Séance du lundi 20 novembre 2000
par Mme. Louise Cadoux
Le thème de la communication d’aujourd’hui reste dans une actualité qui ne faiblit pas. Retenu par votre Académie, il y a un an déjà, il a été inscrit au programme de l’Université de tous les savoirs le 15 septembre dernier, dans une formulation identique à celle que vous avez retenue, à un mot près qui n’est toutefois pas insignifiant : ” Protection de la vie privée et société de surveillance et d’information”.
Trois faits choisis au hasard parmi les événements des derniers mois témoignent, en effet, de la vitalité du sujet. On citera, tout d’abord, les résultats d’un sondage récent conduit en France sur un échantillon d’internautes pour évaluer le poids respectif des raisons avancées par ces derniers pour justifier leur méfiance à l’égard du commerce électronique ; juste après une forte inquiétude à l’égard de l’insécurité des modes de paiement proposés sur la “Toile”, c’est avec un chiffre élevé (47 %), qu’est notée la crainte de ces usagers potentiels de voir les données concernant leurs goûts, leurs complaisances, leurs styles de vie, révélées à travers leurs habitudes de consommation, se trouver capturées et réutilisées à leur insu. Aux Etats-Unis, au printemps dernier, ce sera le second fait, la Federal Trade Commission, chargée de dénoncer les pratiques déloyales des entreprises dans leur activité commerciale, finit par conclure après une année d’observation de ces usages, que les manquements sont trop nombreux ; rompant avec la doctrine qu’elle énonçait naguère, selon laquelle le commerce électronique devrait pouvoir trouver ses marques dans la nouvelle économie en se fondant sur la seule démarche d’auto-régulation des entreprises, la FTC réclame l’intervention d’une loi de protection de la vie privée pour Internet, sans succès d’ailleurs.
Enfin, le 25 août 2000, paraît au Journal officiel des Communautés européennes la décision de la Commission déclarant pertinente la protection assurée par les principes dits du Safe Harbour, qu’on traduit en français par “sphère de sécurité”, publiés par le ministère du commerce des Etats-Unis.
C’est l’aboutissement d’une négociation qui s’est prolongée sur plus de deux ans avec des moments de tension forte de part et d’autre de l’Atlantique, pour garantir aux ressortissants de l’Union européenne dont les données personnelles viendraient à être transférées aux Etats-Unis qu’ils y bénéficieraient d’une protection adéquate.
Le sujet n’est pas seulement d’actualité. Il est également grave à l’heure de la mondialisation.
Le titre de la communication s’appuie sur deux termes, – vie privée, société de l’information -, qui méritent quelques premiers commentaires. Quelques exemples illustreront ensuite les risques d’atteinte à la vie privée qu’implique l’usage des technologies de l’information et de la communication. En dernier lieu, quelques-unes des solutions envisagées pour y porter remède seront exposées.
La vie privée ?
Très vite, il y a un quart de siècle, le recours à l’informatique a été associé à l’inquiétude de voir la vie privée malmenée par cette technologie. Il fallait une réponse de la société. L’une des premières initiatives, pour apaiser ces craintes, est, après la Suède et le land de Hesse en Allemagne, celle, en 1974, du Privacy Act des Etats-Unis, le pays précisément où est née l’informatique ; il s’agit alors de protéger le citoyen américain et les résidents privilégiés contre les excès du traitement de l’information concernant les personnes que permet la nouvelle technique : accumulation exponentielle d’informations et durée de stockage illimité, comparaisons sélections de populations, modalités multiples de dissémination des résultats. La nouvelle loi conçue à l’époque du Watergate ne vise que les fichiers fédéraux ; elle ne fut pas un succès, faute de moyens suffisants pour la faire appliquer.
Dès ce moment, parce que la vie privée s’exprime dans cette technologie par des données, – data -, on assimile, dans le contexte Vie privée / Informatique, la vie privée ou la privacy aux données personnelles. Nous avions voulu, en France, pour nous distinguer du monde anglo-saxon, parler “d’informations nominatives”, qui est le vocabulaire de la loi du 6 janvier 1978 ; l’essai a été balayé, par la suite, par les usages internationaux. On ne parlera plus à l’avenir que de “données personnelles”.
La vie privée est une valeur universellement reconnue dans le monde occidental. Mais avec des variations de grande amplitude.
