Francoise Moreau on Thu, 18 May 2000 15:11:03 +0200 (CEST)


[Date Prev] [Date Next] [Thread Prev] [Thread Next] [Date Index] [Thread Index]

[nettime-fr] donnees nominatives


Négociation transatlantique sur la protection des données personnelles

Les négociations entre l’Europe et les Etats-Unis sur la protection des
données
personnelles pourraient être en passe d’aboutir. Ces négociations portent sur
l’usage des données nominatives collectées par tous moyens: gestion d’un
service (crédit, assurance, emploi, …), questionnaires, enquêtes, … et sur les
droits des personnes dont les données sont collectées, avec leur consentement
ou à leur insu.
Une date limite, fixée au 31 mars, a été repoussée, faute d’accord sur un
minimum de règles: information des personnes sur l’identité des responsables
auxquels les données sont transmises, accès aux données les concernant
(considéré trop coûteux), recours efficace à une autorité de contrôle en cas
d’atteinte à la vie privée, sanctions dissuasives, …
Mais dans le contexte de la mondialisation économique et en l’absence de débat
public, l’accord pourrait être conclu en l’état. Or, dans le débat sur la
liberté individuelle concédée au bénéfice de la consommation, il semble que
l’individu soit le premier concerné.
Travaillant sur ces questions depuis quelques années et dans l’urgence
conjoncturelle, je présente ci-dessous l’adresse des sites concernés dans la
négociation ainsi que mon dernier texte qui offre un certain nombre d’éléments
pouvant alimenter le débat.

Adresse du dernier texte de la Commission européenne sur la négociation: 
http://europa.eu.int/comm/internal_market/fr/media/dataprot/news/harbor4.htm
Adresse des derniers textes du côté des  Etats-Unis: 
http://www.ita.doc.gov/td/ecom/menu1.html
Adresse d’associations intéressées 
http://www.epic.org
http://www.tacd.org/press_releases/state300300.html

Origines et implications 
des négociations transatlantiques 
sur le commerce des données nominatives

Pour réduire leurs coûts et leurs risques, les entreprises sont contraintes de
mieux cibler leurs offres. Le marketing de masse qui propose ses produits et
services à l'ensemble de la population est remplacé au début des années
soixante-dix par le marketing segmenté qui propose un produit au groupe de
population le plus approprié de par ses caractéristiques socio-démographiques.
Quelques années plus tard, celui-ci est remplacé à son tour par le marketing
individualisé qui propose ses messages ciblés sur le profil de l'individu,
défini par ses caractéristiques physiques, sociales, psychologiques ...
Législation et progrès techniques évoluent de concert. 
Les Etats-Unis ont développé le commerce des données locales, puis celui des
données nominatives. Ce dernier est exporté en France et en Europe en 1995
malgré le cadre législatif qui avait jusque là entravé son développement. Les
négociations entre l'Europe et les Etats-Unis sur le commerce des données
personnelles se déroulent aujourd'hui dans le cadre des lois adoptées dans le
courant des années soixante-dix, période où s'était développée l'informatique.
Elles cherchent à concilier la culture américaine qui favorise le secteur
privé
de l'information et la culture européenne attachée à la protection de la vie
privée.


1  Réglementations et techniques mises en œuvre en France et aux Etats-Unis
Les technologies développées aux Etats-Unis favorisent le développement du
secteur privé de l'information. Les réglementations adoptées en France ont
retardé la diffusion des techniques de traitement des données personnelles.

1.1  Les législations
Le marché des données sur la population est encadré par des réglementations
sur
la liberté de l’information, sur les droits d’auteur ou le copyright et sur la
protection de la vie privée. 

Liberté de l’information
Les Etats-Unis ont développé une culture de l’information qui doit être saluée
malgré les abus. En effet, les informations sur les négociations
transatlantiques en cours proviennent en premier lieu des sites internet
américains. L'argument majeur aux Etats-Unis est qu'une information
réservée au
secteur public conduirait à un état totalitaire. Le secteur privé se
réclame de
la liberté de l'information en vertu du premier amendement de la Constitution
(1) selon lequel la diffusion des données publiques ne peut être restreinte.
Face aux réticences de certaines administrations à céder les données en leur
possession, le Freedom of Information Act (FOIA, 1966) stipule que les agences
fédérales doivent transmettre rapidement tout document en leur possession sur
simple demande, à l'exception des informations concernant les secrets
d'état ou
les intérêts privés. 
Le système français distingue l'accès aux données publiques de sa
diffusion. Le
droit d'accès aux données non nominatives est organisé par la loi du 17
juillet
1978 qui exclut le droit à leur commercialisation (2). Le rapport Baquiast
(1998) fit diverses recommandations relatives à la liberté de l'information,
sous l'influence de l'environnement européen et du développement de
l'internet.
Mais ces avancées ne s'appliquent pas aux bases de données sur la population
qui restent soumises à la réglementation relative aux droits d’auteur.

