b) Promouvoir, au plan international, la définition de standards internationaux dans le domaine de la protection des données
Un des enjeux essentiels à l'avenir sera de trouver, au plan international, une approche commune en matière de protection des données qui, en plus de représenter un objectif essentiel sur le plan économique, permettrait de relativiser l'importance du problème juridique de l'extra-territorialité.
Le fait, d'une part, que la protection des données personnelles aux Etats-Unis soit en réalité plus forte qu'il n'est coutume de le dire, d'autre part, qu'Européens et Américains aient prouvé, dans un passé récent, leur capacité à surmonter leurs différends en matière de protection des données, invite à un certain optimisme quant à la possibilité d'aboutir à des standards internationaux dans ce domaine, objectif actuellement poursuivi par un groupe de travail international.
(1) un objectif essentiel sur le plan économique
En premier lieu, la recherche, au plan mondial, d'une approche commune de protection des données personnelles est rendue indispensable par l'intensification des flux transfrontaliers de données personnelles, phénomène irréversible au coeur d'enjeux économiques considérables.
Deux exemples ont régulièrement été cités lors des auditions :
- tout d'abord, d'innombrables données circulent au sein des multinationales, qui disposent généralement d'une base de données centralisée, gérée par les services centraux de la direction des ressources humaines de l'entreprise. Cette base comporte des renseignements de tous ordres sur le personnel : formations, qualifications, postes précédemment occupés, souhaits d'affectation, notations, loisirs..., renseignements collectés à partir de multiples sources (formulaires remplis lors des entretiens d'embauche, appréciations par les supérieurs hiérarchiques, participation à des cycles de formation...) et envoyés à partir de lieux divers (centres de formation, directions du personnel des différentes entités locales...) ;
- par ailleurs, la délocalisation d'activités dans des pays en développement génère également d'importants flux de données transfrontaliers. A titre d'illustration, de nombreuses entreprises européennes décident de sous-traiter l'ensemble de leurs relations-clients auprès de centres d'appel situés en Afrique du Nord ou en Inde, ce qui implique le transfert des fichiers de la clientèle, et donc de données à caractère personnel.
(2) un moyen de relativiser le problème de l'extraterritorialité
La question de savoir quel est le droit applicable à certains traitements de données personnelles, par exemple dans le cas des moteurs de recherche (cf. infra), se pose aujourd'hui avec d'autant plus d'acuité que tous les systèmes nationaux n'assurent pas un niveau de protection équivalent. Avec des standards internationaux permettant une harmonisation mondiale des conditions de protection des données, ce problème s'en trouverait clairement relativisé.
(3) des raisons d'y croire
(a) Des affaires qui prouvent qu'Européens et Américains sont capables de rapprocher leurs points de vue
Si l'Europe et les Etats-Unis n'ont toujours pas complètement aplani leur différend au sujet de l'affaire des dossiers passagers dite PNR, d'autres dossiers ont récemment prouvé qu'Européens et Américains étaient capables de rapprocher leurs points de vue en matière de protection des données. Citons en particulier les principes du « Safe Harbor », le dossier des moteurs de recherche et l'opération dite « Swift ».
§ « Les principes du Safe Harbor » 86 ( * )
Afin de permettre aux entreprises américaines de recevoir des flux de données personnelles des pays membres de l'Union européenne, des principes ont été élaborés, à partir de 1999-2000, par le Département du commerce américain en coopération avec la Commission européenne. Ils portent en particulier sur le droit d'accès, la finalité du traitement et l'effectivité de la protection. Leur respect est contrôlé par la Commission fédérale du commerce.
Ces principes s'inscrivent dans la démarche de l'Union européenne qui, en liaison avec le G29, a élaboré, en 2001 et 2005, des clauses contractuelles types , qui permettent de sécuriser les transferts de données vers des pays extra-communautaires qui ne disposent pas d'un niveau de protection adéquat 87 ( * ) .