Ainsi existe-t-il des références très brèves au respect de la vie privée, comme par exemple, dans l’article 14 de l’accord général sur le commerce des services négocié en 1994 dans le cadre de l’OMC ; cet article permet de déroger aux règles de l’ouverture des marchés s’il est nécessaire de prendre des mesures pour ” la protection de la vie privée des personnes pour ce qui est du traitement et de la dissémination des données personnelles…”. Ainsi, à l’inverse, avons nous su adopter des dispositifs beaucoup plus abondants sur ce sujet précis, au niveau européen, – convention 108 du Conseil de l’Europe de 1981 et maintenant directive européenne du 24 octobre 1995- ou au niveau des Etats européens, d’anciens Dominions de la Couronne britannique, d’ HongKong et de Taiwan. Entre ces deux extrêmes, des formules intermédiaires s’intercalent. Il existe des embryons de textes en Russie, dans certains Etats d’Amérique latine ou des projets de texte en Inde.
Une autre clé de classement est celle du caractère contraignant on non des textes se référant à la vie privée : simples recommandations comme c’est le cas des recommandations de l’OCDE de 1980, 1991,1999 ou de l’Assemblée-générale des Nations Unies de 1990 ou les privacy policies produites de leur plein gré par les entreprises américaines d’un côté textes dotés, au contraire, d’effets contraignants, fruit de la concertation internationale, comme le sont les directives européennes traitant du sujet (directive cadre 46/95 de 1995 déjà citée et directive spécifique au secteur des télécommunications de 1997 ) ; textes contraignants encore que sont évidemment nos lois nationales. Pour la France, l’obligation est encore plus exigeante depuis 1995, date à laquelle le Conseil constitutionnel décide, à propos de l’examen de la loi sur la vidéo-surveillance, que le droit à la vie privée, dérivé de l’article 2 de la déclaration de 1789 sur les droits imprescriptibles et naturels de l’Homme, appartient désormais au socle des libertés constitutionnellement garanti.
Bien entendu, le droit ainsi ouvert à chacun d’entre nous est diversement apprécié et exercé selon les sensibilités propres de chacun, l’un étant particulièrement soupçonneux et diligent sur la mise en œuvre de ce droit, tandis que l’autre prétend aimer vivre dans une maison de verre et ne pas en faire grand cas.
Au premier, au méfiant, il convient de répéter que le contenu du concept de vie privée a profité d’une manière très substantielle du contact avec l’ordinateur. Aux situations classiques déjà répertoriées, le cercle familial, le domicile, la correspondance, les systèmes d’informations des secteurs de la santé, de la banque, de la justice, protégés par le secret professionnel, voici que s’ajoute, dans le contexte de l’informatique, d’autres exigences et qu’émergent dans notre corpus juridique d’autres droits qui visent à nous assurer la maîtrise de cet outil puissant et maintenant omniprésent qu’est l’ordinateur.
La première de ces exigences s’exprime par le principe de finalité, à savoir qu’un fichier collecte des données pour un objet particulier et précis, principe de finalité autour duquel s’organisent un certain nombre de principes corollaires. C’est à ce titre que doit être justifiée et vérifiée la légitimité du maître du fichier, – nous dirions en droit public français, sa compétence – que les données doivent répondre à certains critères de qualité : à cet égard, nos textes prescrivent que la collecte des données doit être loyale, ce qui implique que les personnes soient informées de cette collecte et de sa finalité les données doivent être adéquates, pertinentes et non excessives par rapport à la finalité du fichier ; elles doivent être exactes et mises à jour, et ne pas être conservées pour une durée excédant celle nécessaire à la réalisation de la finalité du traitement ; les destinataires des résultats doivent enfin être désignés. Bref, une liste de points à contrôler pour nous faciliter l’application du principe de proportionnalité, que nous connaissons bien en droit.
Un régime particulier concerne une liste de données qualifiées de sensibles (opinions politiques et religieuses, origine ethnique, données de santé,….) qui ne peuvent être en principe saisies et traitées sans le consentement de l’intéressé. Les décisions automatiques, en dehors d’un regard humain, sont proscrites. Sur le responsable du fichier, enfin, pèse l’obligation de prendre les mesures de sécurité nécessaires pour empêcher la déformation des données qu’il a mission de gérer et leur divulgation à des tiers non autorisés. Voici donc créés des principes juridiques nouveaux, somme toute très opératoires. La jurisprudence des tribunaux et la doctrine des autorités de protection des données personnelles, comme l’est la CNIL en France, ne vont pas manquer de s’y adosser pour enrichir d’interprétations très concrètes le portefeuille du droit à la vie privée.
