L’autorégulation, régime USA de protection des données personnelles

By 8 November 2012

C- Une grande diversité des régimes nationaux

En matière de protection des données personnelles, une grande diversité des régimes nationaux apparaît. Actuellement, le régime le plus complète, et le plus strict, est le régime communautaire. Il en est autrement aux Etats Unis, où le système de l’autorégulation est la règle (1). Au contraire, le système de la régulation législative est prédominant dans les Etats européens (2).

1- L’autorégulation : l’exemple des Etats Unis.

Aux Etats Unis, la politique du « laissez-faire » prévaut. L’intervention de l’Etat fédéral et des Etats fédérés ne se manifeste qu’au second plan. La priorité est donnée à l’autorégulation par les acteurs eux-mêmes; ce n’est que lorsque cette autorégulation se révèle insuffisante, que les autorités publiques interviennent. Cependant, quelques tentatives de normalisation dans le domaine de la protection de la vie privée (et par extension des données personnelles), ont eu lieu. Il s’agit des lois fédérales suivantes : la Privacy Act de 1974, la Computer Matching and Privacy Protection Act de 1988 et la US Computer Security Act de 1987. Cette dernière donne à l’Institut National des Normes et de la Technologie (National Institute of Standards and Technology, NIST) l’autorité de développer des normes, des lignes de conduite et des procédures dans le cadre des systèmes informatiques.

L’autorégulation prend deux formes distinctes :
– la première prend la forme de pages spéciales contenant des clauses précises ou exposant la « Privacy policy », qui sont accessibles en cliquant sur une rubrique spéciale en bas de la page d’accueil du site. Il faut néanmoins noter que, si ces « Privacy policies » sont dépourvues d’obligations proprement juridiques, elles engagent une véritable responsabilité de marché, dont la sanction est plutôt économique231.
– la seconde consiste en la création d’organismes privés délivrant un label aux portails ou sites d’entreprises qui se sont engagés à respecter une charte contenant notamment des règles de protection des données personnelles. Cette pratique s’est généralisée et trouve des manifestations en France également232. En effet, la Commission des finances a proposé la création d’un organisme lié à la Banque de France, l’Observatoire de la sécurité des cartes de paiement, qui apposerait un label de qualité sur les sites marchands les mieux sécurisés233

La pratique des « Privacy policy » a été critiquée, notamment par des auteurs français. Selon Philippe Lemoine234, « les enjeux soulevés par le commerce électronique sont bien des enjeux de libertés, publiques ou privées, et ne se résument pas à des questions de privacy ». La politique de la privacy est ambiguë et peut facilement être ignorée devant les intérêts financiers des auteurs concernés.

Cette pratique de l’autorégulation a été estimé comme insuffisante par la Commission européenne, et selon la directive communautaire 95/46/CE, le transfert des données vers les Etats Unis serait interdit. Cette interdiction serait catastrophique pour le commerce entre l’Union Européenne et les Etats Unis. Ayant pris conscience du sérieux du problème, ils ont engagé des négociations en vue d’établir un système dérogatoire, mais qui protégerait suffisamment la vie privée et les données personnelles. Les négociations, qui ont duré de mars à juillet 2000, ont aboutit à l’Accord « Safe Harbor »235. La Section 5 de l’Accord prévoit que pour que la violation de la vie privée entre dans le domaine de l’accord Safe Harbour, elle doit correspondre à l’une des deux hypothèses suivantes:
– la pratique frauduleuse est une présentation, une omission ou une pratique susceptible d’induire en erreur les consommateurs;
– la pratique déloyale cause, ou elle est susceptible de causer, aux consommateurs un préjudice grave qui ne peut être raisonnablement évité et qui n’est pas compensé par des avantages pour les consommateurs ou la concurrence.

L’organe compétent est la Federal Trade Commission. Ne relèvent pas de la compétence de la FTC les banques, les entreprises financières d’épargne et de prêt et les coopératives de crédit. Ceci pose problème quant à la protection des données bancaires des clients.

