Plan du site | Mentions légales | Crédits | Espace rédacteur

Doctorante en droit privé, Université de Paris II. Allocataire-Monitrice, conseil en entreprise. Chargée de travaux dirigés à l’Université de Paris II.

Membre du comité de rédaction de la lettre du CEJEM

Nos mots-clefs

Brevet   Contenu illicite   Droit d’auteur   Contrats   Conférences et colloques   Noms de domaine   Bases de données   Professions   Signes distinctifs   Vie privée   Au jour le jour   Marques   Lettre du Cejem   Régulation   Consommateurs  

Cliquez sur un mot pour afficher la liste des articles correspondant

A Noter

Les contrats informatiques par Jérôme Huet et Nicolas Bouche

Présentation de l’éditeur L’ouvrage Les contrats informatiques vise à donner au lecteur, étudiant ou praticien, sous (...)

Droit de la communication numérique de Jérôme Huet et Emmanuel Dreyer

Présentation de l’éditeur : Le droit de la communication numérique est une discipline récente mais en pleine (...)

De l’évolution de l’encadrement des données à caractère personnel : initiative internationale et projets législatifs européens, français et américains.

Mots-clefs : Régulation | Vie privée |

par Géraldine Criqui, le jeudi 11 novembre 2010

Il est fréquent d’entendre ces derniers mois, voire ces dernières années : « L’enjeu actuel de la protection des données personnelles est la mise en œuvre d’un instrument international contraignant ». De fait et pour être plus précis, cet enjeu a toujours été celui d’une protection qui vise, dès l’origine, l’informatique et ses développements futurs [1]. Cet enjeu se fait toutefois plus pressant et si la convention du Conseil de l’Europe, en 1981, anticipait l’évolution des techniques, les instruments de protection qui l’ont suivie, semblent marqués par un essoufflement eu égard au monde actuel, celui de l’avènement d’internet, monde dématérialisé et globalisé.

Ce monde invite donc à une réforme, sur le fond comme sur la forme, de l’encadrement du traitement des données personnelles. Cette réforme est en marche et le présent article a pour but de présenter les différentes avancées en ce domaine, effectuées à plusieurs niveaux (international, régional, et national) (1) sans toutefois entrer dans une analyse complète du contenu de la protection et de ses enjeux nouveaux (2).

Ils sont complexes alors que la protection reflète nécessairement des choix de sociétés qui sont difficilement consentis par tous. Si des instruments internationaux existent, ils doivent devenir contraignants et transcender leur régionalisme. Les difficultés entourant les accords entre les Etats-Unis et l’Union Européenne sur le transfert de données bancaires et aériennes n’invitent pas à la sérénité et il faut aussi promouvoir une certaine idée de la protection, en Chine et en Inde qui se dotent également, d’instruments spécifiques [2] (3).

1) Panorama et calendrier des réformes engagées.

  • Résolution de Madrid.

Il y a un peu moins d’un an, en novembre 2009, les représentants de près de 80 autorités de protection des données personnelles adoptaient les premiers standards internationaux sur la protection des données personnelles et de la vie privée : un corpus commun historique, non-contraignant, première et nécessaire étape du processus visant à l’élaboration d’un instrument international effectif.

  • Révisions des directives communautaires 2002/58/CE et 1995/46/CE.

Au niveau communautaire, à la suite de la révision du paquet télécom et de sa directive sectorielle 2002/58/CE dite « directive vie privée et communications électroniques » [3], c’est au processus de révision de la directive communautaire de 1995 [4] relative à la protection des personnes physiques à l’égard du traitement de leurs données personnelles, d’entrer dans sa dernière ligne droite. Après la tenue d’une consultation publique au premier semestre 2009 [5], une proposition de révision était initialement prévue pour novembre 2010. La CNIL et ses homologues européens sont toutefois parvenus à reporter ce calendrier jugé précipité et irréaliste ; la commission européenne ne publiera donc qu’une simple communication en novembre, la proposition de révision étant reportée au deuxième semestre 2011.

