Comparaison des différentes législations sur la protection des données personnelles, par Gavina Gallier, du cabinet Denton Salès Vincent & Thomas

Le développement des services offerts sur l’Internet, et de ce fait la valeur économique accrue des données personnelles, ont renforcé les préoccupations liées à la gestion des fichiers nominatifs commerciaux et son corrélatif la protection des données personnelles. Sur ce point, l’Europe et les Etats-Unis partagent une conception juridique très différente.

Le législateur européen préconise l’intervention des Etats dans la mise en place d’un haut niveau de protection pour le respect de la vie privée des individus érigé en liberté fondamentale. Ainsi, l’Union Européenne a adopté la directive 95/46/CE du 24 octobre 1995 sur la protection des données personnelles et la directive 97/66/CE du 15 décembre 1997 sur la protection de la vie privée dans le secteur des télécommunications, textes qui constituent le socle commun des règles devant être transposées par les Etats membres dans leur législation interne.

Pionnière en ce domaine, la France s’est dotée dès le 6 janvier 1978 d’une loi " Informatique et Liberté " pour protéger les intérêts des citoyens face à une intrusion abusive de l’Etat ou des entreprises dans leur vie privée. Un projet de loi du 18 juillet 2001 visant à transposer la directive européenne de 1995 est déposé et adopté en première lecture à l’Assemblée Nationale le 30 janvier 2002. On constate que ce texte ne bouleverse pas la loi française sur le fond qui est déjà très protectrice par rapport aux autres législations européennes mais tend à prendre en compte le contexte numérique tout en simplifiant, clarifiant et renforçant le régime préexistant.

De l’autre côté de la Manche, la directive européenne de 1997 a été transposée en droit interne deux ans plus tôt dans le " Data Protection Act " qui est entré en vigueur le 1er mars 2000. Ce texte qui actualise le régime de protection des données personnelles instauré par la loi de 1984 a pour objet de développer le principe du respect de la vie privée des individus, la protection des données personnelle et la liberté de l’information. Dans un même temps, il appelle à la transparence des autorités publiques, les responsabilise, et les implique dans la mise en oeuvre d’une bonne pratique de manipulation des informations. Ce texte tend aussi à encourager tant sur le plan national qu’international la réflexion sur la protection des données personnelles et le droit d’accès des individus à l’information.

On ne peut que constater de nombreuses similitudes entre les lois françaises et anglaises. Ces régimes de protection sont organisés autour du principe de finalité de la collecte, du droit à l’information préalable des particuliers, de leur droit d’opposition, d’accès ou de rectification. Ainsi, toutes les exigences de sécurité liées à la conservation des données doivent être mises en oeuvres sous peine d’engager la responsabilité du propriétaire du fichier ; les données personnelles doivent seulement être utilisées lorsque le titulaire de ces données personnelles a clairement consenti à une telle utilisation (l’individu choisit de ne pas utiliser sa faculté de s’opposer à une telle utilisation en cochant la case prévue à cet effet (" opt-out système ")).

C’est le consentement de l’internaute qui constitue l’élément central du régime applicable à la protection des données personnelles en Angleterre, en France à l’instigation de l’Union Européenne.

Le système américain pour sa part ne consacre pas de principe général en matière de protection de la vie privée. D’ailleurs, les acteurs économiques ont toujours été hostiles à l’adoption d’un régime juridique commun et aucun organe de contrôle n’est donc chargé de protéger le citoyen contre les atteintes à sa vie privée. Ainsi, les pouvoirs publics américains, fidèles à leur logique économique et d’investissement, et soutenus en ce sens par nombreux lobbies industriels, ont privilégié les systèmes d’autorégulation pour le traitement de fichiers nominatifs. Par ailleurs, la Constitution fédérale ne consacre pas expressément l’existence du droit à la protection de la vie privée des citoyens, ce droit étant en pratique protégé par les règles propres à la responsabilité civile et par quelques lois sectorielles.
Toutefois, les Etats-Unis ont dû adapter un régime plus protecteur des intérêts des personnes afin de pouvoir être destinataire de données personnelles en provenance de l’Union Européenne (l’article 25 de la directive du 24 octobre 1995 n’autorise en effet les flux transfrontaliers de données personnelles hors Communauté Européenne qu’à la condition que ce transfert soit effectué vers des pays tiers offrant un niveau de protection adéquat). Les impératifs économiques de nombreuses compagnies américaines ayant des intérêts en Europe ont amené le Department of Commerce à élaborer dans un esprit de pragmatisme et de compromis les principes du " Safe Harbor " (littéralement "havre de sécurité" ; "sphère de sécurité" selon les autorités européennes). Ces principes offrent une protection minimale aux titulaires de données personnelles en reprenant les grandes lignes du système européen. Les sociétés américaines pour leur part y souscrivent volontairement et sont de ce fait habilitées à recevoir des données personnelles en provenance des Etats-membres de l’Union européenne. Microsoft Corporation, Hewlett Packard, DoubleClick, Intel ont ainsi adhéré à ce programme afin de faciliter leurs activités avec l’Europe.
Par ailleurs, on observe un rapprochement de la législation américaine de celle de l’Union Européenne sur le sujet. Les parlementaires américains ont en effet récemment (le 18 avril 2002) déposé auprès du Sénat une proposition de loi s’inspirant de la directive européenne sur le traitement des données personnelles et à la protection de la vie privée dans le secteur des communications électroniques, le " Online Personal Privacy Act ". Tout comme la directive européenne, le texte de cette proposition vise à protéger la confidentialité des informations relatives aux internautes et le respect de leur vie privée en ligne. Les entreprises sont tenues de demander l’autorisation des individus avant de collecter et d’exploiter leurs données personnelles. Cette initiative tend à rendre plus transparent les manipulations faites sur les services en ligne et à apaiser les groupes de pression des consommateurs américains mécontents de l’usage qu’ils considèrent abusif de leurs données personnelles.
Force est de constater que les acteurs du marché sont à la recherche d’un consensus économique plus que politique. En effet les défaillances du système d’autorégulation mise en place initialement a affecté la confiance des consommateurs et il appartient maintenant aux acteurs du marché de réhabiliter leurs différents services Internet afin de relancer cet outil de diffusion de leurs produits et services.
Les propos du sénateur Ernst Holling sur ce sujet sont forts judicieux : ce texte va permettre aux entreprises de relancer leur croissance (notamment pour le commerce électronique) en ayant accès à un "nouveau marché de consommateurs consentants" .

Gavina GALLIER
Avocat aux barreaux de Paris et de New York