L’Accord Safe Harbor reprend les exigences d’information de la directive communautaire et énonce huit principes :
– le principe de l’information : les entreprises soumises à l’Accord doivent notifier aux internautes la raison pour laquelle elles collectent les informations. Elles doivent prévoir également une procédure d’examen des réclamations;
– le principe de la liberté de choix 236;
– le principe du respect des règles de l’Accord par les tierces personnes. A priori en matière de données bancaires, un transfert n’est pas possible, sinon l’entreprise commettrait une infraction pénale. Mais, cela consisterait à nier la réalité des affaires. En effet, la seule hypothèse envisageable de transfert de ces données à une tierce personne serait lors d’un rachat ou de fusion d’entreprises. Dans cette hypothèse, les clients de l’entreprise A absorbée par l’entreprise B, deviennent les clients de cette dernière.
– le principe du droit d’accès et de rectification;
– le principe de l’intégrité des données;
– le principe de la sécurité des données;
– la mise en place de procédures de recours et de règlement des litiges.

Une entreprise, qui veut s’inscrire sur la liste de Safe Harbor, doit notifier au Department of Commerce son intention d’adhérer aux principes de l’Accord. Cette procédure est volontariste et pas obligatoire. De la même manière, l’entreprise qui veut quitter la liste doit simplement notifier sa décision au même service. La liste sera réactualisée tous les ans.

L’entreprise qui viole de manière constante les règles de l’Accord, ne pourra plus bénéficier des avantages que celui-ci procure. En plus, si elle ne notifie pas à la FTC son intention de ne plus appliquer ces règles, l’entreprise sera condamnée en application du False Statements Act (18 U.S.C. §1001).

Lire le mémoire complet ==> (La sécurité des paiements internationaux par Internet)
Mémoire pour l’obtention de DEA

______________________________________________
231 Il est intéressant de signaler l’affaire « Double-Click ». En janvier 2000, la société américaine Double-Click- DBC a été poursuivie devant une Cour de Californie par un consommateur pour violation des engagements inclus dans sa propre « privacy policy ». La Fondation APIC (fondation pour la défense de la vie privée) a porté plainte auprès de la Federal Trade Commission. L’affaire débute lorsque DBC a acquis la firme Abacus, un important opérateur de marketing direct qui collecte des données comportant des identités. La société elle même enregistre sur son site les consultations de ses clients, leurs achats, par le moyen de cookies, sauf si les clients les ont refusés. Elle ne nie pas son intention de croiser ses banques de données avec celles de la société qu’elle a acquis. La FTC a décidé de créer un comité spécial pour étudier et apprécier les politiques privées des entreprises, et en faire un rapport public.
232 Concernant les initiatives privées, nous pouvons citer notamment le label Ernst & Young. Voir Annexe VI : Interview avec Thierry Autret.
233 Rapport d’information sur la sécurité des cartes bancaires, présenté le 11 juillet 2001. Le rapporteur, M. Brard, a souligné, en outre, qu’ « il conviendrait, en outre, d’inciter les compagnies d’assurance à diminuer les primes demandées aux entreprises investissant dans les dispositifs de sécurisation ». Source : http://www.assemblée-nationale.fr/cr-cfiab/00-01/cr0001061.asp
234 Voir son article « Commerce électronique, marketing et liberté », in « La protection de la vie privée dans la société d’information » tome 2, cahier des sciences morales et politiques, p.9 et s.
235 Décision de la Commission du 27 juillet 2000 et texte américain du 21 juillet 2000. Voir notamment le site du Ministère du Commerce américain : http://www.export.gov/safeharbor
236 Les internautes doivent pouvoir choisir si les informations les concernant peuvent être communiquées ou non à des tierces personnes. Les données bancaires ou relatives en général au paiement ne sont pas visées par ce choix.