  • Proposition de loi modifiant la loi Informatique, fichiers et libertés française.

La modification de la loi Informatique, fichiers et libertés française est donc, d’ors et déjà, rendue nécessaire par la transposition des modifications apportées à la directive 2002/58/CE du paquet télécom. Celle-ci doit intervenir au plus tard le 25 mai 2011. Reprenant les lignes directrices du rapport d’information relatif au respect de la vie privée à l’heure des mémoires numériques des sénateurs M. Détraigne et Mme Escoffier [6], une proposition de loi a été adoptée en première lecture, par le Sénat le 23 mars 2010. Ce texte permet la transposition de la directive et s’inscrit, plus largement, dans le même esprit que les approches internationales et communautaires avec quelques oublis toutefois. Cependant, l’avenir de ce texte porté par des centristes, est incertain alors qu’un groupe de travail « Ump » baptisé « Ethique du numérique » a lui aussi émis un rapport en 2010, qui souligne davantage la problématique de l’authentification de l’identité des internautes [7].

2) Du contenu nouveau de la protection.

  • Un pragmatisme nouveau.

Cette résolution internationale, ces révisions communautaires des directives 2002/58/CE et 1995/46/CE et cette proposition de loi française procèdent d’une même approche, issue de larges consultations faisant intervenir experts et professionnels. Une approche qui se caractérise, d’une part, par le respect des grands principes européens s’appliquant à tout traitement et le respect des droits garantis aux personnes, et qui, d’autre part, et de manière nouvelle, fait également preuve d’un heureux et nécessaire pragmatisme qui permet de renforcer et développer les dispositions permettant de garantir l’effectivité de ces principes et de ces droits. Les angles de ces dispositions nouvelles peuvent être synthétisés ainsi ; doivent être développées :

- une politique de confidentialité : qui s’entend comme le droit qu’a chacun à la confidentialité de ses données, droit qui se distingue du droit à la vie privée, et qui implique un devoir de confidentialité de la part du responsable et des personnes impliquées dans le traitement des données. [8]

- une politique de sécurité (informatique) : Tout traitement doit s’accompagner d’une véritable politique de sécurité qui doit prévenir toute violation de données à caractère personnel en garantissant, leur intégrité, leur confidentialité et leur accès. Toute faille de sécurité, doit sans délai être notifiée à l’autorité nationale compétente et à la personne concernée. Ces politiques de sécurité sont portées à la connaissance des autorités de protection nationales qui émettent des recommandations sur les meilleures pratiques [9].

- une politique d’« accountability » ou de responsabilisation : le responsable du traitement est tenu de mettre en place des mécanismes internes dont il répond, pour respecter ses obligations, comme, notamment donc, des mécanismes de sécurisation ou des mécanismes permettant de répondre aux demandes d’accès aux données à caractère personnel [10]. Il tient à la disposition des autorités nationales compétentes toute information sur ces procédures. Ce principe de responsabilisation des acteurs dans leur mise en œuvre des traitements et de visibilité des procédures fait défaut dans la proposition de loi française [11].

- une politique de mesures «  proactive » ou dynamiques : un adjectif qui sous-tend une souplesse et donc une efficacité de ces mesures. Etats, autorités de protection, et responsables de traitements doivent développer : des procédures internes, des mesures techniques d’application de celles-ci, des audits transparents et des procédures de certification, des études d’impact, des lignes directrices, des codes de conduite contraignants, des réseaux de correspondants à la protection des données personnelles, et développer également l’usage de techniques adaptées aux finalités de la protection ce que l’on appelle en anglais, les Privacy by design ou Privacy Enhanced Technology [12]. Sur ce point, la proposition de loi française, même si elle rend obligatoire le CIL, n’apparaît pas assez réactive, ce qui est regrettable.

