Faiblesses dans la protection des données personnelles

Indra Balassoupramaniane, avocate

---

L'ouverture des frontières, la globalisation de l'économie et la dimension internationale des réseaux de communication intensifient les flux d'informations transfrontaliers, et ce phénomène inquiète de nombreux pays. Parmi les données qui circulent sur le net, figurent en effet des informations à caractère personnel, et le problème se situe au niveau des régimes de protection qui diffèrent sensiblement d'un pays à l'autre.

Quelques exemples

Divers exemples illustrent ce phénomène. Le cas des gros serveurs de gestion centralisés, comme les grands systèmes informatisés de réservation aérienne, constitue un exemple représentatif. En effet, l'un des plus importants d'entre eux, localisé aux États-Unis, gère quotidiennement 2 000 000 de réservations venant des cinq continents. Cela signifie que, chaque jour, à chaque seconde, des données à caractère personnel sont traitées par cette société. Outre le nom et l'adresse des passagers, les informations échangées contiennent leurs destinations aériennes, les hôtels qu'ils choisissent, les voitures qu'ils louent ou encore leur numéro de carte de crédit.

Autre exemple: la mise sur un site (en ligne) d'informations nominatives destinées à une catégorie de personnes, et pour un objet déterminé, peut être utilisée pour toutes sortes de finalités compte tenu de la variété de personnes qui ont accès à ces informations. Ainsi un curriculum vitae publié sur l'Internet pour des employeurs potentiels peut être également utilisé par des sociétés de marketing, d'autres chercheurs d'emploi, voire des sectes!

Systèmes différents de protection

Le problème est particulièrement préoccupant pour les pays de l'Europe face aux États-Unis. Le système de protection des données personnelles aux États-Unis est en effet très différent et beaucoup moins encadré que le système européen qui dispose, en plus, d'un cadre juridique interdisant les flux d'informations personnelles vers des destinations qui n'offrent pas une garantie suffisante.

Le droit européen comporte une réglementation stricte en matière de flux transfrontaliers et de protection des données à caractère personnel. L'article 25 de la Directive 95/46/CE, dans son paragraphe 1, oblige les États membres à s'assurer que les transferts de données personnelles vers un autre État n'aient lieu que s'il existe, dans le pays destinataire, un niveau de protection adéquat. Le paragraphe 2 du même article dispose que ce niveau de protection s'apprécie au regard de toutes les circonstances relatives à un transfert ou à une catégorie de transferts de données, et il est tenu compte, en particulier, des règles de droit générales ou sectorielles en vigueur dans le pays tiers en cause ainsi que des règles professionnelles et des mesures de sécurité qui y sont respectées.

En réaction à la Directive européenne et à ses exigences, le Department of Commerce américain, en particulier la National Information Agency, a affirmé que la volonté américaine était d'assurer une protection conformément aux principes de la Directive 95/46/CE. C'est ainsi qu'ont été mis en place les Safe Harbor Principles, une sorte de code de conduite destiné à assurer la protection des données à caractère personnel transférées d'un État membre européen vers les États-Unis. Bien qu'elle soit louable, la démarche américaine soulève de nombreuses questions sur la fiabilité du système et sur le caractère adéquat de la protection offerte compte tenu des règles européennes.

Lacunes des Safe Harbor Principles

Voici quelques développements qui exposent de manière non exhaustive certaines des nombreuses lacunes du système américain. L'adhésion aux Safe Harbor Principles est volontaire. Cependant, les organisations qui y souscrivent obtiennent et conservent une certaine reconnaissance du fait qu'elles assurent un niveau de protection adéquat pour le transfert de données de l'Union européenne vers les États-Unis. Ces dernières relèvent alors de la compétence de la Commission fédérale du commerce (la Federal Trade Commission, FTC) qui, en vertu des dispositions de la section 5 du Federal Trade Commission Act, a le pouvoir d'imposer des mesures de redressement par voie d'injonction en cas de pratiques déloyales ou frauduleuses (deceptive or false statement), et la réparation des préjudices subis par les citoyens des États-Unis ou d'autres pays. Ainsi, l'effectivité des Safe Harbor Principles s'appuie essentiellement sur l'existence de cette institution juridictionnelle et sur la procédure susceptible d'être intentée devant elle. L'action devant la FTC se présentant comme la garantie ultime du système, l'effectivité de ce dernier apparaît quelque peu fragile compte tenu des faibles moyens et limites de la compétence de la Commission. La FTC a en effet été mise en place non pour protéger le droit individuel à la vie privée mais pour garantir un commerce loyal et fiable pour les consommateurs, ce qui limite de facto ses capacités d'intervention dans la sphère de protection des données.

Une autre lacune est l'absence de toute définition précise des concepts fondamentaux. À titre d'exemple, les notions telles que « donnée personnelle », « donnée sensible » et « consentement » sont vaguement définies, aucun élément ne permettant de savoir si elles ont la même portée que celles consacrées par la Directive 95/46/CE. D'autre part, les conditions d'application des Safe Harbor Principles se trouvent limitées par des exceptions particulièrement larges, qui incluent aussi bien les textes législatifs que les règlements administratifs ou les décisions jurisprudentielles et qui créent, par voie de conséquence, des obligations contradictoires ou des autorisations explicites. L'absence de toute définition précise des concepts fondamentaux sont, avec l'existence des nombreuses exceptions, à l'origine d'une incertitude en ce qui concerne le champ d'application des principes, et fragilisent ainsi le principe de sécurité juridique essentiel à l'interprétation des règles applicables.

Risque de méconnaissance du Safe Harbour

Par ailleurs, il est important de noter que les Safe Harbor Principles ne concernent pas les données purement américaines, c'est-à-dire celles recueillies auprès de citoyens américains aux États-Unis. Ce point est important car il remet en question l'effectivité des principes dans la mesure où les entreprises américaines doivent soumettre les données d'origine européenne à d'autres règles que celles habituellement suivies. La non uniformité des règles et l'existence de plusieurs séries de dispositions entraînent des risques de méconnaissance des règles du Safe Harbor au sein des organisations américaines. En d'autres termes, le fait que le Safe Harbor soit une législation d'exception laisse craindre une moindre effectivité des règles applicables. Un exemple est la définition des données sensibles: la définition européenne, reprise par le Safe Harbor, est plus large que celle communément admise aux États-Unis. Ainsi, la race, qui est une donnée sensible au sens du Safe Harbor, ne l'est pas au sens de la législation américaine. Cette différence risque d'entraîner, dans les faits, qu'un employeur américain ou autre organisation de même nationalité ne considère spontanément la race comme donnée sensible.

Ainsi, par rapport à la législation européenne, qui est particulièrement stricte en matière de protection des données personnelles, les Safe Harbor Principles comportent de nombreuses lacunes. Et cet état de fait jette un doute fondamental sur l'effectivité du système en général. Il est néanmoins important de ne pas oublier que l'initiative américaine a été une démarche audacieuse et mérite donc qu'on y prête une attention particulière. Malgré ses imperfections, le système américain représente donc un pas en avant dans le domaine.

 

Retour au haut de la page

© Barreau du Québec 1996-2012