Copyright et droits d’auteur
Par le Copyright Act of 1976, les agences fédérales des états-Unis ne peuvent
exploiter la valeur économique des informations en leur possession. Elles
doivent les diffuser au coût de mise à disposition. Toutefois, le débat n'est
pas tranché sur la personne à qui faire porter les coûts de mise à disposition
des données publiques, le contribuable ou l’usager. Par exemple, la loi ne
s’applique pas aux données détenues par les Etats ni à celles de certaines
agences fédérales telles que le NTIS, National Technical Information Service,
qui peuvent appliquer une politique de tarification qui couvre tous leurs
coûts. Mais la loi s'applique à la diffusion des données du recensement et le
Bureau of The Census doit s'y conformer.
En France, la loi de mars 1957 relative à la propriété intellectuelle a été
confirmée par la circulaire Balladur du 14 février 1994. Celle-ci distingue
les
données brutes, sans mise en forme originale, qui ne sont la propriété de
personne, des données incorporant de la valeur ajoutée par l'administration
qui
peut se prévaloir de la propriété intellectuelle. La loi du 1er juillet 1998,
qui fait suite à la Directive européenne sur la protection juridique des bases
de données, confirme cette tendance (3). Ces réglementations permettent à
l'INSEE de définir une politique de tarification qui couvre les frais de
l'ensemble de sa politique de diffusion. L'INSEE élabore les fichiers de
données localisées, produits à forte valeur ajoutée à destination de
l'utilisateur final, et module les tarifs selon le type de produits
diffusés et
la finalité de la demande. Le tarif pourra être inférieur au coût de mise à
disposition lorsque le produit diffusé relève de sa mission (par exemple, la
diffusion des chiffres de la population légale) ou qu'il est destiné à une
activité non lucrative (recherche, domaine social). Il pourra être fixé en
fonction des perspectives de vente lorsqu’il relève d’une activité
commerciale.
L'INSEE mit ainsi en place deux types de licence: la licence pour usage final
et la licence pour redistribution. Par la première, l’utilisateur s'engage à
utiliser les données uniquement pour son usage personnel. Par la seconde, les
sociétés s'engagent à reverser à l’INSEE une redevance sur chaque donnée
rediffusée. 

Protection des données personnelles
Le Privacy Act du 3 décembre 1974 réglemente la divulgation des données,
l’information des personnes, leur accès aux données les concernant, les
traitements des données selon les finalités du fichier, les sanctions en
cas de
non-respect des règles. Il crée la “Privacy Protection Study Commission” qui a
pour mission d’étudier les traitements des données publiques et privées et de
faire des recommandations pour protéger la vie privée en application de la loi
ou proposer de nouvelles lois. Mais cette commission cesse d’exister le 30
septembre 1977, malgré de multiples demandes de la rétablir, et la loi ne
s’applique qu’aux données détenues par le secteur public. Diverses lois
sectorielles sont adoptées, notamment depuis la promulgation de la Directive
européenne en 1995, limitant l’usage du Social Security Number et touchant
à la
protection des données on-line. En 1998, des dispositions limitent l'usage du
Social Security Number et le Congrès adopta le "Children's Online Privacy
Protection Act" qui réglemente la collecte d'informations sur les enfants âgés
de moins de 13ans à partir des réseaux en ligne. Mais pour le moment règne
essentiellement l'autorégulation des marchés, basée sur les codes de bonne
conduite élaborés par les associations professionnelles auxquelles les
sociétés
adhèrent selon leur secteur d'activité.
En France, la loi du 6 janvier 1978 crée la Commission nationale de
l'informatique et des libertés (CNIL). L'article 2 de cette loi précise que
“Aucune décision administrative ou privée impliquant une appréciation ou un
comportement humain ne peut avoir pour seul fondement un traitement automatisé
d'informations donnant une définition du profil ou de la personnalité de
l'intéressé”. La loi allait ainsi au delà de la possibilité d'identifier un
individu et permettait à la CNIL d’empêcher l'enrichissement des fichiers
nominatifs par les données du recensement, par conséquent d’adresser un
mailing
ciblé sur les caractéristiques socio-démographiques définissant l’aire
géographique de résidence (4) L’avis de la CNIL de mars 1989 sur la Diffusion
des données du Recensement de la population de 1990 interdisait de même à
l'INSEE de diffuser les données sur des zones géographiques inférieures à
5000habitants (hormis le comptage de la population et des logements). 

