ils souhaitent, par pragmatisme et souci d’efficacité, concevoir un système de protection des données personnelles informatisées “sur mesure” en tenant compte de multiples paramètres qui mènent vers des niveaux de protection à plusieurs degrés, assurés par des règles non uniformes.

On tiendra compte par exemple de la nature des données personnelles, plus ou moins sensibles, de la finalité de leur collecte et de leur traitement (gestion publique, gestion commerciale, marketing, profilage...) du secteur professionnel concerné (administration publique, assurances, banque, commerce électronique, abonnement à des services télématiques etc.), de la nature du public concerné (enfants, parents investisseurs en bourse etc.). A l’apparente unité européenne s’opposera l’apparente disparité des mesures américaines.

Les textes américains constituent un ensemble disparate s’appliquant à des secteurs distincts et aucun ne concerne spécifiquement la collecte de données en ligne. Pour les plus importants d’entre eux, on peut citer le Fair Credit Reporting Act (FCRA) pour le crédit à la consommation (15 USC § 1681 et suivants), l’Electronic Communications Privacy Act de 1986 (18 USC § 2510 et suivants) concernant le courrier électronique et vocal, le Cable Communications Policy Act de 1984 (47 USC § 551) pour l’abonnement à la télévision câblée, le Right to Financial Privacy Act de 1978 (12 USC § 3401 et suivants) relatif aux fichiers bancaires, le Video Privacy Protection Act de 1988 (18 USC § 2710) concernant la location des produits vidéo, le Family Educational Rights and Privacy Act de 1974 (20 USC § 1232 g) relatif aux fichiers d’étudiants, le Communication Act de 1994 amendé par le Telecommunication Act de 1996 (47 USC § 222) s’appliquant aux utilisateurs des services de télécommunication) et le Privacy Act de 1974 (USC § 552 a) relatif aux données collectées par les services du Gouvernement fédéral. Conformément à la décision de la Cour Suprême United States v. Miller, 425 US.435 (1976) les personnes ne peuvent arguer le quatrième amendement de la Constitution pour toutes les données fournies volontairement à des tiers. En conséquence toute protection des données personnelles ne peut être fondée que sur l’existence d’une loi, ce qui explique la multiplication des textes.

A partir de l’exposé des caractéristiques générales du système de protection américain on peut illustrer le propos sans chercher à être exhaustif ; cependant il convient de distinguer deux périodes historiques : avant et après l’Internet.

Avant l’arrivée du réseau des réseaux l’intérêt porté à la protection des données personnelles informatisées a été modeste, orientée vers les fichiers automatisés. L’exemple sans doute le plus significatif est le Privacy Act de 1974 amendé (United States Code - section 552 a, Titre 5, Partie 1, chapitre 5, sous-chapitre II ; texte consultable, sur le site www.eff.org/legislation). Ce texte régule la gestion des données personnelles contenues dans les fichiers des administrations fédérales et locales. A la même époque apparaissent des textes spécifiques dans le secteur de la Banque, de l’assurance, des télécommunications, (Electronic Communications Privacy Act de 1986 par exemple.

Les réglementations qui posent des principes de comportement, acceptent le droit d’accès, sont d’un esprit proche du contenu de la convention 108 du Conseil de l’Europe de 1981.

