En Europe, la protection des données personnelles constitue un droit fondamental des individus, consacré par la Charte des droits fondamentaux de l’Union européenne. Les États-Unis ont une conception très différente de la protection des données personnelles.
Les spécificités du droit américain en matière de protection des données personnelles
Cette différence tient tout d’abord à l’organisation même du système de droit américain : au niveau fédéral, seules les atteintes portées par le Gouvernement à la vie privée des citoyens sont visées par le Privacy
À ces sources disparates s’ajoute le caractère sectoriel des réglementations applicables. Contrairement au droit européen qui regroupe les règles relatives à la protection des données européennes au sein d’un texte unique, le droit américain légifère par secteur d’activités ou catégorie d’individus : le « Fair and Accurate Credit Transactions Act »
Il n’existe donc pas de droit général à la protection des données personnelles en droit américain. Au-delà du caractère sectoriel des réglementations et du niveau de protection variable d’un État à l’autre, c’est le consommateur plutôt que les droits fondamentaux de l’individu que le droit américain s’attache à protéger.
Cette conception fondamentalement différente de la protection des données personnelles aux États-Unis se traduit par le recours à la responsabilité extra-contractuelle et à la notion de pratiques déloyales pour sanctionner les atteintes à la Privacy, qui doit ainsi être mise en balance avec l'efficacité des transactions
Un dialogue nécessaire entre les systèmes européen et américain
Ces divergences ne doivent pas constituer un frein aux échanges, notamment économiques, entre le vieux continent et le nouveau. Les tensions restent toutefois vives comme en atteste la problématique spécifique des transferts de données personnelles de l’Europe vers les États-Unis.
En adoptant le 26 juillet 2000 le « Safe Harbor », les autorités européennes avaient cherché à garantir aux citoyens européens dont les données personnelles sont transférées aux États-Unis un niveau de protection en adéquation avec celui offert par le droit européen. En vertu de ce mécanisme d’auto-certification, les entreprises établies aux États-Unis avaient la possibilité d’adhérer volontairement à un ensemble de principes issus de la Directive UE n° 95/46 du 24 octobre 1995, ce qui permettait aux émetteurs localisés en Europe de leur transmettre des données, sans avoir besoin de l’autorisation préalable d’une autorité de protection des données européenne. Ce mécanisme a toutefois été invalidé par le fameux arrêt « Schrems » de la Cour européenne du 6 octobre
À la suite de cette invalidation, le « Safe Harbor » a été remplacé par un nouvel outil, le « Privacy Shield », qui prévoit notamment un volet commercial nouveau, des engagements sur l'accès par les autorités publiques aux données transférées aux États-Unis, ainsi que la nomination d’un médiateur indépendant (Ombudsperson), chargé d’intervenir dans le cadre des recours des citoyens européens à l’encontre des services de renseignement américains. Sitôt adoptés, les nouveaux engagements du « Privacy Shield » ont cependant été critiqués, notamment par le groupe des régulateurs européens (le G29, organisme qui rassemble les « CNIL »
L’amorce d’une convergence entre les systèmes européen et américain
Malgré des divergences qui demeureront manifestement irréductibles, le nouveau règlement européen sur la protection des données personnelles signe l’amorce d’une convergence entre les deux systèmes de protection des données personnelles.
En effet, les concepts d’« accountability » et de « privacy by design », ou encore l’approche par les risques introduite au travers du mécanisme de
La volonté de privilégier une approche sectorielle adaptée aux contraintes et spécificités des grands secteurs de la vie économique semble également se renforcer. Les packs de conformité sectoriels élaborés par la CNIL, notamment le pack conformité Assurance et celui – annoncé mais toujours attendu – relatif au secteur bancaire, en sont une première illustration. Cette « sectorialisation » devrait se poursuivre avec la possibilité prévue par l’article 40 du nouveau règlement européen d’instituer des codes de conduites sectoriels pouvant à la fois viser des secteurs d’activités (catégories de responsables de traitement) et des types de structures (micro et PME).
Des signes de convergence apparaissent également du côté des États-Unis, qui semblent vouloir développer une nouvelle approche de la vie privée, plus proche de la conception
En définitive, si la convergence est en marche, le chemin à parcourir reste encore long.