La protection des données à caractère personnel, intérêts américains, français et européens par Marion Boccaccio
Le 12 avril 2011, un projet de loi a été proposé aux Etats-Unis. Il vise à encadrer l’utilisation des données à caractère personnel appartenant aux internautes. Ce projet reprend de nombreux aspects d’une loi française de 1978 et d’une directive européenne de 1995 qui s’en inspire et l’étoffe. La comparaison de ces textes fait apparaitre des conceptions différentes du droit de l’Internet. Les règles mises en place d’un système à l’autre encadrent plus ou moins strictement le droit du commerce ou les droits de l’homme dans le domaine du numérique. L’établissement d’un système juridique régulant un secteur devenu majeur de l’économie aux Etats-Unis demeure donc incertain.
Le 21ème siècle a vu se multiplier le nombre de moyens de communication. Parallèlement, les échanges se sont dématérialisés et se font toujours plus par écrans interposés. Pouvoir créer une relation contractuelle (achat, prêt bancaire, assurances,…) entre des individus personnes physiques ou morales sans que ces derniers ne se rencontrent peut être considéré comme un progrès majeur. Ainsi, la vitesse et donc le nombre des échanges et transactions sont augmentés et facilités. Cela nécessite par ailleurs que l’individu fournisse les renseignements habituels et nécessaires à son indentification directement sur son ordinateur connecté au réseau Internet.
C’est ainsi qu’un certain nombre de renseignements fournis plus ou moins directement par chaque individu fait l’objet d’un traitement automatisé.
Or, il est dans l’intérêt d’une multitude d’acteurs d’avoir accès à ces informations. Les obtenir, les revendre, les recouper, les conserver permet de mieux cerner un client potentiel, un mauvais payeur, voire un citoyen à surveiller.
La protection de la vie privée passe donc notamment par celle des données à caractère personnel.
C’est le souci d’encadrer l’utilisation de celles-ci qui a probablement poussé les sénateurs américains John Kerry et John McCain à rédiger un projet de loi baptisé Commercial Privacy Bill of Rights alors qu’une telle loi est effective en France depuis 1978 : la loi n° 78-17 relative à l’informatique, aux fichiers et aux libertés (modifiée par une loi de 2004 pour respecter une Directive européenne de 1995).
La question se pose immédiatement de savoir comment analyser au regard d’une loi vieille de 33 ans en France et de 16 ans en Europe, ce qui apparait comme une petite révolution aux Etats-Unis.
Emprunt à la législation existante en France et en Europe ou sursaut de protectionnisme économique ?
Le projet de loi américain s’inspire largement des dispositions françaises contenues dans la loi de 1978. Ainsi, la définition des données à caractère personnel est-elle sensiblement la même d’un texte à l’autre. Il s’agit de toute information permettant d’identifier un individu. Outre la similitude entre les points de départ du raisonnement juridique de chacun, il est intéressant de constater que le texte américain reprend fidèlement les dispositions du droit français et européen, effritant ainsi la traditionnelle frontière entre le système de common law et le système romano-germaniste. Ceci est particulièrement remarquable aux deux étapes clé du traitement des données à caractère personnel et peut trouver différentes explications.
Avant le traitement des données, au moment de leur collecte, il est apparu nécessaire de mettre en place un système d’autorisation et d’information. Les titres I et II du projet américain sont l’objet d’une reprise fidèle de la législation française. Ainsi, le collecteur de données est-il responsable de la juste application du texte en adoptant des mesures de sécurité destinées à protéger les données collectées. Il doit par ailleurs s’assurer que l’individu accepte de partager des informations le concernant. Sont, à cet effet, repris les mécanismes de l’« opt-in » et de l’« opt-out » (accord et refus explicites). Avant cela, l’individu doit être tenu informé de l’usage qui sera fait des informations ainsi collectées. La loi française de 1978, avant d’être renforcée en application de la Directivedu Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données avait commencé à veiller au consentement éclairé de l’individu. Par la suite, la proposition de loi américaine instaure l’obligation de mise à jour des données et encadre les conditions de leur transmission aux tiers. Or, de part et d’autre de l’Atlantique, il est prévu que l’individu puisse modifier les données le concernant et être assuré que tout tiers ou sous-traitant est tenu aux mêmes obligations que le responsable du traitement.
