Cet article appartient au dossier : RGPD : quelques mois pour se mettre en conformité !.

Approche transatlantique

Données personnelles aux États-Unis et dans l’UE : vers une convergence des règles de protection ?

La protection des données personnelles aux États-Unis repose sur une philosophie, une organisation et des règles très différentes de celles du droit européen. Cette divergence d’approche pose des problématiques très concrètes, notamment en matière de transfert des données personnelles « européennes » vers les États-Unis. Le nouveau règlement européen marque cependant une avancée vers une convergence entre les deux systèmes de protection.

L'auteur

Revue de l'article

En Europe, la protection des données personnelles constitue un droit fondamental des individus, consacré par la Charte des droits fondamentaux de l’Union européenne. Les États-Unis ont une conception très différente de la protection des données personnelles.

Les spécificités du droit américain en matière de protection des données personnelles

Cette différence tient tout d’abord à l’organisation même du système de droit américain : au niveau fédéral, seules les atteintes portées par le Gouvernement à la vie privée des citoyens sont visées par le Privacy Act [1]. Les autres atteintes à la vie privée et à la protection des données personnelles relèvent de la compétence propre de chaque État et de ses Tribunaux, comme l’a décidé la Cour Suprême dès 1965 [2].

À ces sources disparates s’ajoute le caractère sectoriel des réglementations applicables. Contrairement au droit européen qui regroupe les règles relatives à la protection des données européennes au sein d’un texte unique, le droit américain légifère par secteur d’activités ou catégorie d’individus : le « Fair and Accurate Credit Transactions Act » [3] est applicable en matière d’évaluation du crédit, le « Health Insurance Portability and Accountability Act » [4] concerne le respect de la vie privée des dossiers médicaux, le « Children’s Online Privacy Protection Act » [5] restreint l’utilisation des informations collectées auprès d’enfants âgés de moins de 13 ans par des sites Internet. Les services financiers font quant à eux l’objet d’une loi spécifique, le « Gramm-Leach-Billey Act » [6], qui oblige notamment les institutions financières à publier des avis relatifs à la protection de la vie privée et à fournir des droits d’opposition lorsqu’elles cherchent à divulguer des données à d’autres sociétés.

Il n’existe donc pas de droit général à la protection des données personnelles en droit américain. Au-delà du caractère sectoriel des réglementations et du niveau de protection variable d’un État à l’autre, c’est le consommateur plutôt que les droits fondamentaux de l’individu que le droit américain s’attache à protéger.

Cette conception fondamentalement différente de la protection des données personnelles aux États-Unis se traduit par le recours à la responsabilité extra-contractuelle et à la notion de pratiques déloyales pour sanctionner les atteintes à la Privacy, qui doit ainsi être mise en balance avec l'efficacité des transactions commerciales [7].

Un dialogue nécessaire entre les systèmes européen et américain

Ces divergences ne doivent pas constituer un frein aux échanges, notamment économiques, entre le vieux continent et le nouveau. Les tensions restent toutefois vives comme en atteste la problématique spécifique des transferts de données personnelles de l’Europe vers les États-Unis.

En adoptant le 26 juillet 2000 le « Safe Harbor », les autorités européennes avaient cherché à garantir aux citoyens européens dont les données personnelles sont transférées aux États-Unis un niveau de protection en adéquation avec celui offert par le droit européen. En vertu de ce mécanisme d’auto-certification, les entreprises établies aux États-Unis avaient la possibilité d’adhérer volontairement à un ensemble de principes issus de la Directive UE n° 95/46 du 24 octobre 1995, ce qui permettait aux émetteurs localisés en Europe de leur transmettre des données, sans avoir besoin de l’autorisation préalable d’une autorité de protection des données européenne. Ce mécanisme a toutefois été invalidé par le fameux arrêt « Schrems » de la Cour européenne du 6 octobre 2015 [8], au motif que les autorités publiques américaines pouvaient accéder de manière massive et indifférenciée aux données transférées depuis l’Union européenne, sans qu’une protection juridique soit réellement reconnue aux citoyens européens.