La société de l’information ?
Jusqu’aux touts derniers mois de 1997, l’expression n’était pour ainsi dire pas utilisée en France. On préférait parler des nouvelles technologies de l’information et de la communication (les NTIC) ou plus rarement de technologies de l’information et de la communication (TIC).
L’Union européenne, en revanche, avait adopté le terme depuis un certain temps. Jacques Delors, lorsqu’il était président de la Commission européenne a été l’un des premiers, sinon le premier, a faire usage du mot dans le livre blanc, publié à l’automne 1993, ” Croissance, compétitivité, emploi”. Dans ce texte, l’auteur donne aux techniques de l’information et de la communication une place centrale dans la société du XXIème siècle et pense que ces techniques vont imposer un “nouveau modèle de développement”. Relevant que, dès la dernière décennie du XXème siècle, la situation de l’emploi est restée en moyenne plus favorable dans les entreprises qui ont adopté la microélectronique que dans celles qui ne l’ont pas fait, il n’a pas alors de peine à annoncer que les emplois de demain seront apportés par les nouvelles technologies, puis à conclure : ” Le XXIème siècle sera le siècle de la société de l’information”. Préférée au terme, “les autoroutes de l’information”, qu’avait forgé le président Al Gore, lors de la campagne électorale de 1992, l’expression “la société de l’information” qui n’était pas moins médiatique avait conquis sa place dans le vocabulaire européen.
En février 1995, la Commission européenne décide de créer, sous le nom de Forum de la société de l’information, une structure de consultation dans laquelle elle invite, au-delà des représentants des Etats européens, des acteurs de tous horizons, – plus d’une centaine de personnes -, pour débattre, réfléchir et donner son avis sur les chances et les défis qu’implique l’usage de ces techniques pour la société à venir.
Dans notre pays, l’expression s’est imposée lorsque, après avoir en 1997/98, commandé un certain nombre de rapports pour l’éclairer, le gouvernement a lancé le chantier dit du PAGSI (programme d’action gouvernemental sur la société de l’information) consistant à adapter le cadre législatif français à la société de l’information.
Avec cinq ans de recul, la société de l’information, se définit, semble-t-il, par trois modifications majeures de l’environnement antérieur.
Ce sera, d’abord, le progrès technique considérable qu’a été la numérisation du son et de l’image, qui vont abandonner la rigidité du monde analogique. Désormais les fichiers d’images et de sons emprunteront, pour leur représentation, le même symbole, – le bit-, que le texte alphanumérique ; ils pourront, de ce fait, être manipulés, au sens informatique du terme c’est-à-dire sans impliquer de connotation péjorative, au même titre que peut l’être le texte et circuler sur le même circuit et être enregistré en même temps sur le même support que l’écrit, moyennant quelques efforts pour accroître le débit de la bande passante et la capacité des dispositifs de stockage. C’est ce qu’on a appelé le phénomène de convergence qui a permis le mariage de l’informatique, de la communication et de l’audiovisuel. Ainsi, n’y a-t-il pas de raison de dénier à l’image et à la voix le caractère de donnée personnelle, comme on l’admet sans procès pour une information textuelle. De sorte que le champ d’application des règles de protection des données personnelles se trouve considérablement élargi.
De technique d’abord, le phénomène de convergence a vite présenté un versant économique ; ce fut le début des grandes stratégies industrielles rapprochant industries des supports ou disait-on avec quelque dédain industries des tuyaux, et industries de contenu. Les projets de fusions AOL/Time Warner ou celle de Vivendi/Canal Plus/ Seagram relèvent de ce phénomène.
Et presque en même temps, le gouvernement américain prend la décision de cesser de subvenir, par le truchement soit du département de la défense soit de la National Science Foundation, aux dépenses du réseau mondial Internet, créé et utilisé par les seuls chercheurs et de laisser au secteur marchand le soin de financer désormais Internet ; ce tournant a changé complètement la donne par rapport à la situation prévalant il y a vingt ans lorsque les grandes bases de données étaient créées pour l’Etat et les grandes administrations. A partir du moment où les entreprises, grandes et moins grandes et les particuliers ont pu accéder à Internet, d’énormes gisements de données, et souvent de données personnelles, se sont constitués et ont acquis une valeur marchande. Il faut en convenir : la société de l’information, c’est aussi l’économie de l’information et, comme n’importe quelle autre ressource ou matière première qui fait tourner l’économie, l’information a un coût et doit rapporter un profit. Tel est le second changement qu’il faut relever.
