Analyse
de la position européenne concernant le Safe Harbor
(17
mars 2000).
Ligue
des Droits de l'Homme
Collectif Informatique, Fichiers et Citoyenneté
Collectif pour les droits des citoyens face à l'informatisation de l'action
sociale
Collectif des associations et des syndicats contre la connexion des fichiers
fiscaux et sociaux
Il s'agit d'apprécier si
le Safe Harbor offre aux européens dont les données sont transférées Outre Atlantique
pour une raison quelconque (transmissions de fichiers de clients ou de salariés,
essentiellement des ingénieurs et cadres, par des sociétés multinationales,
transferts de données concernant les internautes à l'occasion de transactions
sur Internet) "la protection adéquate" prévue à l'article 25-1
de la directive cadre européenne du 24 octobre 1995 relative à la protection
des personnes physiques à l'égard du traitement des données à caractére personnel
et à la libre circulation de ces données.
A. Retour en arriére
:
Deux espaces internationaux
: l'Europe et les États tiers.
Pour ce qui est de
l'Europe. Il y a deux Europe, celle du Conseil de l'Europe, celle de
l'Union européenne.
1-1-l'Europe du Conseil
de l'Europe et la convention 108 du 28 janvier 1981 pour la protection des
personnes à l'égard du traitement automatisé des données à caractère personnel.
Ouvert à l'adhésion des
pays européens (Europe au sens large).
- concerne
toutes les personnes vivant sur le territoire d'un État ayant adhéré à la convention,
et pas seulement les nationaux de ces États ;
- ne s'applique
qu'aux fichiers informatisés ;
- au moment
de leur adhésion, les États ont la faculté de déclarer soit qu'ils appliqueront
la convention aussi aux fichiers manuels, soit au contraire qu'ils ne l'appliqueront
qu'à certains seulement des fichiers automatisés, -donc une grande souplesse- ;
- la convention
fixe un socle de garanties sur la qualité des données, sur une protection particulière
pour les données sensibles, sur la sécurité, sur le droit d'information, le
droit d'accès et de rectification ;
-des dérogations
aux principes sont acceptées, mais elles doivent être prévues par la loi et
constituer une mesure nécessaire dans une société démocratique ;
- des sanctions
et recours sont prévus ;
- les États
signataires sont obligés de prendre une loi qui reprend ces principes
;
- des États
qui ne sont pas membres du Conseil de l'Europe peuvent adhérer à la convention,
sur invitation du comité des ministres.
Une clause, c'est ce qui
nous intéresse ici, concerne "les flux transfrontières de données" (art.12).
Elle concerne les transferts à l'intérieur de l'espace européen. Toute la doctrine
considère qu'à partir du moment où un État a ratifié la convention et qu'il
a introduit dans son droit interne les mesures nécessaires pour donner effet
aux principes de base pour la protection des données énoncés par la convention,
il est regardé comme appliquant la convention 108. C'est par le cumul des adhésions
à la convention et l'adoption de lois nationales que se construit un espace
européen dans lequel les personnes vivant sur cet espace bénéficient d'une protection
équivalente quant au traitement de leurs données personnelles.
La conséquence en est que une partieà la convention " ne peut pas, aux
seules fins de la protection de la vie privée, interdire ou soumettre à une
autorisation spéciale les flux transfrontières de données à caractère personnel
à destination du territoire d'une autre partie ".
Le Conseil de l'Europe et
la convention 108 ne traitent pas les flux transfrontières de données avec des
États non membres du Conseil de l'Europe. À ces derniers, il offre une possibilité
d'adhésion à la convention 108. En dehors de cette procédure, il est admis que
des transferts de données peuvent être bloqués.
C'est ce problème que va
tenter de résoudre la directive européenne 95/46 du 24 octobre 1995.
1.2 L'Union européenne
On n'insistera pas ici sur
tout ce qu'apporte la directive par rapport au texte du Conseil de l'Europe
: plus de précision, de nouveaux droits (pour encadrer par exemple la décision
automatique, l'application du texte aux fichiers manuels), une autorité nationale
indépendante pour surveiller l'application de la loi, de sorte que le paradigme
européen est désormais bien fixé : une loi, une autorité indépendante pour veiller
à l'application de la loi. Texte beaucoup plus complexe, inspiré par 14 années
de pratiques.