À la suite de cette invalidation, le « Safe Harbor » a été remplacé par un nouvel outil, le « Privacy Shield », qui prévoit notamment un volet commercial nouveau, des engagements sur l'accès par les autorités publiques aux données transférées aux États-Unis, ainsi que la nomination d’un médiateur indépendant (Ombudsperson), chargé d’intervenir dans le cadre des recours des citoyens européens à l’encontre des services de renseignement américains. Sitôt adoptés, les nouveaux engagements du « Privacy Shield » ont cependant été critiqués, notamment par le groupe des régulateurs européens (le G29, organisme qui rassemble les « CNIL » européennes) [9] et des associations de consommateurs, et son évaluation conjointe par les autorités américaines et européennes est d’ores et déjà prévue.

L’amorce d’une convergence entre les systèmes européen et américain

Malgré des divergences qui demeureront manifestement irréductibles, le nouveau règlement européen sur la protection des données personnelles signe l’amorce d’une convergence entre les deux systèmes de protection des données personnelles.

En effet, les concepts d’« accountability » et de « privacy by design », ou encore l’approche par les risques introduite au travers du mécanisme de « PIA [10] », qui mettent l’accent sur la responsabilisation des acteurs, sont directement inspirés des mécanismes de régulation anglo-saxons. Comme aux États-Unis, la CNIL exercera désormais ses contrôles a posteriori et disposera d’un très fort et dissuasif pouvoir de sanction.

La volonté de privilégier une approche sectorielle adaptée aux contraintes et spécificités des grands secteurs de la vie économique semble également se renforcer. Les packs de conformité sectoriels élaborés par la CNIL, notamment le pack conformité Assurance et celui – annoncé mais toujours attendu – relatif au secteur bancaire, en sont une première illustration. Cette « sectorialisation » devrait se poursuivre avec la possibilité prévue par l’article 40 du nouveau règlement européen d’instituer des codes de conduites sectoriels pouvant à la fois viser des secteurs d’activités (catégories de responsables de traitement) et des types de structures (micro et PME).

Des signes de convergence apparaissent également du côté des États-Unis, qui semblent vouloir développer une nouvelle approche de la vie privée, plus proche de la conception européenne [11]. Les mesures adoptées ou proposées par l’administration Obama en attestent, notamment celles visant à imposer des restrictions à l’utilisation des données issues des moteurs de recherche. Le changement d’administration a cependant porté un coup d’arrêt à ces initiatives, les Républicains venant même d’autoriser ces acteurs à collecter, revendre et manipuler les données de leurs utilisateurs sans leur consentement.

En définitive, si la convergence est en marche, le chemin à parcourir reste encore long.

 

[1] http://www.coe.int/t/dghl/standardsetting/dataprotection/National %20law s/USA_SAFE %20HARBOR%20PRIVACY %20PRINCIPLES.pdf.

[2] Griswold c/ Connecticut, 381 U.S. 479 (1965).

[3] Pub. L. No. 108-159, 2003.

[4] Pub. L. No. 104-191.

[5] Pub. L. No. 106-170.

[6] Pub. L. No. 106-102.

[7] C. Castets-Renard, « Quels liens établir avec les US et l’UE en matière de vie privée et de protection des données personnelles ? », Dalloz IP/IT 2016, p. 115.

[8] P.-Y. Berard, « L’invalidation de l’accord “Safe Harbor” entre l’Union « européenne et les États-Unis », Revue Banque n° 789, novembre 2015, p. 84.

[9] https://www.cnil.fr/fr/communique-g29-publication-de-lavis-du-g29-sur-laccord-privacy-shield; http://ec.europa.eu/justice/data-protection/article-29/documentation/opinion-recommendation/files/2016/wp238_en.pdf.

[10] Privacy Impact Assessment ou Etude d’impact sur la vie privée, prévue par le RGPD.

[11] Cf. C. Castets-Renard, op. cit.

 

Sommaire du dossier

RGPD : quelques mois pour se mettre en conformité !

Sur le même sujet