Le troisième changement, – bouleversement devrait-on dire -, est imposé par l’usage d’Internet : l’application des lois nationales de protection des données s’arrête aux limites géographiques des Etats. Impuissants à suivre les données personnelles au-delà de leurs frontières, les Etats vont-ils renoncer à protéger la vie privée de leurs citoyens, tolérer que les fichiers de données personnelles constitués avec des données saisies sur leur territoire puissent être manipulés ailleurs sans précaution, fassent le tour par un Etat tiers et, mis en ligne, reviennent, par la grâce d’Internet, s’afficher sur l’écran d’un appareil de télévision, d’un poste de travail ou d’un téléphone portable localisé chez eux, comme on le constate avec, par exemple, le fichier des Mormons ; comme on pourrait le constater demain si certains de nos fichiers dont nous assurons une certaine confidentialité chez nous venaient à être aspirés à l’étranger, dans un pays où beaucoup de fichiers tombent tout naturellement dans le domaine public et sont jetés sur la “Toile” ? La réponse sera “non” malgré la difficulté de l’entreprise, peut-être par attachement à nos valeurs, mais aussi parce que, dans la société de l’information, le citoyen, le particulier, la personne privée se retrouve investie d’une responsabilité particulière puisqu’on compte sur lui pour consommer, commercer, échanger, et qu’il importe alors de choyer ce partenaire pour gagner sa confiance. Argument utilitaire, qui vient relayer la conviction doctrinale, et qui contraint les Etats à continuer à se préoccuper de la protection de la vie privée.
Les risques d’atteinte à la vie privée.
Dans le contexte de l’informatique et de la communication, les régimes de protection de la vie privée tiennent compte des atteintes effectivement constatées pour dégager les principes à respecter, distinguer ce qui est acceptable de ce qui est interdit, conseiller, adresser des mises en garde, éventuellement sanctionner. Mais ce sont aussi des régimes de prévention des risques, qui tirent leurs interdictions ou leurs prescriptions de la potentialité de danger pour la vie privée, – on a même forgé le terme de “dangerosité”-, des techniques mises en œuvre.
Les risques identifiés il y a vingt ou vingt cinq ans, – accumulation d’informations sur les personnes privées, capacité de stockage, fonctionnalités de sélection, d’extraction ou d’interconnexion, dissémination -, perdurent.
L’expérience nous apprend que les fichiers sont encombrés de nombreuses erreurs qu’on a beaucoup de peine à faire redresser, qu’ils ne sont que partiellement mis à jour, que la durée de conservation des données est mal respectée, qu’enfin quand un fichier a été créé pour un objet déterminé, une forte pression s’exerce pour qu’il soit utilisé pour d’autres finalités.
Les autorités de protection des données en Europe et ailleurs repèrent, lors de leurs investigations, à propos de l’instruction de plaintes, des situations de fait dans lesquelles la vie privée est mise à mal. Leurs rapports annuels qu’elles s’échangent en montrent des exemples. On pourrait citer pêle-mêle, en feuilletant quelque uns des rapports de la CNIL, les atteintes à la vie privée déjà constatées et le rappel des droits qui peuvent être revendiqués : comme celui du droit d’aller et venir sur la voie publique et de fréquenter certains bâtiments y ouvrant, sans être systématiquement espionné par des caméras de vidéo-surveillance, celui de naviguer d’un site à l’autre sur la “Toile” de manière anonyme, comme doit l’être, sauf rares cas définis par la loi, celui de la consultation des sites et de la participation aux forums de discussion ; et encore le secret de la correspondance téléphonique comme celui du courrier électronique doit être respecté l’usage du téléphone portable ne doit pas localiser l’utilisateur ; le client doit pouvoir faire ses courses sans que la trace en soit durablement conservée dans les fichiers, et si le commerçant est tenté de conserver la preuve des achats effectués chez lui, il ne peut faire commerce de ces données sans en avertir son client et lui consentir le droit de s’y opposer ; l’employeur, au moment de l’embauche, ne doit pas s’enquérir de questions qui n’ont qu’un lointain rapport avec les fonctions à occuper, telles que les habitudes sexuelles, les préférences dans les loisirs, les intérêts des proches ; le patient doit pouvoir compter toujours sur la garantie, particulièrement forte en France, du secret médical ; les profils, parce qu’ils induisent des risques de décisions automatiques doivent être surveillés, etc…
