POSITION
de l'INTERCOLLECTIF DELIS sur
le
SAFE HARBOR
(version
du 17 mars 2000)
Ligue
des Droits de l'Homme
Collectif Informatique, Fichiers et Citoyenneté
Collectif pour les droits des citoyens face à l'informatisation de l'action
sociale
Collectif des associations et des syndicats contre la connexion des fichiers
fiscaux et sociaux
Paris, le 20 mai 2000.
Les associations soussignées, groupées dans l'Intercollectif DELIS (Droits et Libertés face à l'Informatisation de la Société), très attachées à la protection des données personnelles, ont suivi le développement des discussions entre la Commission européenne (DG 15) et le département du commerce américain sur les flux transfrontières de données et la recherche dune solution apportant aux Européens une protection adéquate de leurs données personnelles une fois celles-ci transférées à l'extérieur de l'Union européenne. Elles ont notamment suivi la discussion de la proposition américaine de "Safe Harbor", destinée, dans l'esprit du gouvernement américain, à apporter la "protection adéquate" exigée par l'article 25 de la directive 95/46 relative à la protection des données personnelles des personnes physiques.
Elles souhaitent manifester leur inquiétude devant ce que la presse a qualifié d'accord entre les deux parties et insistent auprès des autorités européennes investies de compétences politiques, pour qu'un accord final prenne en compte un certain nombre de garanties pour les droits des personnes.
Elles relèvent différents points dans l'échange de textes du 17 mars 2000 : d'une part le caractère volontaire de l'adhésion pour les entreprises américaines au Safe Harbor, ( Quelles entreprises ? Pour combien de temps ? Comment les personnes privées seront-elles, au moment précis du transfert de leurs données personnelles Outre Atlantique, averties des engagements pris par l'entreprise ?), caractère facultatif qui ne peut que susciter des interrogations chez les personnes et créer un sentiment d'insécurité juridique peu compatible avec le sentiment de confiance tant recherché par le discours officiel pour le succès du commerce électronique ; d'autre part la faiblesse du niveau des droits consentis aux personnes ( information préalable concernant l'utilisation secondaire des données personnelles transmises incluant, en particulier le droit pour les entreprises américaines de faire le négoce des données collectées, et de faire usage des données publiques collectées sur le réseau Internet, étendue du droit d'accès, pour l'heure affaibli par trop de conditions ou d'exceptions, etc...) ; l'imprécision, enfin, des procédures de nature à rendre effectif le dispositif envisagé ("enforcement"), quant à la détermination de la juridiction compétente ou de l'instance indépendante chargée du règlement des différends, la nature des sanctions prévues et les modalités d'un accès pécuniairement non dissuasif au prétoire &
L'intercollectif DELIS estime, qu'à tout le moins, un accord transatlantique sur le transfert des données personnelles, s'appliquant à tous les acteurs, doit être soumis aux conditions suivantes
1- l'accord à intervenir ne peut qu'être limité, pour le moment, au commerce électronique, c'est-à-dire au choix, à la commande et au paiement de l'objet acheté, et exclure les transactions portant sur les données sensibles, en particulier les données de santé ;
2- les données qui seront collectées sur le territoire de l'Union européenne devront respecter les critères des lois nationales, tels qu'ils ont été fixés par la directive 95/46, (collecte loyale des données, caractère adéquat, pertinent et non excessif de ces données au regard de la finalité poursuivie, exactitude de ces données) ;
3- la personne devra bénéficier de l'"opt in" (consentement), lequel sera recueilli en même temps que les données, le silence éventuel de l'intéressé devant être interprété par défaut comme valant refus de consentir et non application de la formule "Qui ne dit mot consent" ;
4- toute mesure ultérieure de loi ou de règlement que viendraient à adopter les États-Unis en la matière, devra, avant son introduction dans le dispositif fixant les droits et obligations des parties de part et d'autre de l'Atlantique, être examinée par l'Union européenne, notamment le groupe de protection des données personnelles créé par l'article 29 de la directive 95/46 précitée, au regard de l'exigence de "protection adéquate" posée par la directive ;
5- tout procédé technique qui serait proposé pour être combiné avec le dispositif juridique, pour aussi utile qu'il soit, ne pourra, par lui-même, être regardé comme compensant avantageusement les défaillances de principe de ce dernier ;
6- tout accord auquel parviendront les États-Unis et l'Union européenne devra faire l'objet d'une application transitoire pendant une période probatoire, que l'Intercollectif fixe à cinq ans, et n'être reconduit qu'après avoit été soumis à une évaluation conjointe des deux parties.
L'Intercollectif DELIS ne peut non plus sous-estimer le risque qu'un régime moins protecteur de la vie privée aux États-Unis qu'en Europe ne soit la cause d'une distorsion de concurrence pesant au détriment des entreprises européennes face à leurs homologues américaines, conduisant ainsi les premières à réclamer le bénéfice du régime accordé aux secondes, et compromettant par là l'ensemble de l'édifice de la protection des données personnelles que l'Europe a prétendu bâtir, pour l'encadrement du secteur privé, en alignant ce dernier sur le secteur public. C'est alors, de proche en proche, l'ensemble du dispositif de protection de la vie privée voulu par la directive cadre européenne qui pourrait se trouver mis à mal. Après avoir, au prix de plusieurs années de travail, rempli une mission d'harmonisation des législations européennes en ce domaine, l'Union européenne,- Instances politiques communautaires et États membres -, ne peut permettre que cette construction, à peine achevée, ne soit minée par les effets d'un accord avec les États Unis qui échoue à faire respecter par tous les acteurs les principes de protection de la vie privée et des libertés fondamentales.