Mais, surtout, une plus
grande attention apportée aux pays tiers à l'Union européenne et aux flux transfrontières
avec ces États. Ce sont les articles 25 et 26 de la directive.
La directive ne retient
pas l'expression de protection équivalente, qui avait été initialement proposée,
s'en tenant à une "protection adéquate", ce qui est moins fort. Elle donne la
méthode pour apprécier la protection adéquate (art.25-2). : "Le caractère adéquat
du niveau de protection offert par un pays tiers s'apprécie au regard de toutes
les circonstances relatives à un transfert ou à une catégorie de transferts
de données ; en particulier, sont prises en considération la nature des données,
la finalité et la durée du ou des traitements envisagés, les pays d'origine
et de destination finale, les règles de droit générales ou sectorielles, en
vigueur dans le pays tiers en cause, ainsi que les règles professionnelles et
les mesures de sécurité qui y sont respectées".
Un certain nombre de cas
particuliers, au nombre de 6, sont listés dans l'art. 26-1 qui permettent d'autoriser
un flux transfrontières de données même si la protection adéquate n'est pas
assurée, cas particuliers qu'on énumère rapidement : consentement indubitable
de la personne au transfert de ses données ; données nécessaires à l'exécution
d'un contrat ou d'une mesure précontractuelle, si la personne le demande ;
transfert nécessaire à la conclusion ou l'exécution d'un contrat dans l'intérêt
de la personne ; transfert nécessaire à la sauvegarde d'un intérêt public
important ou pour l'exercice d'un droit en justice ; transfert nécessaire à
la sauvegarde de l'intérêt vital de la personne concernée ; transfert de
données en provenance d'un registre public. Inventaire à la Prévert, se sont
amusés certains. Ensemble de dérogations tellement nombreuses et variées qu'en
réalité elles finissent par vider de son contenu le principe de la "protection
adéquate", se sont indignés d'autres observateurs... L'art. 26-2 prévoit enfin
que des garanties suffisantes puissent être apportées par des clauses contractuelles.
Le groupe dit de l'article
29 de la directive, composé de représentants des autorités de contrôle européennes,
type CNIL, a, en prévision de négociations avec les États-Unis, examiné avec
un sérieux que les observateurs ont tous souligné, différentes formules. Il
n'a pas pensé que, sauf en de rares circonstances, la formule du contrat, pourtant
avancée par la Chambre internationale du Commerce, était très opératoire. Il
a procédé à une étude de cas, essentiellement basée sur des dispositions de
lois nationales, imaginaires ou réelles. Mais assez vite, il s'est trouvé confronté
à une position ferme des États-Unis en faveur d'une protection apportée par
une formule globale de self regulation, éventuellement combinée avec une solution
technique ; la dernière proposition de nature technique est connue sous
le nom de P3P (Platform for Privacy Preferences), à laquelle travaille encore
J.F. Abramatic, une démonstration du logiciel étant prévue à la conférence de
mai 2000 du 3WC d'Amsterdam. A priori, l'Europe pense que les droits des personnes
ne sont garantis que par la loi, encore que sur le chapitre de la protection
des données comme sur d �autres, une partie des Européens (Anglo-Saxons, Nordiques)
sont ralliés à la self regulation. De leur côté, certaines associations de citoyens
américains (EPIC, CPSR, CDT), souhaitent que les États-Unis se dotent d'une
législation de protection des données et soulignent que la self regulation n'assure
pas un niveau de garantie suffisant. Ces associations ont suivi de très près,
on y reviendra plus tard, les négociations entre les États-Unis et l'Europe.
B. Étude de la proposition
américaine sur le Safe harbour et des réponses de la Commission européenne.
Documentation : une dizaine
de documents ont été réunis dont l'ensemble représente près d'une centaine de
pages, essentiellement en consultant le site de la Commission européenne ou
celui du Département au commerce des États-Unis.