Confrontés à Internet, qui offre la chance jusqu’ici inégalée d’améliorer la communication entre les individus sur toute la planète et d’accéder à toutes sortes de gisements d’informations, nous ne pouvons renoncer à en indiquer quelques dangers :
Le premier, consubstantiel à la conception du réseau, est relatif à la sécurité : il n’y a pas de sécurité sur Internet. Les messages circulent par paquets, sans protection, sur des routes séparées et sont reliés à l’arrivée par une adresse appelée adresse IP qui n’est pas invulnérable. Les systèmes d’exploitation peuvent être facilement pénétrés, piratés, et les dispositifs d’accès aux disques des utilisateurs contournés. Les données enregistrées sur le disque de l’utilisateur y seront observées, et en particulier, grâce à l’envoi sur le disque d’un fichier appelé “cookie”, les données dites de transactions qui jalonnent les déplacements de l’internaute sur la “Toile” et sont conservées sur son disque ; ces données seront copiées et ramenées sur des serveurs extérieurs où elles seront exploitées à des fins de cession de bandeaux publicitaires à des agences de marketing. Bref, partout où nous passons sur la “Toile”, nous laissons des traces, il suffit de les ramasser. Le courrier électronique quant à lui, ne jouit pas d’une confidentialité supérieure à celle d’une carte postale envoyée sans enveloppe par la poste et les carnets d’adresses des internautes sont accessibles, sur les PC gérés sous le logiciel Windows, qui avoisine près de 90 % des logiciels d’exploitation diffusés dans le monde, ainsi que l’a montré l’incident récent du virus “I love you”. Tout le monde peut, pour une somme modique, se procurer un lot de ces adresses.
Dans cet environnement, le vol d’informations, l’usurpation d’identité, la falsification des informations, sans qu’on s’en rende compte, l’introduction de virus ou la diffusion massive de messages publicitaires, phénomène connu sous le nom de “spamming”, sont un jeu d’enfant pour les spécialistes.
La collecte des données personnelles à l’insu des personnes concernées étant si aisée, des entrepôts de données (datawarehouse) seront aisément construits, et des logiciels qui prétendent détecter des relations insoupçonnées entre les données offertes (datamining), en extrairont des profils sophistiqués d’internautes dans l’intérêt du commerce.
De toutes ces facilités, les informations relatives à la vie privée ne peuvent pas ne pas souffrir. Tout est donc en place sur Internet pour que l’acquisition des données personnelles soit à portée de main, avec l’accord ou à l’insu des utilisateurs, c’est-à-dire de gré ou de force, et c’est peu de dire que la constitution de fichiers de clientèle y est profitable, comparée à ce qu’elle peut être avec la technique du questionnaire introduit dans nos boite aux lettres ou présenté dans le trottoir.
Nom, adresse, n° de carte bancaire, adresse e mail, auxquelles on ajoute si l’on peut les habitudes de consommation, sont les informations les plus précieuses pour le commerce électronique, pour l’offre de services divers, de produits financiers ou d’assurance, de consultations médicales ou juridiques. Pour tout le secteur marchand, Internet donne, plus que tout autre media, un avantage concurrentiel décisif. D’où le négoce qui se développe aux Etats-Unis, autour de la cession à titre onéreux des fichiers de clientèle et, peut-être, l’apparition d’un métier lucratif, celui de courtier en données personnelles, l'”infomadiary” faisant le lien entre le particulier et le commerçant, ménageant dans cette opération les intérêts de l’un et de l’autre.
Sans Internet, la vente des données personnelles marquerait le pas. L’internaute se prend alors à rêver et se demande comment il trouve son compte dans ces échanges. Peut-il négocier la vente de ses données ? Combien vaut-il ? Des chiffres sont régulièrement cités.