1.2  Du marketing de masse au marketing individualisé
Le concept de segmentation de marché qui créa la demande, et les progrès en
informatique qui permettaient son éclosion (5) apparaissent au début des
années
soixante-dix aux Etats-Unis. Les réglementations et l'activité de la Cnil
empêchent le commerce des données locales de se développer en France. En 1995,
le commerce des données nominatives, développées depuis quelques années aux
Etats-Unis, atteint le marché français, la Cnil étant dépassée par les
nouvelles technologies et la soudaineté du phénomène.

Aux Etats-Unis
Pour le recensement de 1970, le Bureau of The Census adressa les
questionnaires
par courrier dans les grandes agglomérations sur des aires géographiques
regroupant environ 4000personnes. A cette occasion, un système cartographique
informatisé (6) fut développé pour associer chaque adresse à l'aire
géographique correspondante. Des outils informatiques, fichiers de données
géographiques, cartes ... se développèrent alors pour rapprocher diverses
données locales aux données du Bureau of The Census. Ils permirent aux
sociétés
d’étudier leur implantation, localiser aussi bien le réseau des agences
bancaires que les stations service ou les grandes surfaces, comparer les
caractéristiques de leur clientèle avec celles de la population recensée.
Les données livrées par le Bureau of The Census étant stockées sur des bandes
exploitables sur gros systèmes, équipement informatique trop coûteux pour
l’utilisateur final, de nombreuses sociétés se sont alors créées sur la
revente
des données du Bureau of The Census après leur formatage sur des systèmes
compatibles avec l'équipement de l'utilisateur final. En 1975, Max Eveleth,
président de la société Urban Data Processing, montrait dans son
intervention au
séminaire organisé par le Bureau of The Census autour de l'usage des données
démographiques (7) tout le travail effectué pour convaincre les entreprises de
l'utilité de ces données pour la segmentation de marché, principalement pour
l'adressage de mailings ciblés sur les personnes correspondant le mieux au
profil du produit ou du service offert.
Lorsque les progrès en équipement informatique permirent à l'utilisateur final
de s'approvisionner directement auprès du Bureau of The Census, les sociétés
redistributrices, privées de leur principale source de profit, ont dû ajouter
une plus-value aux données vendues par le Bureau of The Census
(personnalisation
des données aux besoins de l'utilisateur final, interconnexion des données,
accès sur réseau ...). En 1985, l’Administration Reagan (8) limita l’activité
de diffusion des agences fédérales à la simple mise à disposition des données
en leur possession, le travail d’élaboration étant réservé au secteur privé.
Les agences fédérales ne pouvaient élaborer que les produits que le secteur
privé ne diffusait pas (9). Jusqu'en juin 1992, la législation donnait aux
entreprises privées la priorité de la diffusion des données lorsqu'elles
demandaient une extraction spécifique au Bureau of The Census, leur en
réservant
l'exclusivité pendant les six mois suivant la réception des fichiers.
Lorsque l’Administration Clinton élargit le rôle de diffusion des agences
fédérales, le Bureau of The Census diffusa sans délai le produit de ces
extractions et standardisa à prix coûtant des fichiers de données
correspondant
aux besoins spécifiques d'un nombre toujours plus grand d'utilisateurs. Les
sociétés redistributrices doivent trouver un nouveau terrain pour
subsister. La
convivialité croissante des logiciels cartographiques et de systèmes de
gestion
de bases de données accroissent la clientèle potentielle et les
possibilités de
traitement des données. Internet et le commerce électronique ouvrent une
nouvelle voie de collecte des données personnelles, tant par les
questionnaires
auxquels l’internaute répond pour avoir accès à un service, que par les moyens
informatiques qui permettent de suivre ses domaines d'intérêt grâce aux
connexions qu'il effectue. Les sociétés redistributrices se spécialisent dans
le commerce des données nominatives et partent à la conquête de nouveaux
marchés
à l’étranger, notamment en Europe où elles se heurtent à la législation en
vigueur dans ces pays. 