Les choses vont beaucoup évoluer avec l’avènement de l’Internet. Les excès commis par beaucoup d’opérateur dans la collecte des données personnelles, souvent à l’insu des personnes, par les cookies, le profilage et le ciblage systématiques des utilisateurs, la création de méga-bases de données personnelles gratuites ou commerciales, les excès au niveau de la messagerie électronique (saisie et usage abusif de l’adresse E-mail, publicité abusive dans les boites aux lettres saturées (spaming), les comportements déloyaux de certains fournisseurs d’accès à partir des données de leurs clients, la collecte d’informations sensibles sur les parents à partir de sites offerts aux enfants etc. sont des événement qui feront que un grand nombre d’utilisateurs vont s’inquiéter fortement, voire se révolter, grâce à des associations puissantes présentes sur le Net, capables d’influencer le pouvoir politique. Ces excès vont aussi engendrer des effets pervers nuisibles à une relation de confiance indispensable pour le développement du commerce électronique. Si bien que aujourd’hui la protection des personnes à travers leurs données, en particulier du droit to the privacy, est devenue un thème majeur de droit américain de l’Internet. La protection de la privacy est parfois traitée en tant que telle, parfois est mêlée à la protection d’autres intérêts touchant aux personnes. Certains États américains ont adopté des législations spécifiques pour sanctionner les excès de publicité non sollicitée par le biais de la messagerie électronique. En août 1998 la Federal Trade Commission s’est attaquée à Geocities, fournisseur d’hébergement gratuit de pages personnelles comptant deux millions de membres obligeant celui-ci à conclure un accord dans le cadre d’un litige portant sur la divulgation de données personnelles. Il était reproché à Geocities de tromper les utilisateurs sur les raisons invoquées pour la collecte de données personnelles sur le Web. Le formulaire en ligne incluait une option permettant ou non de recevoir des offres spéciales d’entreprises ; il était précisé que les informations ne seraient pas transmises à des tiers sans accord explicite des utilisateurs, ce qui ne fut pas respecté. La FTC a imposé à Geocities d’informer les utilisateurs, de recueillir leur consentement, de respecter leur choix quant aux destinataires, d’obtenir l’accord des parents pour les enfants âgés de moins de douze ans, d’introduire une notice explicative sur les raisons de la collecte de données et sur leurs usagers. Cette affaire fit grand bruit car elle démontrait d’une part la capacité d’intervention des internautes et les risques économiques et commerciaux pris par les entreprises qui ne respectaient pas leurs engagements de protection de la privacy.

D’une manière générale, c’est la Federal Trade Commission qui demeure la structure suivant au plus près la position américaine ; on pourra consulter avec profit son rapport “Privacy on line : a report to Congress” de juin 1998 (www.ftc.gov/reports/privacy3/)

Les risques soulevés par les nouvelles technologies amènent aussi les États à formuler de nouvelles législations pour la protection des personnes. L’état de Californie vient de voter une loi offrant une protection légale contre les nouvelles technologies permettant de voler les images ou d’enregistrer des conversations intimes sans avoir à empiéter physiquement sur une propriété privée. Cette loi “anti-paparazzis” considère qu’il s’agit “d’intrusion implicite dans la vie privée”. Un projet de loi, le Personal Privacy Protection Act doit être discuté prochainement devant le Congrès ; il incorpore des dispositions relatives à la protection des données personnelles.

Dans le cadre de l’Internet, l’Etat Fédéral est intervenu à deux  reprises. En février 1996 a été voté le Telecommunication Act amendant celui de 1934, qui contenait dans sa section 702 des dispositions sur la protection des données et de la privacy des consommateurs des services ; la section 502 et les suivantes constituaient le Communication Decency Act visant à protéger les personnes de moins de dix-huit ans d’âge contre les services à caractère obscène. Mais on sait que la Cour Suprême a jugé cette loi inconstitutionnelle parce que violant l’amendement premier du texte fondamental garantissant la liberté d’opinion et d’expression (affaire Reno v. American civil Liberties Union (ACLU 1) 521-US 844, 1775 et 2329 (1997).