La liste de ces documents
va de la saisine du département au commerce en nov. 1998 (doc. 1A à C), jusqu'aux
documents du 17 mars 2000, brièvement publiés sur le site du même département
(documents 8 et 9). Ce sont ces deux derniers documents qu'à la date de ce jour,
il convient d'évaluer. On a rajouté (doc.11) les observations du Transatlantic
Consumer Dialog, dont l'existence a été connue grâce au Privacy Rights Clearing
House de San Diego.
Observations liminaires
de méthode :
- les documents du 17 mars
ne représentent pas un accord ou un pré accord qui aurait été signé par les
2 parties que sont l'Union européenne et les États-Unis. En effet, dès le début,
les deux parties sont tombées d'accord sur le schéma suivant : deux décisions
unilatérales signées séparément par les parties, chacune pour sa part ; méthode
fort originale, peut-être opportune, mais dont on voit bien qu'elle n'engage
les parties qu'à demi, tant des réserves d'interprétation divergentes peuvent
se glisser entre les deux versions exprimant sur le même sujet le point de vue
de chacune d'elles. Avec cette méthode, nous devrions avoir un ou des documents
américains et un ou des documents européens. Or, si les premiers ont été accessibles,
les seconds manquent. On admettra toutefois, pour ne pas compliquer notre tâche,
que le ou les documents européens existent, sous forme d'une lettre du directeur
général de la DG XV, puisque cette lettre est mentionnée dans la première page
du document 8.
- à cette originalité de
méthode, s'ajoute un malentendu, qui est le suivant : le Commissaire européen
chargé du dossier, pour le compte duquel travaille la DG XV et dont le directeur
général négociait avec le représentant du DOC a laissé dire par son porte-parole
que l'Europe et les États-Unis étaient parvenus à un accord, et d'ailleurs tant
à la commission européenne que dans la presse française, (Cf. La Tribune du
18 avril 2000) on s'est, en effet, laissé aller à parler d'accord. Ce point
a été redressé, car l'étape accomplie jusqu'en mars, est celle des négociateurs ;
n'est alors achevée que la phase technique. Les instances politiques doivent
encore se prononcer (le Congrès aux États-Unis, le Parlement européen et les
ministres européens. A noter qu'une majorité qualifiée, et non l'unanimité,
suffira au conseil des ministres européens. Des États européens, selon la rumeur,
seraient hostiles au texte et chercheraient à constituer une minorité de blocage).
- les textes à examiner
comportent deux volets : des principes d'une part, les FAQs d'autre part. Les
FAQs ont été introduits par l'émissaire américain dès novembre 1998, mais leur
étude s'est étirée sur 8 mois, englobant des allers et retours avec le DOC américain.Ce
sont des textes ayant valeur interprétative sur des points particuliers (Cf.
La liste des 15 FAQs).
Du côté de l'Europe, l'examen
se fait au moins en deux temps, impliquant, dans un rôle de conseil technique,
le groupe de protection des personnes de l'article 29 de la directive, puis
le comité restreint, représentant les ministres, prévu à l'article 31 de la
directive, qui a une approche politique. Le groupe de l'article 29 s'est réuni
4 à 5 fois entre décembre 1998 et décembre 1999. Celui de l'article 31 s'est
réuni plusieurs fois en mars.
- pour en terminer enfin
avec la méthode, l'information a circulé selon laquelle, lorsque le Safe Harbor
serait approuvé et signé par les deux parties, les textes seraient joints en
annexe au texte de la directive, faisant ainsi en quelque sorte école. On ne
voit pas comment ce qui aurait été accepté pour les États-Unis ne viendrait
pas à être revendiqué par d'autres États.
*** Une première question
de fond ne peut être évitée :
- le principe
du SH est le suivant : le SH s'exprime par un ensemble de principes censés garantir
le respect de la vie privée et des libertés individuelles. C'est, sous l'image
du port d'attache où l'on se sent en sécurité, une sorte de référentiel, constitué
en l'occurrence par les principes généraux de la lettre du DOC et les interprétations
des FAQs.