- une politique de judiciarisation des contentieux : la résolution de Madrid définit les conditions de la responsabilité du responsable du traitement et engage les états à promouvoir des mesures pour faciliter l’accès à un tribunal. La directive « vie privée et communications électroniques » telle que modifiée permet aux fournisseurs de services de communications électroniques protégeant leurs intérêts professionnels légitimes, dans le cas de communications non sollicitées reçues par leurs clients, d’engager des actions en justice. La proposition de loi française modifie le chapitre VIII de la loi Informatique, fichiers et libertés, qui s’intitule alors « Dispositions relatives aux actions juridictionnelles ». La section 1 « Dispositions pénales » est complétée par une nouvelle section 2, « Dispositions civiles », qui crée, au bénéfice de la personne concernée par le traitement, un choix de compétence territoriale. Par ailleurs, les pouvoirs d’action de la CNIL sont renforcés quelque soit la nature de l’instance, civile, pénale ou administrative. [13]

  • Un nouvel équilibre à trouver.

Les concepts-clefs de la protection [14] sont donc réaffirmés tout en étant questionnés par ce nécessaire souci d’efficacité des mesures mise en œuvre. On s’interroge ainsi sur les notions de « transparence » et de « consentement » alors que cette exigence de consentement est renforcée dans l’ensemble des réformes entreprises [15]. La lutte contre la publicité ciblée est au cœur des débats et a ainsi motivé une nouvelle formulation des prescriptions de la directive « vie privée et communications électroniques » ; l’usage d’un témoin de connexion, tel un cookie, n’est permis qu’à condition que l’abonné ou l’utilisateur ait donné son accord [16] et ce dans le cadre d’une procédure qui doit rester la plus « conviviale » possible [17].

Les entreprises, dans le cadre de la révision de la directive de 1995/46/CE, estiment par ailleurs, que le poids bureaucratique de la protection est devenu disproportionné et militent pour une définition pragmatique de la donnée à caractère personnel qui prendrait en compte le « risque » pour la personne [18]. Cette politique nouvelle qui invite à repenser la protection en termes de résultats, est déstabilisante pour la conception française de la protection, en témoigne cette réticence à introduire l’usage de procédés techniques pour contraindre le responsable du traitement.

Un équilibre doit donc être trouvé qui maintienne une approche conceptuelle de cette protection qui vise des droits fondamentaux, gage de sa pérennité et de son universalisme tout en renforçant concrètement son efficacité. A ce titre, et par exemple, cet équilibre semble rompu par la proposition de loi française qui, guidée par ce souci d’efficacité de la loi, établit que l’adresse IP est une donnée à caractère personnel ; cela fige une notion qui ne peut l’être ce qui préjudicie à la protection [19].

Cette recherche d’équilibre et cette nécessité d’un instrument universel est confrontée aux exigences américaines, en matière de sécurité et de lutte contre le terrorisme.

3) De l’approche américaine.

  • Des négociations difficiles.

A cette fin, en effet, plusieurs instruments ont été crées ces dernières années pour encadrer les transferts de données à caractère personnel entre les Etats-Unis et l’Union Européenne. L’année 2010 a été marquée par leur renégociation, qui ne s’est pas faite sans difficultés.

  • Un nouvel accord « SWIFT ».

Ainsi un nouvel accord encadrant les transferts de données bancaires pour lutter contre le terrorisme ou accord « Swift », du nom d’une coopérative de 8000 banques internationales mettant à disposition des renseignements bruts, a été difficilement voté par le parlement européen [20]. Il est entré en vigueur 1er août 2010. Les autorités de protection des données restent sceptiques quant à son contenu alors que notamment, les principes européens de limitation de la durée de conservation et de la finalité de l’usage des données, ne sont pas repris et qu’il semble difficile à la personne concernée d’exercer ses droits [21].

  • Un nouvel accord « PNR » à venir.