Suite à cet échec, sous la pression d’associations conservatrices, le Congrès a voté le 21 octobre 1998 le Child On Line Protection Act (COPA) incorporé au Communications Act sous forme d’une section 231, Titre 2, Partie 1. Des sanctions lourdes (50.000 $ d’amende, peine de prison de six mois) sont prévues contre les fournisseurs de tous produits, y compris sur Internet, susceptibles de porter atteinte à l’intérêt des mineurs (voir le texte sur le site www.epic.org). Mais des juges locaux fédéraux ont déjà  bloqué l’application de ce nouveau texte, l’estimant inconstitutionnel par rapport aux amendements 1 et 5 de la Constitution, tout comme les filtres d’accès aux services imposés aux bibliothèques bénéficiant de fonds fédéraux. D’autres textes soulèvent des difficultés : tel est le cas de ceux relatifs à la cryptologie, moyen de sécurisation des données personnelles, de protection du secret des correspondances, et du droit à la privacy notamment dans le cadre du commerce électronique. Sur le site www.computerprivacy.org figurent comme pendants devant le Congrès le Security and Freedom Through Encryption Act, l’Encryption Protects the Rights of individuals from violation and abuse in cyberspace Act, Le Secure public Networks Act.

Cette effervescence régulatrice de la puissance publique est très critiquée par les grandes associations qui réclament pourtant une meilleure protection des droits des personnes, spécialement de la privacy. Elles voient dans l’action des États la tentative de limiter la liberté d’opinion et d’expression sur l’Internet : elles préconisent une autorégulation des acteurs sans intervention étatique. Ces groupements puissants comme l’Electronic Frontier Foundation (www.eff.org), l’Electronic Privacy Information Center (www.epic.org), l’Internet Free Expression Alliance (www.privacy.com), l’American Civil Liberties Union etc. mènent de véritables campagnes sur le Net et dans les médias, favorisent les procès pour faire annuler les textes nouveaux.

Sur fond d’une opinion publique inquiète parce que sensibilisée en raison du fort taux de connexion à l’Internet, on constate effectivement une rapide et étonnante progression d’une autorégulation de qualité, en particulier au niveau des sites officiels, des sites des grandes entreprises, des sites du commerce électronique. De manière préventive, pour éviter des procès en responsabilité, pour gagner la confiance des utilisateurs, pour répondre à la demande du pouvoir politique, il devient habituel de concevoir pour les grands sites une véritables charte du respect des droits de la personne à travers les données collectées et traitées, précisant la nature des données, les finalités des traitements, les destinataires des informations, l’existence d’un droit d’accès et d’opposition, exposant les règles de sécurisation etc. Ces règles de bonne conduite sont communiquées aux utilisateurs de l’Internet sous forme d’écrans spécialisés sur lesquels figurent de véritables engagements.

L’autorégulation s’opère aussi au niveau des secteurs professionnels par l’édiction de lignes directrices (guidelines) ou de principes. On peut citer les cas du Bankers Roundtable, du Banking Industry Technology Secretariat, de la Direct Mailing Association, de l’Electronic Messaging Association, de l’Independent Bankers Association of America, de l’Individual Reference Services Group, de l’Interactive Services Association, du Magazine Publishers of America, du Smart Card Forum, du Children’s Advertising Review Unit, du National Association of Federal Credit Unions, etc.

Certaines initiatives intéressantes apparaissent à propos des “private data” : par exemple Trust-e (www.truste.com) qui propose aux entreprises et organisations de prendre des engagements précis, certifiés par contrat. Les signataires, qui cotisent à l’association, doivent afficher sur leur site une “déclaration d’utilisation” des données personnelles. Ils acceptent que Trust-e surveillent leurs flux de données, procède à des audits. Tout internaute peut déposer une plainte auprès de Trust-e qui mènera une  enquête. Déjà plus de 400 sociétés et organisations ont accepté les conditions posées par Trust-e et figurent sur un répertoire thématique affiché sur le site Web de l’association. De même des entreprises comme IBM, Yahoo, Excite, par lesquelles transitent 70 % du trafic Internet aux Etats-Unis se sont associées pour créer the Online Privacy Alliance, en s’engageant à respecter un code de bonne conduite, les décisions d’un groupe de contrôle indépendant ayant un pouvoir d’enquête et de saisine de la Fair and Trade Commission. On s’oriente alors vers une sorte de labelisation non étatique, une forme d’homologation de la qualité de la gestion des données personnelles dans le respect des droits et libertés de la personne. Ainsi la menace de faire intervenir l’État fédéral pour encadrer la gestion des données personnelles en cas de carence de l’autorégulation privée a produit ses effets. Monsieur Ira Magaziner, conseiller du Président des États-Unis pour le commerce électronique a été écouté, ce qui renforce sa position face aux européens et à la directive de 1995. M. Magaziner partage avec eux le souci d’assurer un bon niveau de protection des données personnelles ; mais il estime que la directive ne pourra pas être appliquée aux quinze mille sites nouveaux qui apparaissent chaque semaine sur le Web dans le monde.