- les entreprises
américaines y adhèrent sur la base du volontariat. Elles peuvent, de
même, s'en retirer à leur gré.
Cette observation, et elle
seule, suffit à montrer qu'il s'agit clairement d'un montage de self-regulation.
En d'autres termes, la source du droit n'est pas- et on ne peut ici renoncer
à citer de nouveau les termes utiles de l'article 25-2 qui pose les critères
de la "protection adéquate",- dans les "règles de droit, générales ou sectorielles,
en vigueur dans le pays tiers en cause, ainsi que les règles professionnelles...
qui y sont respectées". Pas davantage ce système ne trouve sa source dans le
contrat, puisqu'il ne fait l'objet d'aucune négociation avec l'autre partie
contractante qui est la personne concernée. La source du droit n'est que dans
le bon vouloir de l'entreprise. Ce bon vouloir est imposé par l'entreprise à
la personne privée.
A l'évidence, nous sommes
avec le SH en dehors des articles 25 et 26 de la directive. Et nous devons nous
demander si, en acceptant le SH, nous ne ruinons pas les bases de la directive
sur la protection adéquate et même si nous sommes autorisés à le faire ? A plus
forte raison n'est-il pas opportun de souligner ce fait en prévoyant de joindre
le texte du SH à la directive.
Non seulement l'insécurité
juridique d'une telle solution ne peut, pour les personnes, créer les conditions
de la confiance, tant recherchée pour le développement du commerce électronique,
ainsi que nous le martèlent et les gouvernements et les entreprises.
En outre, il n'est guère
possible de sous-estimer le risque qu'un régime moins protecteur de la vie privée
toléré au bénéfice des entreprises américaines par rapport à ce qui est exigé
des entreprises européennes ne conduise à une distorsion de concurrence préjudiciable
aux entreprises européennes. Ces dernières pourraient faire pression pour obtenir
le bénéfice de ces clauses, et c'est, par une sorte de réaction en chaîne, l'ensemble
de la protection des données en Europe, y compris, par contamination, celle
du secteur public, qui viendrait à se lézarder. Plus encore, si le SH était
accepté pour d'autres aires géographiques,- les États-Unis ont le moyen d'imposer
leur modèle ailleurs, l'Europe pourrait finir par se trouver complètement isolée
dans le monde.
*** Les autres
questions ne seront donc abordées que subsidiairement.
Et d'abord, l'absence de
précisions sur les mécanismes de mise en vigueur,- "enforcement"-, est
des plus préoccupantes. Il semble que la FTC (Federal Trade Commission-, puisse
jouer un rôle non négligeable de contrôle, notamment pour tenir à jour la liste
des entreprises qui auront adhéré au SH ; mais cette inscription signifiera-t-elle
qu'avant de les inscrire la FTC aura vérifié que les entreprises postulantes
à l'immatriculation dans le SH respectent effectivement les principes auxquels
elles se seront engagées à se soumettre ? Ce contrôle aura-t-il un caractère
permanent et quelles seront les sanctions en cas de non respect et comment les
consommateurs, les citoyens, seront-ils avisés ? Ou bien, va-t-on se contenter
d'une déclaration des entreprises ?
En dehors du contrôle, la
FTC sera-t-elle disposée à traiter les plaintes des personnes, comme le font
en Europe les autorités de protection des données ?
Dernier point : la compétence
de la FTC s'étend-elle à toutes natures de données, y compris aux données de
santé, qui bénéficient, en France tout au moins d'une protection toute particulière,
ainsi qu'à d'autres données sensibles, comme les données relatives aux opinions
politiques, à l'ethnie, aux moeurs, aux données relatives à l'intimité de la
vie privée dans ses composantes psychiques et sociales ? La même remarque vaut
pour les données concernant les situations des salariés dans l'entreprise, bien
que de telles données ne soient pas rangées dans les données sensibles. Si la
réponse devait, après instruction, être négative, il est clair que le SH ne
pourrait pas être validé pour de telles données. Quels sont les autres "statuory,
regulatory, adminsitrative or other body of law", mentionnés à la fin de la
première page du "draft", ou les "other relevant government body", selon l'expression
figurant tout à la fin de ce même document, que les États-Unis ont en tête ?