Parallèlement, les fusions, les rachats d’entreprises se multiplient et l’internaute est fondé à se demander ce que deviennent ses données en cas de cession. Au cours de cette année, deux affaires au moins ont été portées à la connaissance du public ; celle de Double click, un publicitaire très important sur Internet, a marié son fichier d’abonnés en ligne avec celui qu’il a acheté d’Abacus, la plus importante base de données de ventes par correspondance aux Etats-Unis ; poursuivi devant la justice de Californie, Double click a dû renoncer à son projet. Au printemps dernier, le marchand de jouets Toysmart qui s’était engagé vis à vis de ses clients à ne jamais vendre les données confidentielles qu’il avait collectées sur eux, aurait envisagé, au moment où il cherchait un repreneur, de vendre son fichier aux enchères sur la “Toile”. L’organisme Trust-e qui s’était porté garant de la privacy policy de l’entreprise aurait condamné le projet et la FTC aurait été invitée à veiller sur le respect de l’engagement pris.
L’avenir pourrait nous apporter un autre lot de problème. Depuis trois ou quatre ans, les constructeurs américains se sont convaincus que le PC était d’un fonctionnement trop compliqué pour un particulier lequel était, au surplus, loin de se servir de toutes les fonctionnalités offertes. Après un premier essai, vite abandonné de la société Oracle, Microsoft s’est lancé, il y a dix huit mois dans la même aventure avec le même concept. Pour les applications de la maison, il importe d’employer des appareils simples d’usage, du type du téléphone portable; il suffirait d’un PC dégraissé, c’est le thin model, offrant un agenda, un “organisateur” d’emploi du temps, un carnet d’adresses, un traitement de texte et un tableur, c’est-à-dire les fonctions de base du PC. Mais surtout ce même PC donnerait accès à Internet.
Autour de cet accès, seraient proposés un certain nombre de services ; ainsi de la gestion automatique du frigidaire et de l’exploration également automatique des emballages jetés à la poubelle, de manière à préparer la liste des courses à faire au supermarché. Installant des caméras à domicile, des services de surveillance, à l’intention des personnes âgées, des enfants ou des malades pourront être proposés. La télévision fonctionnera à la demande. Pour Bill Gates, l’informatique doit irriguer la maison comme l’a fait progressivement l’électricité depuis la fin du siècle dernier. Les terminaux du futur, branchés sur Internet, seront très simples, munis seulement d’un clavier et d’un écran, sans aucune intelligence locale, toutes les informations étant renvoyées sur de serveurs à l’extérieur de la maison, hors de la maîtrise de l’usager. Ces serveurs loueront des espaces de stockage où les clients pourront ranger leurs données de santé, celles de leurs consommations diverses, leur agenda et leur carnet d’adresses, à charge pour eux de rappeler ces données selon leurs besoins et de les renvoyer au serveur après usage. Ce futur, connu sous le nom de “l’après-PC”, est peut-être d’un avenir encore lointain, mais on voit bien qu’il faudra faire preuve d’une vigilance toute particulière à l’égard et de la sécurité offerte par ces serveurs et leurs liaisons avec le domicile et du respect de l’engagement de confidentialité des fournisseurs de ces services.
Les solutions proposées pour protéger la vie privée.
Elles sont de nature diverse, juridiques, techniques et organisationnelles, souvent mixtes.
Elles sont le reflet de cultures diverses. En nous limitant au premières, car les secondes sont, de toute manière soumises au droit qui définit le cahier des charges et assure la recette, nous en dégagerons quatre.
Le modèle européen : une loi et une autorité de protection de la vie privée indépendante.
Ce modèle s’est construit sur un quart de siècle par l’adoption successive dans les Etats européens de lois spécifiques de protection des données, qu’il s’agisse de l’Europe des quinze ou des Etats qui se tiennent à l’extérieur de ce premier périmètre, comme la Suisse ou la Norvège, ou d’Etats candidats à l’entrée dans le club européen. Une doctrine commune, destinée à harmoniser les textes déjà pris, s’est dégagée dans la directive européenne du 24 octobre 1995 sur la protection des données personnelles, mentionnée plus haut. La négociation de ce texte a été laborieuse, car, à l’inverse de la convention 108 du Conseil de l’Europe de 1981, qui peut se superposer aux lois nationales sans en toucher la rédaction, la directive, elle, suppose une transposition en droit interne et par conséquent des retouches au texte même des lois en vigueur. La directive fige les obligations pesant sur les responsables de fichiers, – celles-ci ont été rappelées plus haut, dans le paragraphe commentant le concept de vie privée – et les droits des personnes ont été réaffirmés et complétés, droit d’information de la personne concernée préalablement à la collecte et au traitement des données, que celles-ci aient été collectées auprès de la personne elle-même ou auprès de tiers, droit d’accès et de rectification, droit d’opposition pour la personne au traitement de ses données, consentement de principe pour le traitement des données sensibles. Bien entendu, ces droits sont assortis de dérogations, plus nombreuses à vrai dire que dans la loi actuellement en vigueur en France.