En France
La Coref, société de marketing née au début des années soixante-dix, obtint de
l'INSEE le fichier détail du recensement de 1982 dont les données lui ont
permis d'enrichir les fichiers de ses clients. Les difficultés pour entrer sur
le marché étaient telles, tant par la faiblesse de la demande que par les
obstacles réglementaires, qu'elle resta longtemps la principale société
redistributrice des données de l'INSEE. Elle s'engagea dans la définition des
îlots-type qui permettaient d'effectuer des mailings ciblés sur les
caractéristiques socio-démographiques de la population de l'îlot. Cette
activité se heurta aux dispositions de la CNIL et elle n’obtint pas le fichier
détail du recensement de la population de 1990. De même, la législation ne
permettra pas à cette société, devenue Experian lorsqu'elle a été rachetée par
une société américaine, d'obtenir les données du fichier détail du recensement
de cette année 1999. La société ADDE, qui commercialise le logiciel
cartographique MapInfo, est actuellement le rediffuseur officiel des
données de
l'INSEE et commercialise les données autrement obtenues dans les publications
papier de l'INSEE pour valoriser son logiciel. En fait, les sociétés de
marketing se développent sur l'activité de service et de conseil aux
entreprises et reçoivent une commission de courtage de 20% sur les produits
achetés à l'INSEE par le client.
Les sociétés spécialisées dans le commerce des données nominatives font leur
apparition en France à partir de 1995 avec le développement des bases de
données comportementales. Celles-ci sont alimentées par les données
nominatives
achetées aux sociétés privées, les fichiers publics, les données anonymes
locales du secteur public et les questionnaires distribués aux foyers. Bien
que
ces sociétés soient censées respecter la réglementation sur la collecte et la
diffusion des données sur la population, les règles de la CNIL sont
contournées. Par exemple, si les questionnaires déposés dans les boîtes aux
lettres, distribués aux passants ou laissés dans les lieux de vente
mentionnent
le droit des personnes en matière de données nominatives, elles le font d'une
manière si discrète que l'information reste inaperçue dans la plupart des cas.
La société Claritas, une des sociétés leader des Etats-Unis, se heurta en
janvier 1999 à l'opposition de la CNIL lors du lancement de son enquête
annuelle sur les comportements d'achat auprès de 20 millions de ménages
français parce qu'elle incluait une question concernant le sexe du conjoint
(Erich Inciyan, Le Monde, 19/01/99). La société Consodata déclare avoir
collecté
en France aujourd'hui les données concernant huit millions de personnes.
L'objectif affiché de ces deux sociétés qui se partagent le marché en France
est de détenir dans leurs fichiers la totalité de la population française et
européenne.


2 - La confrontation de deux cultures
L’Europe est au carrefour de la culture américaine qui a permis au marché
de se
développer en l’absence de contraintes légales, et de la culture des pays
européens, notamment de la France, qui a dressé des barrières législatives au
développement mercantile des données personnelles.
Le droit à la vie privée est inclus dans l'article 8 de la Convention
européenne des droits de l'homme de 1950. Le Conseil de l'Europe adopta le 28
janvier 1981 la Convention pour la protection des personnes à l'égard du
traitement automatisé des données à caractère personnel. Un comité consultatif
est chargé d'améliorer la Convention. La Recommandation du 25 octobre 1985 sur
les données à des fins de marketing direct reconnaît l'importante contribution
de la commercialisation des bases de données sur la population pour le
développement du marketing direct et la nécessité de protéger la vie privée
des
individus. La Recommandation du 9 septembre 1991 sur la communication, à des
tierces personnes, de données à caractère personnel détenues par des
organismes
publics constate la tendance croissante du secteur privé à exploiter de telles
données, augmentant le risque d'ingérence dans la vie privée et laisse le
droit
interne définir le droit d’accès aux données publiques. 