S’il est évident que les termes et la structure du texte américain diffèrent des textes rédigés outre-Atlantique, il n’en demeure pas moins que le raisonnement est le même. Ceci peut s’expliquer non seulement par l’adhésion à la philosophie juridique européenne mais aussi par une double nécessité. Il s’agirait dans un premier temps d’uniformiser le droit en la matière. La circulation des données à caractère personnel est en effet potentiellement internationale et ne saurait être dûment protégée sans un arsenal juridique cohérent. La France, conformément aux mécanismes mis en place par la Directive, refuse ainsi que des données à caractère personnel soient transmises vers un pays hors Union Européenne ne présentant pas des critères de sécurité satisfaisants (art. 68). Pour répondre à cette exigence, les Etats-Unis se contentaient jusqu’à présent de mettre en place des « Safe Harbors programs », titre V, des sphères de sécurité assurant aux membres de l’Union Européenne que le niveau de sécurité à l’intérieur de celles-ci permettait le transfert de données. Ceci se fait après des négociations entre la Commission et chaque organe collecteur de données selon sept critères établis par l’UE. La mise en œuvre de ce système ainsi que sa fiabilité ont a cependant été vivement critiquées par la Commission Européenne elle-même et le groupe de travail G29 dans deux rapports ainsi que dans un rapport américain (L’application de la décision de la Commission sur la protection adéquate des données à caractère personnel par les principes de Safe Harbor, Rapport Galexia). L’adoption d’un texte reprenant les dispositions européennes serait une avancée juridique qui permettrait de simplifier le transfert des données entre la France et les Etats-Unis. Dans un second temps, force est de constater qu’il peut s’agir davantage d’une alliance économique que d’une uniformisation bilatérale. Ainsi, la France, l’Union Européenne et les Etats-Unis n’ont pas pris le parti de rédiger un instrument véritablement international auquel se rallieraient d’autres pays. En effet, dès lors que les deux textes n’entrent pas en contradiction l’un avec l’autre mais permettent une coopération implicite, la question se pose de savoir s’il n’aurait pas été plus simple et plus efficace d’inscrire leurs dispositions au sein d’un traité. Ceci peut s’expliquer non seulement par la volonté de protéger les droits de la personne dans un domaine où ils n’étaient pas pris en compte mais aussi par un sursaut de protectionnisme économique. Les Etats-Unis et l’Europe chercheraient ainsi à éviter que les données à caractères personnel de leurs clients ne circulent vers la concurrence sans que soit assurée l’utilisation loyale de ces informations. Ne pas rédiger d’instrument international permettrait donc de maintenir une ultime entrave au commerce international en n’incluant pas tous les acteurs internationaux dans un système d’échanges d’informations sécurisé.
Ainsi, la similitude des dispositions clé des textes européen et américain peut-elle être expliquée non seulement par un rapprochement des deux systèmes juridiques de common law et romano-germaniste mais aussi par la volonté de permettre une coopération renforcée et exclusive entre les Etats-Unis et les pays européen.Quoi qu’il en soit, il est intéressant de constater qu’une telle considération commerciale apparait ailleurs dans le projet américain au point d’être un élément de différence entre les deux textes.
Un projet élaboré avant tout en prenant en compte des considérations commerciales.
Bien que « Privacy Bill of Rights », le projet des deux sénateurs américains s’inscrit dans une démarche bien plus soucieuse de considérations économiques que citoyennes. Leur travail a donc abouti sur un ensemble de mesures permettant un compromis entre les acteurs économiques et législatifs.