Des pouvoirs non négligeables de sanctions et d’approbation de codes de conduite y sont reconnus à l’autorité de protection dont il est rappelé qu’elle doit être indépendante, sans que d’ailleurs les critères de l’indépendance n’aient été dégagés.
Ce modèle a su séduire, en dehors des limites de l’Europe, on l’a déjà dit.
Une solution de marché tempéré : l’auto-régulation à l’américaine.
Celle-ci s’exprime à travers des privacy policies ou des privacy statements, – politiques ou déclarations tendant à faire respecter la vie privée. Il n’est possible ni de dresser une typologie des différentes politiques de protection de la vie privée suivies, ni même d’établir soi-même un profil moyen du contenu de ces déclarations qui concernent, quand elles existent, des millions d’entreprises aux Etats-Unis. On ne peut que s’en remettre à une étude générale et aux affirmations qui y sont contenues. C’est ce qui sera fait avec l’étude conduite par la FTC en juin 1998 pour le Congrès, étude qui a elle-même exploité une multitude de rapports produits par des services américains, canadiens et européens.
Selon cette étude, un consensus général se dégagerait sur 5 principes :
- Notice/Awareness – Information préalable pour mettre la personne concernée en mesure d’apprécier si les données collectées sur elle peuvent être dévoilées sans dommage ; l’information délivrée doit porter sur l’identité du responsable de la collecte des données, l’utilisation que ce dernier compte faire de ces données, les destinataires éventuels de ces données, les moyens par lesquels ces données sont collectées, le caractère volontaire ou obligatoire pour la personne concernée de la réponse à la demande de collecte, les mesures prises par le responsable du fichier pour assurer la confidentialité, l’intégrité et la qualité des données ;
- Choice/Consent, Liberté de choix de la personne concernée de laisser l’entreprise utiliser les données ainsi obtenues soit pour ses besoins propres soit pour des cessions à des tiers ; deux modalités existent de l’exercice de ce droit, soit l’accord exprès, soit la renonciation au droit d’opposition ;
- Acess/Participation , Droit d’accès et de correction ;
- Integrity/Security, sans commentaires ;
- Enforcement/Redress c’est-à-dire, selon une traduction très libre, voies et moyens pour mettre effectivement en vigueur ces principes.
C’est ici que la FTC, insistant sur la souplesse de réaction de l’entreprise face à l’apparition d’une faille dans le système de protection de la vie privée et à la modicité du coût de la réparation comparés à une solution impliquant un tiers organisme, fait le choix du mécanisme d’auto-régulation dont la crédibilité est au surplus garanti, selon elle, par l’adhésion à l’organisation professionnelle de la branche à laquelle appartient l’entreprise, par la pratique d’audits externes, et l’encadrement que pourraient constituer les lignes directrices éditées, pour chaque secteur d’activité, par l’Association des industries.
Il doit être souligné que l’adoption d’une politique de protection de la vie privée est purement volontaire de la part de l’entreprise.
La proposition canadienne de transférer à l’organisation de normalisation canadienne- la Canadian standard association- dont l’Afnor remplit, en France, les mêmes fonctions, une partie du rôle de surveillance et de contrôle que nous déléguons en Europe à l’autorité de protection des données. Le souci du respect de la vie privée y est ici traité sur le modèle du contrôle de qualité. Le défenseur de cette formule depuis cinq ans souligne que l’arbitre que serait cet organisme de normalisation pourrait veiller à la conformité de la pratique avec les principes que poseraient aussi bien la loi qu’une privacy policy. L’entreprise supporterait les frais du contrôle, ce qui ne pourrait qu’alléger la charge de l’autorité de protection, permettant ainsi à cette dernière de se consacrer à des études de fond, de prospective. La méthode proposée aurait, du moins il y a quelque temps, séduit le gouvernement fédéral canadien.
Une solution particulière de nature à satisfaire à l’exigence de protection adéquate imposée par la directive européenne : le mécanisme du Safe Harbour (sphère de sécurité).