2.1  La Directive européenne
La Commission européenne s’est chargée de légiférer sur la protection des
données personnelles dans le cadre de la libre circulation des biens et des
personnes malgré les doutes exprimés sur la légitimité de cette mission (10).
La Directive européenne du 24 octobre 1995 relative à la Protection des
personnes physiques à l'égard du traitement des données à caractère personnel
et à la libre circulation de ces données, s’est largement inspirée de la
Convention. Elle précise les conditions générales de licéité des
traitements de
données à caractère personnel, données qui permettent d’identifier une
personne
physique, directement ou indirectement:
·       Les données doivent être enregistrées pour des finalités
déterminées et
traitées de manière compatible avec ces finalités. 
·       Le traitement des données sensibles (origine raciale ou ethnique,
opinions politiques, convictions religieuses ou philosophiques, appartenance
syndicale, santé et vie sexuelle) est interdit. Le droit interne peut lever
l'interdiction en cas de consentement de la personne concernée
Reconnaissant une opposition de tendances entre les intérêts légitimes du
responsable du traitement et les droits et libertés fondamentaux des
personnes,
elle précise les droits des personnes en dissociant clairement les données
collectées auprès de la personne concernée de celles qui ont été transmises à
une société tiers:
·       Information préalable au traitement sur l’identité du responsable du
traitement, les finalités du traitement, l’existence de droits d’accès et de
rectification, les destinataires des données. Lorsque les données ont été
cédées à une société tiers, le responsable du traitement doit informer les
personnes sur les catégories de données concernées et l’existence du droit
d’opposition.
·       Accès aux données et à l’information sur leur origine lorsqu’elles
n’ont
pas été collectées directement auprès de la personne.
·       Choix d’en obtenir la rectification, l’effacement en cas de non
respect
de la finalité ou en cas de données sensibles, la notification aux tiers des
modifications des données, et de s’opposer aux traitements, notamment à des
fins de prospection. 
·       Recours devant l’autorité de contrôle ou la juridiction nationale avec
réparation du préjudice subi, le droit national déterminant les sanctions. 
Elle précise des dispositions s’appliquant aux responsables des traitements et
aux autorités de contrôle:
·       Elle encourage l’élaboration de codes de conduite sectoriels
destinés à
la bonne application des dispositions nationales en conformité avec la
Directive.
·       Les pays membres désignent une autorité de contrôle qui surveille
l’application des règles avec pouvoirs d’investigation, d’intervention et
d’ester en justice.
·       Le transfert ne peut avoir lieu que si le pays tiers assure un
niveau de
protection adéquat, niveau validé par la Commission européenne (11). A cet
effet est créé un comité composé d’un représentant de chaque Etat membre et
présidé par un représentant de la Commission. Le comité émet un avis à la
majorité qualifiée (12) sur les projets. La Commission arrête alors les
dispositions qui lient les pays membres.
La Directive a été élaborée dans le souci d’harmoniser les réglementations
nationales des pays de la Communauté européenne qui présentent une grande
diversité des réglementations et dans l'organisation de leur système
informatique. Elle laisse ainsi une large place aux spécificités internes par
toute une série de dérogations. La France, ainsi que l'Allemagne, les
Pays-Bas,
le Luxembourg et l'Irlande n'ont pas encore transposé la Directive européenne
dans leur loi sur la protection de la vie privée. Les négociations
transatlantiques influenceront sans aucun doute les prochaines lois
nationales.

2.2  Les négociations transatlantiques
La Directive européenne stipule que le transfert des données d'un pays membre
ne puisse s'effectuer si ce pays n'assure pas une protection adéquate. Les
Etats-Unis n'ayant pas de cadre légal entourant la protection de la vie
privée,
l'interdiction de transfert leur fut appliquée. Suite à sa promulgation en
octobre 1995, les réactions ont été vives aux Etats-Unis: les sociétés
intéressées considéraient que leur pays assurait aussi bien la protection
de la
vie privée que l'Europe ; les associations américaines de défense des
droits de
l'homme relançaient leur appel à la protection de la vie privée.