Il ressort de l’étude du texte ainsi que des critiques émises dans les médias américains que les rédacteurs ont choisi de mettre l’accent sur des considérations commerciales alors que la France et l’Europe ont adopté une approche plus clairement soucieuse des droits de l’homme. Cela se caractérise notamment par le choix des autorités chargées de veiller à la bonne application des lois. Il est en effet apparu nécessaire dans les deux cas de confier cette mission à une autorité publique chargée d’émettre des avis et de préciser les conditions d’application des textes. Or, c’est l’identité de cette autorité qui donne au projet américain et à la loi française une coloration plus ou moins commerciale. Ainsi, les Etats-Unis ont-ils donné autorité à la Federal Trade Commission de chapeauter l’application de la loi par les acteurs intéressés. En France, c’est la Commission Informatique et Libertés qui est chargée de cette tâche. Si les noms de chacune de ces entités indiquent à eux seuls les domaines de prédilection des textes, une telle différence se retrouve dans le corps même des instruments à l’étude. Les articles qui servent de préambule au projet américain montrent que la rédaction de ce dernier a été inspirée par le besoin de rétablir un lien de confiance entre les acteurs économiques pour favoriser les échanges de même nature («Trust in the treatment of personally identifiable information […] is essential for businesses to succeed » sec. 2). En France, le renforcement de la protection des données indiquant la religion, la santé, l’affiliation politique ainsi que l’encadrement de l’utilisation des données par les autorités judiciaires (art. 10) sont la preuve s’il en faut que l’individu, ses libertés et sa vie privée sont au cœur des considérations de la loi de 1978. Par ailleurs, les textes européens (Convention Européenne des Droits de l’Homme, Charte des Droits Fondamentaux de l’Union Européenne) confèrent à la protection de la vie privée une place fondamentale dans le système juridique communautaire. Chaque règle de droit de cet échelon est ainsi élaborée dans le souci du respect des droits de la personne. De telles dispositions occupent une place de bien moindre importance dans la Privacy Bill of Rights. Les Américains cherchent à encadrer les règles commerciales alors que le législateur français se pose comme le défenseur des libertés individuelles
Cet accent économique du projet américain a conduit certains commentateurs à se demander si le texte était « too weak or too strong? » (trop faible ou trop dur ?). Cette question se pose respectivement au regard des individus et des acteurs économiques. L’objectif avoué d’encourager le commerce et les dispositions permettant aux fournisseurs d’accès de librement transférer des données à des opérateurs économiques (sec. 202 (d)) s’opposent radicalement aux mesures requérant l’information et l’autorisation des individus prospectés. Par ailleurs, la possibilité donnée par la section 301 d’utiliser les données collectées dans un but publicitaire et aux fins d’améliorations du service laisse penser que des opérateurs tels que Facebook qui vivent essentiellement de la publicité tout en étant une banque de données personnelles à grande échelle sauront fort bien s’accommoder de cette loi. Si les Etats-Unis affichent ainsi une ambigüité constructive permettant à tous les acteurs concernés d’interpréter la loi éventuelle à leur guise, il faut souligner que la France n’aborde qu’à peine ces questions et que la navigation sur certains sites Internet est souvent l’occasion de remarquer que les bannières affichées sur l’écran correspondent fréquemment à des recherches ou des transactions effectuées auparavant sur le net.
La différence principale entre le projet américain et les textes français et européen réside donc dans la dominante commerciale du premier. Cependant, si l’objectif de notre législateur fut de protéger les libertés individuelles, il peine parfois à en appliquer tous les principes et il faut reconnaitre aux Américains leur plus grande clairvoyance. En effet, ils prennent en compte la réalité de l’économie numérique même si celle-ci se fait au détriment de la pleine protection des données à caractère personnelle. Néanmoins, le projet de loi n’a pas encore dépassé ce stade et il y a fort à parier que le compromis favorable aux acteurs économiques ne permettra pas seul d’en faire une loi.
Un projet non encore abouti.
La force des acteurs économiques américains étudiée plus tôt est telle qu’elle a largement influencé l’histoire constitutionnelle américaine déjà peu prompte à encadrer juridiquement la vie privée. En outre, même si ce projet est adopté, il ne saurait être considéré comme un instrument législatif de pointe au regard du droit français.