§ L'affaire des moteurs de recherche
Même si, comme il a été indiqué dans la deuxième partie du présent rapport, certains moteurs de recherche américains ont contesté l'applicabilité du droit communautaire aux traitements de données auxquels ils procèdent en Europe, force est de reconnaître qu'ils ont fait preuve d'une certaine bonne volonté , que la CNIL a d'ailleurs saluée dans un communiqué le 17 décembre 2008, puisque la société Google a réduit la durée de conservation des données de dix-huit à neuf mois , que Microsoft a accepté de ne conserver les données que six mois et qu'enfin Yahoo a annoncé son intention de passer à trois mois , sauf exceptions concernant les impératifs de sécurité, de lutte contre de la fraude et de respect des obligations légales.
§ L'affaire « Swift »
Enfin l'affaire « Swift » démontre la capacité d'aboutir à un accord transatlantique en matière de protection des données.
Cette affaire est née de la révélation en juin 2006, par la presse américaine, de l'existence d'un programme de surveillance des transactions bancaires internationales , mis en place par la CIA peu après les attentats du 11 septembre 2001. Ces révélations ont indiqué que la CIA et le département du Trésor américain bénéficiaient d'un accès, depuis des années, à des millions de données transitant par la société de droit belge Swift, principal réseau international de messagerie utilisé dans le domaine bancaire.
Cet accès, mis en place au titre de la lutte contre le financement du terrorisme, permettait de surveiller non seulement les transferts financiers vers les Etats-Unis mais également tous les autres types de transactions réalisés par Swift, y compris à l'intérieur de l'Union européenne. Etaient ainsi communiqués le montant de la transaction, la devise, la date valeur, le nom du bénéficiaire, le client qui a demandé la transaction financière et son institution financière.
Le G29, dans un avis rendu en novembre 2006, a jugé que la société Swift n'avait pas respecté les règles européennes de protection des données, notamment en prêtant son concours à la mise en oeuvre du programme de surveillance des données bancaires et financières par les autorités américaines.
Cette intervention a permis d'aboutir à un accord en l'espace de quelques mois . Au printemps 2007, la Commission européenne et le Conseil ont en effet négocié avec le gouvernement américain un certain nombre de garanties , parmi lesquelles la limitation des usages à la lutte contre le terrorisme, l'échange des données intra-européennes au moyen d'un serveur situé en Europe 88 ( * ) , le respect du principe de nécessité, la limitation à cinq ans de la durée de conservation des données et la nomination d'une « personnalité européenne éminente » ayant compétence pour vérifier le bon fonctionnement du programme de surveillance (M. Jean-Louis Bruguière). Cet accord politique a fait l'objet d'un échange de lettres qui ont été publiées par la Commission européenne.
(b) Une protection aux Etats-Unis plus forte qu'on ne le croit
- des principes similaires à ceux existant en Europe pour les bases de données gérées par l'administration fédérale
Si, comme il l'a été précédemment indiqué, les Etats-Unis protègent moins les bases de données privées qu'en Europe, en dehors de quelques lois sectorielles, il n'en est pas de même des données gérées par les pouvoirs publics.
Comme l'a exposé, lors de son audition, Mme Lauren Saadat, directrice chargée de la politique internationale en matière de protection des données au ministère de la Sécurité des Etats-Unis (Department of Homeland Security), une « Privacy Act », adoptée en 1974, s'applique à toute l'administration fédérale. Elle énonce les principes de transparence, de droit d'accès et de rectification, de limitation de collecte des données, de leur usage et de leur divulgation, de la sécurité des données et de responsabilité des gestionnaires de traitement. Ces principes sont très proches de ceux figurant dans la directive de 1995 et transposés en France en 2004. Cet encadrement juridique traduit, selon Mme Saadat, une certaine défiance historique vis-à-vis des pouvoirs publics puisque les Etats-Unis ont été créés en réaction contre le pouvoir de la couronne britannique et que tant la mise en place du fédéralisme que la stricte application de la séparation des pouvoirs au niveau fédéral traduisent la volonté de prévenir l'apparition d'un pouvoir central fort.