Les principes de Safe Harbor
Le gouvernement américain devait concilier la Directive européenne
réglementant
la protection des données sur la vie privée d'une manière globale avec leur
pratique d'autorégulation et leur approche sectorielle en matière de
législation sur la protection des données individuelles. Le Département du
commerce (13) publia le 4 novembre 1998, moins d'un mois après l’entrée en
vigueur de la Directive européenne et de la Conférence d’Ottawa (14) The
International Safe Harbor Privacy Principles qui posait les principes d'une
instance, Safe Harbor, à laquelle les sociétés américaines pourraient adhérer
sur la base d'un volontariat qui les engageait à respecter sept principes
interprétant les articles de la Directive européenne. L'adhésion à cette
instance leur permettait de bénéficier du droit au transfert des données à
caractère personnel en provenance des pays européens sans que ceux-ci puissent
le refuser. Le Département du Commerce associa à ces principes l'appel à
commentaires de la part du secteur privé. A partir de ceux-ci, il publia le 19
avril 1999 une nouvelle version des principes de Safe Harbor associée à
appel à
de nouveaux commentaires. Une troisième version fut publiée le 15 novembre
1999
et une suivante fin mars 2000. Si les précédentes versions furent rejetées par
l'Europe, cette dernière version constituerait un projet d'accord. 
Les premiers commentaires montraient en général que les sociétés américaines
supportaient assez mal que les pays européens leur donnent des leçons.
Certaines sociétés eurent des réactions violentes, d'autres s'insurgeaient, en
vertu des lois américaines sur la liberté de l'information, contre l'article 8
de la Directive excluant la diffusion des données sensibles. La DMA (Direct
Marketing Association), qui regroupe environ 4300sociétés de par le monde,
plus
conciliante, faisait toutefois remarquer que les Etats-Unis offraient un
niveau
de protection de la vie privée semblable à celui de l’Union européenne. 
·       Arguant du fait que la Directive européenne encourage le développement
de codes sectoriels de bonne conduite, la DMA propose l’adhésion
automatique au
Safe Harbor des entreprises affiliées à une association professionnelle ayant
élaboré un tel code. Elle-même a élaboré un code sur l’utilisation des données
personnelles à des fins de marketing direct. La nouvelle version des principes
de Safe Harbor confirme que les codes de conduite élaborés par les
associations
professionnelles doivent adhérer à ces principes pour que les sociétés
affiliées soient intégrées au Safe Harbor.
·       Sur les droits d’information et d’accès des personnes aux données les
concernant, la DMA oppose le droit de propriété de l’information et une
contrainte trop lourde et onéreuse pour les entreprises. Dès la deuxième
version du Safe Harbor, les droits sont restreints par rapport à la Directive:
Relativement aux droits à l’information, la personne ne peut demander à la
société détentrice l’origine des données qu’elle détient. Elle tendrait à
aller
dans le sens de la DMA qui faisait valoir que ces droits relevaient du
responsable de la collecte, situé en Europe, contrairement aux dispositions de
la Directive européenne qui engagent le responsable du traitement des
données. 
Le caractère “raisonnable” de l’accès mentionné dans la Directive fait l’objet
de négociations. La dernière version refuse l’accès aux personnes lorsqu’il
est
considéré trop coûteux face aux risques d’atteinte à la vie privée. Les
négociations sont en cours sur ce point.
·       Dans un premier temps, la DMA acceptait d’informer les personnes
sur le
transfert des données à un tiers, avec possibilité de refus (15) mais sans
droit
de regard sur l’identité du tiers, contrairement à ce que stipule la Directive
européenne. En dernière analyse, les principes de Safe Harbor annuleraient
cette
possibilité sous prétexte que tous les pays européens ne s’y sont pas engagés
dans leur loi nationale (16) 
·       La définition des données sensibles posait problème, mais dès la
deuxième version des principes de Safe Harbor, la définition européenne est
acceptée. 
·       Enfin, comme le suggérait la DMA, les sanctions émaneraient des
associations professionnelles de par leurs codes de conduite et non des
législations gouvernementales alors que la Directive prévoit que les codes de
conduite soient validés par l’autorité de contrôle et donne à celle-ci les
pouvoirs d’investigation et d’action en justice. Les négociations sont en
cours
sur ce point. 
En conclusion, si les principes de Safe Harbor acceptent la définition
européenne des données sensibles, elle réduit l'accès aux données et le
pouvoir
de l'autorité de contrôle en matière d'action en justice et de sanction. Ce
sont pourtant deux notions fondamentales : si les personnes ne peuvent avoir
accès aux données, elles ne peuvent constater de manquement aux règles ; si
l'autorité de contrôle n'a pas suffisamment de pouvoir, les règles ne seront
pas appliquées strictement et les sanctions ne seront pas dissuasives. Ces
deux
points sont en cours de négociation et leur aboutissement aura un impact
direct
sur la protection des données européennes dans la mesure où les principes de
Safe Harbor priment sur les lois nationales.