Si le texte américain apparait comme un instrument visant à réguler l’utilisation des données à caractère personnel sans entraver le commerce, il n’en demeure pas moins que ce projet de loi représente une petite révolution dans l’histoire constitutionnelle américaine. En effet, il est une nouvelle reconnaissance du droit au respect de la vie privée (« privacy ») dans un pays qui s’est longtemps montré réticent à reconnaitre cette notion. Ce n’est qu’après de longs débats juridiques sur l’interprétation des amendements à la Constitution, que les juges de la Cour Suprême ont, en 1965, admis le droit au respect de la vie privée. Même après la décision Griswold v. Connecticut, l’interprétation ainsi faite de la Constitution a été discutée. Ainsi, l’adoption de la Privacy Bill of Rights, dont le nom n’est surement pas le fruit du hasard, serait une victoire pour les défenseurs des libertés individuelles. Cela marquerait l’extension de ce droit à une sphère particulièrement protégée (comme ne devant pas être trop régulée), la sphère économique. Un tel projet a déjà été proposé en 1997 par Bill Clinton et des initiatives ont été prises par des associations de consommateurs ainsi que par des sociétés telles que Microsoft (au sein de la Online Privacy Alliance) mais sans jamais bénéficier d’aucun support légal. Par ailleurs, la lecture des articles commentant cette actualité révèle bien que les avis sont partagés sur l’opportunité d’adopter un tel texte et les termes de la discussion reprennent les arguments longtemps opposés entre juristes et lobbys de tous bords. L’avenir de ce texte permettra donc d’éclairer la position américaine sur une notion traditionnellement chère à l’Europe et à la France en particulier.
En outre, quand bien même ce projet viendrait à être adopté, il n’en demeurerait pas moins qu’il ne permettrait pas de rattraper l’avance de l’arsenal juridique français. La loi de 1978, telle que modifiée par la Directive, couvre un plus large éventail de situations. Elle protège tout à la fois les données à caractère personnel d’une utilisation abusive par des personnes privées comme publiques. Les données sensibles telles que celles renseignant l’état de santé, l’affiliation politique, les convictions religieuses ou l’orientation sexuelle y sont strictement encadrées. Les Etats Unis ont adopté une législation à la fois plus parcellaire et plus souple. Ainsi la Commercial Privacy Bill of Rights se concentre-t-elle uniquement sur l’utilisation des données à caractère personnel dans le contexte de l’économie numérique et offre un droit d’information moins étendu. Le texte américain offre donc une protection a minima mais néanmoins nécessaire et réclamée par une partie non négligeable de la société.
Si le projet est donc l’occasion d’une avancée législative conséquente aux Etats-Unis, c’est peut être pour cette raison qu’il n’est pas encore sur le point d’aboutir.
Il est très intéressant de constater que derrière des similitudes frappantes mais de façade, se cache la continuation d’une tradition législative bien ancrée dans le système de common law américain. Le commerce semble ainsi devoir demeurer le lieu de l’autorégulation mais sa survie dans un contexte mondialisé requiert tout de même son adaptation à d’autres systèmes afin d’assurer la continuité des échanges internationaux. Il ressort par ailleurs de l’étude comparée de ces deux textes de loi ou quasi-loi que c’est finalement l’individu qui est au cœur de ce système car il est en première ligne pour décider des informations qu’il choisit ou non de divulguer. Les acteurs économiques ont aussi un rôle primordial à jouer. En effet, à l’heure où le commerce se veut écologique, éthique et solidaire, il est de moins en moins de bon ton de faire preuve de fourberie plutôt que d’honnêteté à l’égard des consommateurs.
Bibliographie :
- Loi n°78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, Version consolidée au 31 mars 2011
- Directive du 24 octobre 1995 sur la protection des données (95/46/CE)
- http://kerry.senate.gov/imo/media/doc/Commercial%20Privacy%20Bill%20of%20Rights%20Text.pdf
- http://ec.europa.eu/justice/policies/privacy/docs/wpdocs/2002/wp62_fr.pdf (Rapport du G29)
- Wall Street Journal