De même la renégociation de l’accord dit « PNR » pour « Passenger Name Records » qui encadre les transferts de dossiers sur les passagers, entre les compagnies aériennes européennes et les autorités américaines, est en cours. Après un accord temporaire, un accord définitif avait été signé en 2007, permettant de réduire de trente-quatre à dix-neuf, le nombre d’informations sur chaque passager transmises au service des douanes et de la protection des frontières du ministère américain de la sécurité intérieure [22]. Cet accord, restait toutefois source d’inquiétudes alors que les durées de conservation s’avéraient longues, l’usage de données sensibles dans des circonstances exceptionnelles possible et qu’il n’était pas juridiquement contraignant [23]. Le 3 mars 2010, les députés européens ont préféré reporter le vote d’un nouvel accord afin que la commission présente son projet de « paquet PNR », qui établit une approche unique pour le transfert des données vers les pays tiers ; un paquet nécessaire alors que des pays comme la Chine, l’Inde et la Corée souhaitent, eux aussi conclure un accord de ce type [24]. Ce paquet pourrait être prêt vers la fin de l’automne [25].

  • Un accord « cadre » en matière de coopération policière entre l’Union Européenne et les Etats-Unis.

De plus, si l’on pouvait souligner en 2007, l’affaiblissement de la capacité de négociation au plan international des institutions européennes eu égard à la structure en piliers de l’Union [26], cette difficulté est dépassée en 2010 avec l’adoption du traité de Lisbonne [27], qui autorise une approche horizontale de la protection des données personnelles traitées par des autorités étatiques. La Commission européenne a alors adopté, en avril de cette année, un projet de mandat pour la négociation d’un accord [28]. que l’on pourrait qualifier d’accord-cadre, entre l’Union Européenne et les Etats-Unis relatif à la protection des données à caractère personnel dans le cadre de leur coopération dans la lutte contre le terrorisme et la criminalité. L’idée est celle d’un cadre légal général et contraignant qui s’appliqueraient à tout accord entre l’Union et les Etats-Unis ; un accord « qui garantirait la sauvegarde des libertés et droits fondamentaux des personnes -et dont- le respect serait contrôlé par des autorités publiques indépendantes de part et d’autre de l’Atlantique [29] ». Une consultation publique sur ce projet d’accord a été organisée au 1er trimestre 2010. Elle révèle les difficultés historiques et culturelles qu’il reste à surmonter alors que beaucoup s’interrogent sur le rapport de forces entre l’efficacité de ces collectes de données à des fins de prévention du terrorisme et leurs risques pour la vie privée de chacun [30].

  • Une proposition de loi fédérale.

Par ailleurs, et pour la première fois depuis des années, un projet de proposition de loi fédérale sur la protection des données personnelles a été publié au mois de mai dernier [31]. Il devrait être présenté à la Chambre des représentants en septembre. Il vise principalement l’usage des données personnelles des consommateurs de l’internet, à des fins de publicité ciblée ou de suivi comportemental et ne concerne pas la collecte d’informations opérée par une agence gouvernementale [32]. Il reprend les principes européens d’information préalable de la personne concernée et du recueil de son consentement [33]. La CNIL précise toutefois, que les chances que ce projet aboutisse sont minces alors que les professionnels y sont hostiles et que les dispositions du Patriot Act, permettant un large accès aux données, limitent sa portée [34].

Notes

[1] "Les auteurs de la Convention du Conseil de l’Europe avait conscience de la nécessité d’une règlementation universelle en ayant associé aux travaux d’élaboration du texte des Etats tiers et opté dès son adoption pour une Convention ouverte aux Etats non membres de l’organisation" WALTER J.P., préposé fédéral à la protection des données et à la transparence, suppléant (Suisse), extrait de son discours prononcé à Madrid, en novembre 2009 à la 31ème conférence des commissaires à la protection des données et à la vie privée. La convention du Conseil de l’Europe pour la protection des personnes à l’égard du traitement automatisé de données à caractère personnel ou STE 108 date du 28 janvier 1981.

[2] V. KUNER Christopher European Data Protection Law, Oxford University Press, 2ème edition, 2007, preface p.x.