2.3  La société civile
Les associations américaines, bien que souvent subventionnées par le secteur
privé (17) relancent le débat sur la protection de la vie privée, débat relayé
par la presse. Les associations les plus représentatives des intérêts des
individus en matière de respect des droits de l’homme (18) participent à
l'élaboration des législations et exercent leur vigilance dans l'observation
des lois par les entreprises. Les nombreuses propositions de lois
rappellent le
climat des années soixante-dix. Le nombre d’actions menées au Congrès (19) en
relation avec la protection de la vie privée, depuis le 93ème Congrès, montre
l’évolution de l’intérêt porté à cette question depuis 1973. 
Le débat est marqué par les pratiques intrusives dans la vie privée. 
·       L'annonce en janvier 1999 de la société Intel d'inclure un numéro
unique
d'identification dans son nouveau micro-processeur, le Pentium III, qui permet
d'identifier et de tracer les utilisateurs dès qu'ils se connectent à Internet
est suivie d'une plainte déposée devant la "Federal Trade Commission". La
plainte insistait sur l'apparition d'un numéro unique d'identification de
l'internaute (Processor Serial Number, PSN) qui vient à l'encontre des
transactions anonymes habituelles sur le Web. Le danger est mis en parallèle
avec le numéro de sécurité sociale (Social Security Number, SSN) dont
l'utilisation a évolué avec le temps jusqu’à devenir un code commun aux bases
de données. Des informations détaillées étaient disponibles pour de multiples
usages, du marketing direct à la surveillance policière en passant par
l'obtention d'un emploi, d'un crédit ou de tout autre service. Les
associations
craignent que le numéro unique introduit par le Pentium suive la même voie
dans
la mesure où personne ne peut contrôler les applications futures.
·       TRUSTe, association professionnelle ayant élaboré un code de conduite
que les sociétés adhérentes sont censées respecter, ne poursuit pas les
sociétés prises en flagrant délit de violation à ce code, considérant que le
code de conduite n'a pas été violé. C'est le cas en mars 99 de Microsoft qui
inclut un identifiant dans ses logiciels qui lui permettait de collecter des
informations. C'est aussi le cas le 1er novembre de la société de distribution
en ligne RealNetworks qui collectait les informations à l'insu de ses 13,5
millions d'utilisateurs.
Une récente enquête conduite par Harris Interactive montre l'intérêt
grandissant des Américains pour la protection des informations personnelles.
57% des répondants demandaient des lois pour savoir comment les informations
étaient collectées et utilisées sur internet. 15% faisaient confiance à
l'auto-régulation basée sur les codes de conduite. The Transatlantic Consumer
Dialogue (TACD) demandait que "la perte de la vie privée des consommateurs ne
soit pas le prix de l'économie d'information. En général, les associations
espéraient que Safe Harbor améliorerait leur propre protection. Or, ces
principes ne s'appliquent qu'aux données issues d'Europe.


Conclusion
Nous avons montré que la logique du marché, en l’absence de contraintes
légales, conduit à la diffusion de données toujours plus fournies sur la
totalité de la population. La Directive européenne laissait aux législations
nationales une alternative :
·       Créer un cadre légal très strict de protection des données
personnelles
qui impliquait la vigilance de la population pour être respecté. L'Espagne
adopta un cadre restrictif qui prévoyait les moyens de faire appliquer les
sanctions aux contrevenants et informa la population de la nécessité de
vigilance.
·       Créer un cadre minimal de protection, peu contraignant, qui serait
accepté par la plupart des sociétés. L'Angleterre adopta cette position.
Les négociations transatlantiques autour de l'accès aux données et du pouvoir
de l'autorité de contrôle participe de cette alternative et lient les pays
européens dans la mesure où les principes de Safe Harbor auront une force
légale
supérieure aux législations nationales. La position outre-atlantique repose
sur
la libre adhésion des sociétés aux principes de Safe Harbor, privilégie
l'auto-régulation en matière d'autorité de contrôle et prive la population
d'exercer sa vigilance au motif que les coûts d'accès aux données sont trop
élevés. Les entreprises américaines ont montré l'inefficacité de
l'auto-régulation : elles développent de nouvelles techniques intrusives sous
couvert de se protéger contre les fraudeurs, l’infraction aux codes de
conduite
n’est pas reconnue, les sanctions  quand elles existent  ne sont pas
dissuasives.
A l'heure des découvertes génétiques et des nouvelles techniques de
collecte et
de gestion des bases de données, cette position ne répondrait pas aux attentes
de la population des deux côtés de l’Atlantique. Elle pourrait mener au
développement mal contrôlé des bases de données nominatives sous l’effet de la
concurrence, comme l'a montré le passage des données locales aux données
nominatives. 