Conclusion

Dans l’immédiat se pose le problème du rapprochement de l’Union européenne, qui impose aux États tiers un niveau de protection adéquat, et le reste du monde en particulier des Etats-Unis et des pays qui adoptent un modèle proche de protection des données personnelles. L’article 26 de la directive prévoyant de multiples et variées possibilités de dérogation à l’article 25, il y a place à négociation. Le groupe de protection des personnes instauré par l’article 29 sur la directive où sont représentés les institutions nationales de protection a déjà engagé des réflexions et dégagé des pistes d’action (document “Transferts de données personnelles vers des pays tiers : application des articles 25 et 26 de la directive relative à la protection des données” - 24 juillet 1998 DGXV, D/5025/98 - WP 12 ; document “Méthodes possibles d’évaluation de caractère adéquat de la protection”, 26 juin 1997, DG XV D/5020/97 WP4). Le dialogue s’est engagé entre les services de la Commission européenne et l’administration américaine, en particulier le Department of commerce. La Conférence ministérielle de l’OCDE sur le commerce électronique tenue en octobre 1998 à Ottawa (Canada) réunissant vingt-neuf grands États a favorisé la confrontation des points de vue et montré que les lignes directrices de l’OCDE sur la protection de la vie privée de 1980 pouvaient servir de dénominateurs communs. En effet par delà les différences d’approche, on constate un accord croissant pour estimer nécessaire de renforcer la protection des données personnelles, en particulier dans le cadre du commerce électronique et de l’Internet, et on observe une proximité fonctionnelle des principes fondamentaux de protection. La grande divergence reste dans la méthode de mise en oeuvre : le traité international, le contrat, les dérogations sur mesure de l’article 26 de la directive donnent les outils pour organiser un système de protection fondé sur des bases minimales communes acceptées par tous.

Lorsque cela aura été fait il est probable que le système de facto de protection américano-européen concernera les pays tiers dans l’ensemble du monde. La liaison se fera alors avec les cadres nationaux de protection (cas de l’Australie, du Canada...) ou avec le cadre international : le Conseil de l’Europe par exemple cherche à actualiser et à parfaire la Convention 108 de 1981. Nécessité faisant loi on peut être raisonnablement optimiste ; mais il faudra ensuite veiller à l’application des règles de protection, à leur respect par les États comme par les gestionnaires des données personnelles. La convergence objective des intérêts en cause sera un puissant moteur pour progresser.

Ainsi, si les technologies de l’information peuvent être le moyen de porter atteinte à la vie privée, aux libertés publiques ou privées des personnes à travers la collecte, le traitement, la diffusion des données personnelles, c’est la conscience de ce danger réel, croissant, multiforme, souvent  dissimulé, qui pousse aujourd’hui les nouvelles technologies à devenir le catalyseur du renforcement, de l’évolution des modes juridiques de protection des libertés des personnes dans des systèmes de droit très différents, pour des pays dispersés sur le globe mais reliés par les réseaux.

A partir des nouvelles technologies on assiste par le renforcement de la protection des données personnelles, à l’émergence de nouveaux droits transnationaux voire universels de la personne. Il s’agit d’une évolution pour mieux concilier les libertés et les techniques au début d’un nouveau millénaire.

© Copyright Jean frayssinet - 1999.