*** Enfin, pour
en terminer sur le fond des droits reconnus aux personnes, il y a lieu
de relever que certains FAQs prévoient des dérogations aux droits d'information,
de choix et d'accès qui sont inacceptables, notamment pour les données rendues
publiques, par voie d'annuaires, de registres, de bases de données mises à disposition
sur les réseaux. Et que dire des données collectées dans les espaces publics
d'Internet (adresses e mail, noms, etc.) lesquelles peuvent être collectées
et traitées à l'insu des intéressés ?
Or, d'une manière générale,
c'est le droit de s'opposer qui est retenu par le SH, et non le consentement,
-en d'autres termes, l'"opt out" et non l'"opt in"-, alors que le consentement
serait plus approprié pour protéger des données qui, une fois transférées Outre-
Atlantique, ne bénéficieront plus que de solutions de self-regulation. Ou, si
l'on préfère, la faiblesse du dispositif juridique de self regulation devrait
être compensé, en équité, par la mesure la plus protectrice au plan individuel,
c'est-à-dire l'opt in. Cette contre-proposition s'impose, semble-t-il, d'elle
même, pour la vente des données personnelles qui est devenu un négoce très lucratif
aux États-Unis. Elle doit pouvoir s'étendre à d'autres situations. Ceci implique
une information claire de la personne et un recueil de l'opt in au moment de
la saisie de ses données par l'internaute.
*** De toutes
ces observations, il résulte que la proposition américaine de SH, si elle devait
être retenue dans son principe, exige encore des améliorations substantielles.
Les instances politiques ont cette responsabilité. Il paraît au surplus nécessaire
de revoir cet accord aprés cinq années de fonctionnement.
*** Disons un
mot de la protestation du TACD
Selon le
dernier document dont nous disposons, (doc 11 du 30 mars 2000), le TACD s'est
exprimé 3 fois.
Sur l'état
des textes mis au point le 17 mars, le TACD fait les observations suivantes
:
- self regulation
ne peut pas procurer aux Européens une "protection adéquate". D'ailleurs, aux
États-Unis, la formule ne marche pas.
- le mécanisme
d'enforcement doit être sérieusement renforcé et clarifié : le statut du SH
ne doit pas être accordé sans vérification préalable que l'entreprise qui le
réclame satisfait aux principes du SH. Cette vérification doit être conduite
par un organisme indépendant. Les plaintes des personnes doivent pouvoir être
traitées. Les personnes lésées doivent pouvoir recevoir des dommages intérêts
et les entreprises doivent pouvoir être sanctionnées. La déclaration de SH doit
être obligatoire. Les entreprises doivent être soumises à des contrôles périodiques
pour s'assurer qu'elles respectent les standards du SH.
- l'information
doit être préalable, y compris pour la transmission des données à des tiers.
- les intéressés
doivent avoir le droit de s'opposer à la divulgation de leurs données à des
tiers. La notion de "données sensibles" doit être comprise très largement.
- le droit
d'accès et de rectification ne doit pas être restreint par des exceptions.
- les transferts
de données en dehors du SH, c'est-à-dire à des entreprises qui n'ont pas souscrit
aux principes du SH, doit être interdit.
- la finalité
du traitement doit être précisée avant la collecte, de manière que le caractère
pertinent, adéquat et non excessif soit évalué par rapport à la finalité ainsi
que les destinataires des transferts de données personnelles.
- les personnes
doivent pouvoir refuser que leurs données ne soient transmises à des tiers,
sans représailles de la part des maîtres de fichiers.
Enfin, le TACD demande à
revoir le projet du prochain texte, avant son approbation finale.
De toute manière, en cas
d'accord entre les parties, celui-ci devrait avoir une durée limitée.
Louise CADOUX
- Paris, le 11 mai 2000