Notes

1       ARTICLE PREMIER [Limitation des pouvoirs du Congrès]. Le Congrès ne
fera
aucune loi relativement à l'établissement d'une religion ou en interdisant le
libre exercice; ou restreignant la liberté de parole ou de la presse; ou le
droit du peuple de s'assembler paisiblement, et d'adresser des pétitions au
gouvernement pour une réparation de ses torts.
2       Martine Viallet, La politique française de diffusion des données
publiques, in Access to Public Information: A Key To Commercial Growth And
Electronic Democracy. Conference, Stockholm, 27-28 juin 1996.
3       Revue Expertises, n°218, août-septembre 1998.
4       Michel Jacod, Pratique statistique, déontologie et législation. Le cas
français. Journées européennes démographie, statistique et vie privée, 23-24
octobre 1995.
5       William Alonso and Paul Starr Editors, The politics of numbers, for
the
National Committee for Research on the 1980 Census, Russel Sage Foundation,
New
York, 1984.
6       Le système Dual Integrated Map Encoding (DIME) fut un investiment
important, 22 millions de dollars, du Bureau of the Census.
7       Max Eveleth, Commercial use of Census Data, idem note 7.
8       Robert Gellman, Privacy and Information Policy Consultant, Washington,
D.C., “The American model of access to and dissemination of public
information.”, idem note 5.
9       Office of Management and Budget Circular A-130 on the Management of
Federal Information Resources, 50 Federal Register 52729 (24 décembre 1985).
10      Guy Braibant, Données personnelles et société de l’information, La
Documentation française, 1998.
11      La Convention demandait un niveau “équivalent” mais elle inversait la
proposition, stipulant que les règles s’appliquent aux transferts à travers
les
frontières nationales et les Etats membres peuvent s’y opposer si le pays
tiers
n’assure pas une protection équivalente.
12      selon les modalités de l’article 148, paragraphe2 du traité, qui
affectent une pondération aux voix des représentants.
13      En relation avec la mission "Task Force on Electronic Commerce, et
International Trade Administration.
14      Conférence de l'OCDE sur le commerce électronique.
15      Dans cet esprit, elle promettait la mise en place d’une disposition
supplémentaire dans son code de bonne conduite, DMA’s Privacy Promise qui
devait être effective le 1erjuillet 1999, selon laquelle un membre de
l’association transférant des données à un tiers non affilié doit informer les
individus sur leur possibilité de refuser le transfert de ses données. 
16      Cette remarque pourrait être recevable si les principes de Safe Harbor
ne prévalaient sur les législations nationales. Dans ce cas, la formulation
devrait être inversée: si un seul pays s’est engagé à une pratique dans le
cadre de la Directive, les principes de Safe Harbor doivent en tenir compte. 
17      Center for Democracy and Technology (CDT), Consumer Action, Privacy
Rights Clearinghouse, Private Citizen, Big Brother Inside ... 
18      Electronic Privacy Information Center (EPIC  www.epic.org, Privacy
International  www.privacyinternational.org, …
19      Relevées dans la base de données mise au point par la Librairie du
Congrès sur le mot-clé “Privacy”, consultable à l’adresse thomas.loc.gov








_____________________________________________
#<nettime-fr@ada.eu.org> est une liste francophone de politique,
 art,culture et net, annonces et filtrage collectif de textes.
#Cette liste est moderee, pas d'utilisation commerciale sans permission.
#Archive: http://www.nettime.org contact: nettime@bbs.thing.net
#Desabonnements http://ada.eu.org/cgi-bin/mailman/listinfo/nettime-fr
#Contact humain <nettime-fr-admin@ada.eu.org>