L’article 25 de la directive européenne dispose que les pays de l’Union sont tenus de veiller à ce que les transferts de données à caractère personnel vers un pays tiers à l’Union n’aient lieu que si le pays en question assure un niveau de protection adéquat. Le texte donne la marche à suivre pour apprécier ce niveau de protection adéquat indiquant que doivent être pris en considération la nature des données, la finalité et la durée du traitement, le pays d’origine et de destination finale, les règles de droit générales ou sectorielles en vigueur dans le pays tiers en cause ainsi que les règles professionnelles et les mesures de sécurité qui y sont respectées.
L’accord qui va prendre la forme d’un échange de lettres entre l’Union et les Etats-Unis admet que le dispositif du Safe Harbour apporte la protection adéquate requise dès lors que les organisations qui s’en prévalent respectent les principes qui nous sont déjà familiers pour les avoir notés dans l’analyse de la solution d’auto-régulation qui a la faveur des Etats-Unis (information, choix, sécurité, intégrité, accès), auxquels s’ajoutent des dispositions particulières pour la cession à des tiers des données elles-mêmes transférées d’Europe, l’entreprise qui a reçu les données d’Europe devant s’assurer que ce tiers souscrit lui-même aux principes du Safe Harbour ainsi que la mise en œuvre de principes de réparation (mécanismes de recours, avec examen des plaintes et attribution de dommages et intérêts en cas de préjudice causé à la personne concernée, procédure de suivi des pratiques des entreprises, sanctions pour les contrevenants). La FTC est impliquée dans la mise en œuvre de ces principes.
L’adoption des principes du Safe Harbour est toujours facultative pour les entreprises américaines. Un Européen saura que telle entreprise a souscrit à ces principes en consultant la liste tenue par le ministère du commerce américain auprès duquel les entreprises doivent “s’auto-certifier”. La mise à jour du site se fera une fois par an.
Ce dispositif doit entrer en vigueur quatre vingt dix jours après la date de la notification de l’accord aux Etats membres. Il sera évalué dans trois ans par la Commission, qui pourra proposer des perfectionnements.
*
**
Cette communication n’a pas d’autre ambition que d’établir un bilan provisoire de la question posée.
Provisoire, il ne peut en être autrement. La matière ici traitée est éminemment évolutive puisque la technologie du silicium, renforcée par la fibre optique, dans laquelle elle s’inscrit commence à nous révéler ses limites et que des recherches se poursuivent soit sur de nouveaux matériaux incluant même le vivant, soit sur d’autres approches, comme la théorie quantique, pour augmenter les performances et la complexité. Internet nous a surpris par sa convivialité, en nous imposant sa fluidité, sa capture indolore de nos échanges, sa liberté, et pourtant, il n’est pas encore tout à fait apprivoisé. D’autres développements imprévisibles aujourd’hui, matériels et surtout logiciels, affecteront plus tard notre rapport avec l’informatique de tous les jours. De nouveaux risques pour la vie privée apparaîtront auxquels il faudra bien trouver de nouvelles réponses.
Les normes et les standards que nous créons maintenant pour nous mettre à l’abri, pensons-nous, seront dépassés, il faudra les remettre sur le métier et en inventer d’autres.
Dans cette course poursuite, il convient de s’arrêter un temps pour se poser la question : les efforts déployés pour protéger la vie privée d’ un usage déréglé de cette technologie s’imposaient-ils ? En d’autres termes, les citoyens exercent-ils les droits que nos sociétés ont pensé devoir imaginer pour les protéger ? Et d’ailleurs, sont-ils informés de ces droits ? et souhaitent-ils vraiment être protégés ? Certes, ils ont l’excuse de se trouver confrontés à des dangers qu’il n’est pas facile de détecter et d’évaluer et il est vrai que, si nous sommes alertés par la presse sur les risques encourus, la pédagogie des précautions et de la réparation est encore, sauf pour des publics restreints, à concevoir. Les études menées jusqu’ici sont très sommaires : elles ne nous informent pas sur l’état d’esprit des internautes. Fallait-il vraiment protéger ? Ne valait-il pas mieux laisser faire et renvoyer les mécontents à la maxime américaine ” Privacy is your business” ?
La société de l’information n’en est qu’à ses débuts. Sur ce dernier point on ne pourra conclure, qu’après étude, et plus tard.