On peut ajouter que cette protection des bases de données publiques est parfois complétée au niveau des Etats puisqu'environ un quart d'entre eux ont des législations générales de protection des données applicables aux fichiers de l'État.
- une position plus avancée que l'Europe à certains égards
Les auditions ont révélé que, contrairement à certaines idées reçues, les Etats-Unis sont, à certains égards, plus en pointe que l'Europe en matière de protection des données.
En premier lieu, certaines Constitutions d'États fédérés américains reconnaissent expressément la protection des données personnelles comme un droit fondamental. La plus forte protection par une Constitution est ainsi assurée en Californie où en 1974, un référendum a fait de la protection des données un droit inaliénable et où, en 1994, la Cour suprême de l'Etat a décidé que la protection constitutionnelle s'appliquait aussi bien au secteur public que privé.
En second lieu, toutes les administrations fédérales comprennent obligatoirement un « Chief Privacy Officer » (CPO) 89 ( * ) , garant du respect du « Privacy Act » et placés sous l'autorité et le contrôle d'un organe de la Maison blanche dénommé « Office of Management and Budget » (OMB) ; même s'il semble que ces CPO disposent de peu de moyens et que l'OMB mobilise peu de ressources pour les contrôler, cette organisation mérite d'être signalée et traduit une préoccupation certaine des Etats-Unis en matière de protection des données personnelles gérées par les personnes publiques.
Par ailleurs, il apparaît que les Etats-Unis sont en avance sur l'Europe en matière de transparence quant aux éventuelles failles de sécurité , qu'il s'agisse de perte, vol ou altération de données. Alors que l'Europe devrait prochainement réviser la directive « vie privée et communications électroniques » de 2002, en particulier pour introduire une obligation d'information quand des données personnelles ont été compromises à la suite d'une violation de la sécurité d'un réseau, 45 Etats américains sur 50 disposent déjà d'une législation contraignante dans ce domaine.
Enfin - et ce point est capital - il ressort des auditions que si les Etats-Unis protègent peut-être un peu moins de jure les données personnelles privées, les quelques lois en vigueur sont de facto rigoureusement appliquées . Les associations de consommateurs, tout comme certaines associations spécialisées dans la protection des données 90 ( * ) , sont particulièrement puissantes 91 ( * ) et leur action bien relayée par les médias.
De surcroît, la Commission fédérale du commerce américaine semble résolue, depuis quelques années, à sanctionner sévèrement les atteintes aux lois sur la protection des données. Elle a ainsi, en septembre 2006, infligé une amende d' un million de dollars , pour une infraction, commise par le réseau social Xanga.com, à la loi précitée portant protection de la vie privée des enfants sur Internet. Plus récemment, en décembre 2008, la société Sony BMG Music Entertainment a accepté de régler une amende, également d'un montant d'un million de dollars, pour mettre fin aux poursuites engagées contre elle par cette même commission et sur ce même fondement légal. Il était reproché à l'entreprise d'avoir collecté et diffusé, via des sites musicaux, des données personnelles sur des enfants de moins de treize ans sans recueillir l'autorisation préalable des parents.
Ces montants contrastent singulièrement avec ceux pratiqués en Europe, notamment en France, comme il a été précédemment indiqué. Ainsi, à titre d'exemples, la société Neuf-Club Internet a été condamnée par la CNIL, en juin 2008, à une amende de 7.000 euros pour violation du droit d'accès aux données personnelles et en mars 2009, un centre commercial Leclerc a fait l'objet d'une sanction de 30.000 euros à la suite de nombreuses infractions à la loi « informatique et libertés ».
On observe ainsi que si les Etats-Unis disposent d'un arsenal juridique moins contraignant que l'Europe pour les bases de données privées, cette faiblesse est contrebalancée par une effectivité du droit 92 ( * ) incontestablement meilleure .