[3] Directive 2002/58/CE du 12 juillet 2002 (JORF du 31.7.2002, L201/37-47) telle que modifiée par la directive 2009/136/CE du 25 novembre 2009 (JORF du 18.12.2009, L337/11-36)

[4] Directive 95/46/CE du 24 octobre 1995 (JORF du 23.11.95, L281/31-50)

[5] http://ec.europa.eu/home-affairs/ne...

[6] Rapport d’information relatif au respect de la vie privée à l’heure des mémoires numériques, par les sénateurs M.Yves Detraigne et Mme Anne-Marie Escoffier, Sénat n°441, séance du 27 mai 2009.

[7] Rapport du groupe de travail « Ethique du numérique », Vive internet ! Liberté et règles dans le monde numérique, 31 mai 2010.

[8] V. : Résolution de Madrid, article 21 Devoir de confidentialité (Confidentiality duty) ; article 1er, paragraphe 1, Dir. 2002/58/CE telle que modifiée par la dir. 2009/136/CE.

[9] V. : Résolution de Madrid, article 20 « Mesures de sécurité » (Security measure) ; article 4 Sécurité du traitement, Dir. 2002/58/CE telle que modifiée par la dir. 2009/136/CE ; consultation dans le cadre de la révision de la directive 95/46, contribution du G29 qui prône l’introduction d’une notification générale de faille de sécurité ; Article 7 modifiant l’article 34 de la loi du 6 janvier 1978 modifiée, proposition de loi, Sénat n°81. Il est à noter que ce devoir de notification existe déjà en Allemagne. La législation spéciale de protection des données autrichienne vient, pour sa part, d’être modifiée en ce sens en 2009, la modification plus importante intervenue depuis sa création en 2000 ; à partir de 2012 le système de notification des failles de sécurité, devrait être entièrement automatisé.

[10] Il est à noter que des critères se dégagent quant au mécanisme interne à mettre en place pour répondre à l’obligation d’information et d’accès de la personne concernée, dans le cas d’un service de communication au public en ligne : ces informations doivent faire l’objet d’une rubrique qui leur est propre, facilement identifiable et donc facilement accessible et dont le contenu est clair. Résolution de Madrid, article 10 Principe de transparence ; Article 6 modifiant l’article 32 de la loi du 6 janvier 1978 modifiée, proposition de loi, Sénat n°81.

[11] V. : Résolution de Madrid, article 11 Principe de ’responsabilisation (Accountability) ; article 15, nouveau paragraphe 1er ter, Dir. 2002/58/CE telle que modifiée par la dir. 2009/136/CE ; consultation dans le cadre de la révision de la directive 95/46, contribution du G29, p.3.

[12] V. : Résolution de Madrid, article 22 Mesures dynamiques (Proactive measures) ; article 4, paragraphes 4 et 5, Dir. 2002/58/CE telle que modifiée par la dir. 2009/136/CE pour ce type de mesures en matière de sécurisation de traitements intervenant dans le cadre des communications électroniques ; consultation dans le cadre de la révision de la directive 95/46, contribution du G29, p.19.

[13] Résolution de Madrid, article 23 Contrôle (monitoring) et article 25 Responsabilité (Liability) ; article 13, nouveau paragraphe 6, Dir. 2002/58/CE telle que modifiée par la dir. 2009/136/CE ; Article 13 modifiant le chapitre VIII de la loi du 6 janvier 1978 modifiée, proposition de loi, Sénat n°81.

[14] Cf. les principes de loyauté, de finalité, de proportionnalité, de qualité des informations conservées, de transparence et d’information, de légitimité du traitement (consentement requis), de l’encadrement spécifique des données sensibles et la garantie de droits à la personne concernée (accès, rectification, opposition).

[15] Résolution de Madrid, article 12 1.a. ; article 5, nouveau paragraphe 3 et article 6, nouveau paragraphe 3, Dir. 2002/58/CE telle que modifiée par la dir. 2009/136/CE ; Article 6 modifiant l’article 32 de la loi du 6 janvier 1978 modifiée, proposition de loi, Sénat n°81.