(c) La dynamique en cours du groupe de travail international sur la protection des données personnelles
Lors de la dernière conférence internationale de protection des données qui s'est tenue en octobre 2008 à Strasbourg, une résolution visant à établir des standards internationaux a été adoptée. Un groupe de travail international s'est déjà réuni en janvier 2009 à Barcelone dans le cadre de la préparation de la prochaine conférence mondiale de protection des données qui se tiendra en octobre 2009 en Espagne.
Vos rapporteurs soutiennent pleinement cette démarche ambitieuse et souhaitent qu'elle permette , sans abaisser le niveau de protection garanti par la directive de 1995 , d'examiner sans tabou l'ensemble des questions relatives à la protection des données personnelles, telles que la définition d'un référentiel destiné à permettre la labellisation, au plan mondial, des produits offrant des garanties renforcées dans le domaine de la protection de la vie privée, ainsi que l'opportunité de créer, sur le modèle de l'organisation mondiale de la propriété intellectuelle, une agence internationale de régulation compétente dans le domaine de la protection des données.
Ce groupe de travail international peut s'appuyer :
- d'une part, sur l'adoption par l'OCDE 93 ( * ) , dès le 23 septembre 1980, de « lignes directrices régissant la protection de la vie privée et les flux transfrontières de données de caractère personnel » , lignes directrices qui traduisent un consensus international ancien sur les orientations générales régissant le recueil et la gestion d'informations de caractère personnel ;
- d'autre part, sur l'existence de normes internationales « ISO » dans certains domaines de la protection des données personnelles, telles que l'archivage électronique 94 ( * ) .
Une fois élaborés, ces standards internationaux pourraient aboutir à la signature d'une convention internationale .
Recommandation n° 9 : soutenir la dynamique en cours tendant à la définition de standards internationaux dans le domaine de la protection des données personnelles. |
* 86 Littéralement « principes du port sûr », généralement traduits en français par « principes de la sphère de sécurité relatifs à la protection de la vie privée ».
* 87 L'article 25 paragraphe 1 de la directive de 1995 sur la protection des données fait obligation aux Etats-membres de veiller à ce que les transferts de données à caractère personnel vers un pays tiers n'aient lieu que si le pays en question assure un niveau de protection adéquat. Ce dernier s'apprécie en fonction notamment des dispositions en vigueur dans le pays tiers, des mesures de sécurité qui y sont appliquées mais aussi des caractéristiques propres du traitement, telles que ses finalités et sa durée, ainsi que de la nature, de l'origine et de la destination des données traitées.
* 88 En Suisse exactement, pays considéré comme offrant un niveau adéquat de protection des données.
* 89 Le CPO est comparable à un correspondant informatique et libertés mais aux pouvoirs plus étendus. En effet, il dirige tout un service, à la différence du correspondant qui est seul. En outre, il est obligatoirement associé, très en amont, aux projets informatiques de l'administration à laquelle il appartient. C'est pourquoi les représentants américains ont estimé que le CPO « pourrait presque se comparer à une autorité de protection de données personnelles interne à l'administration, une sorte de "mini-CNIL". »
* 90 Citons en particulier l'EPIC (Electronic Privacy Information Center) dirigé par l'universitaire Marc Rotenberg.
* 91 Elles peuvent notamment s'appuyer sur l'existence d'actions de groupe (ou « class actions ») qui n'existent pas en droit français.
* 92 C'est ce que traduit le concept anglais de « compliance » souvent prononcé par les représentants américains entendus par vos rapporteurs.
* 93 Organisation de coopération et de développement économiques, l'OCDE est une organisation internationale, créée en 1961, qui offre aux Etats-membres un cadre leur permettant de comparer leurs expériences en matière d'action publique, de chercher des réponses à des problèmes communs, d'identifier les bonnes pratiques et de coordonner leurs politiques nationales et internationales.
* 94 Normes ISO n°s 14721 et 15489.