[16] V. l’analyse de Gaëtan CORDIER, « Focus sur la directive 2009/136/CE du 25 novembre 2009 modifiant la directive 2002/58/CE concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques : optons pour une interprétation pragmatique de l’utilisation des cookies ? », RLDI, n°57, février 2010 p.77.

[17] Directive 2009/136/CE, JOUE 18.12.2009, L337/20, considérant n°66.

[18] V. : Consultation dans le cadre de la révision de la directive 95/46, contribution du Forum Européen des correspondants à la protection des données et des juristes dédiés à cette tâche dans les entreprises (EPOF, the European Privacy Officers forum), p.1 et 2.

[19] V. : Article 2, Proposition de loi, adoptée par le Sénat visant à mieux garantir le droit à la vie privée à l’heure du numérique, Sénat, texte n°81.

[20] Un premier projet d’accord a d’abord fait l’objet d’un vote négatif au parlement européen, le 11 février 2010, les députés jugeant les garanties de l’accord quant à la protection des données insuffisantes. L’accord, modifié, a finalement été voté le 7 juillet 2010 et est entré en vigueur le 1er Août 2010.

[21] V. : CNIL, « Nouvel accord SWIFT : les autorités de protection des données restent sceptiques », actualité du 27 juillet 2010 disponible sur le site de la CNIL à cette adresse : http://www.cnil.fr/la-cnil/actu-cni... ; Groupe de l’article 29, communiqué de presse du 28 juin 2010 « EU-US TFTP agreement not in line with privacy legislation European Data Protection Authorities not satisfied with safeguards in EU-US financial agreement », disponible à cette adresse : http://ec.europa.eu/justice/policie...

[22] ACCORD entre l’Union européenne et les Etats-Unis d’Amérique sur le traitement et le transfert de données de dossiers passagers (données PNR) par les transporteurs aériens au ministère américain de la sécurité intérieure (DHS) (Accord PNR 2007), JOUE du 4/08/2007, L 204/18 -25.

[23] Le respect de l’accord reste fondé sur des lettres d’assurance susceptibles d’être modifiées à tout moment.

[24] Voir sur le blog, « EU-Logos », « Vers la fin d’une guerre de plusieurs années sur l’accès au contenu des données PNR : les députés européens proposent d’encadrer solidement l’ensemble des transferts des données PNR vers l’ensemble des pays-tiers qui le demandent » posté par if5422 le 5 mars 2010, article disponible à cette adresse : http://eulogos.blogactiv.eu/2010/03...

[25] Ibid.

[26] KHEYARI K., « Les données personnelles dans les transports aériens vers les Etats-Unis », article mis en ligne sur le site du CEJEM, le 6 mars 2007.

[27] Traité de Lisbonne modifiant le traité sur l’Union européenne et le traité instituant la Communauté européenne, signé à Lisbonne le 13 décembre 2007, JOUE 2007/C306/01.

[28] Le futur accord aura pour fondement les articles 16 et 216 du Traité sur le fonctionnement de l’Union Européenne.

[29] Communiqué de presse de la Commission européenne en date du 26 mai 2010, « La commission européenne entend faire adopter des normes élevées en matière de respect de la vie privée dans un accord UE-Etats-Unis relatif à la protection des données », disponible à cette adresse : http://europa.eu/rapid/pressRelease...

[30] V. le questionnaire de la consultation et le contenu des contributions à cette adresse : http://ec.europa.eu/justice_home/ne...

[31] Le « Pivacy draft » est disponible à cette adresse : http://www.boucher.house.gov/images...

[32] V. projet de proposition de loi, p.2

[33] V. projet de proposition de loi, p.8

[34] V. actualité sur le site de la CNIL : « Une proposition de loi fédérale sur la protection de la vie pricée aux Etats-Unis », en date du 13 juillet 2010. Disponible à cette adresse : http://www.cnil.fr/la-cnil/actu-cni...