Le protocole  »safe harbour » ou les oppositions américaines et européennes de la protection de la vie privée

/ /
Publié le 28 mai 2003
Par .

Les différences de culture et de société entre les États-Unis et l’Europe sont souvent mises en avant pour expliquer certaines incompréhensions ou différences qui existent entre les deux continents. Quand on ajoute à ces différences des particularismes juridiques, on aboutit à la signature, le 26 juillet 2000, d’un accord très particulier connu sous le nom…

Les différences de culture et de société entre les États-Unis et l’Europe sont souvent mises en avant pour expliquer certaines incompréhensions ou différences qui existent entre les deux continents. Quand on ajoute à ces différences des particularismes juridiques, on aboutit à la signature, le 26 juillet 2000, d’un accord très particulier connu sous le nom du protocole dit de « safe harbour ». Cette formule, que l’on pourrait traduire en Français par protocole de la « sphère de sécurité » (ou même parfois pour les plus poétiques par « havre de paix ») est censée être l’un des aboutissements emblématiques de la mise en place au niveau mondial d’une certaine idée européenne de protection des données personnelles.

Le 24 octobre 1995, l’Union Européenne adopte la directive 95/46/CE relative à la protection des données personnelles et à la libre circulation de ces données. Le but de cette directive est simple : réduire les divergences entre les législations nationales sur la protection des données afin de lever tout obstacle à la libre circulation des données à caractère personnel à l’intérieur de l’Union Européenne.

En ce qui concerne le transfert vers des pays non membre de l’Union Européenne, le principe retenu par la directive est que le transfert des données ne peut être autorisé que si « le pays tiers en question assure un niveau de protection adéquat ». La Commission européenne a donc effectué une approche au cas par cas et a, par exemple, décidé, le 26 juillet 2000, que la Suisse et la Hongrie proposaient un niveau de protection adéquat.

En ce qui concerne les Etats-Unis, les négociations étaient particulièrement difficiles car les Américains n’ont absolument pas la même vision de la protection des données. Pour eux, priorité est donnée à l’autorégulation par les opérateurs par le biais de chartes ou codes de bonne conduite élaborés par les entreprises elles-mêmes en interne. Il existe, certes, de nombreuses lois sectorielles qui protègent la vie privée, mais leur manque de cohérence et de visibilité a fait que la Commission européenne a longtemps estimé que les Etats-Unis ne disposaient pas du niveau de protection adéquat exigé par la directive de 1995.

Cependant, pleinement consciente qu’il est difficile de se passer d’un partenaire commercial comme les Etats-Unis, la Commission a engagé, dès 1998, des négociations dans le but de trouver à terme un accord autorisant le libre transfert de données venant d’outre-atlantique.

Les « safe harbour principles », élaborés dès 1998 par les Etats-Unis, visent précisément à définir un niveau de protection proche de celui de la directive européenne. Le dispositif mis en place prévoit que les entreprises américaines qui ont volontairement adhéré à ces « principles », sont présumées offrir un niveau de protection adéquat.

Finalement, c’est dans sa troisième décision du 26 juillet 2000 que la Commission reconnaît les règles du « safe harbour » en considérant qu’elles garantissent effectivement aux entreprises qui y adhèrent le niveau de protection adéquat exigé par la directive.

Les principes retenus sont l’aboutissement d’un consensus entre l’approche européenne, privilégiant un contrôle effectué par des autorités administratives, et l’approche américaine centrée sur l’autorégulation.

Les entreprises américaines qui choisissent d’adhérer aux principes du « safe harbour » prennent officiellement l’engagement de respecter un certain nombre de règles qui reprennent, dans les grandes lignes, celles posées par la directive de 1995. En acceptant ces principes, les entreprises adhérentes acceptent donc un certain nombre d’engagements.

Elles s’engagent ainsi à informer les personnes des raisons de la collecte et de l’utilisation des données personnelles ainsi collectées (finalité du traitement). Elles s’engagent également à offrir aux personnes concernées la faculté de s’opposer à un usage des données qui serait incompatible avec les finalités du traitement et le droit de s’opposer à la communication de ces données à des tiers pour tout autre usage que la finalité initiale. Elles s’engagent à ne collecter des données sensibles qu’avec le consentement exprès des personnes concernées. Elles doivent enfin prévoir l’exercice d’un droit d’accès et de rectification, s’engager à ne céder des données personnelles qu’à d’autres entreprises adhérentes au « safe harbor » et également garantir la sécurité du traitement et l’intégrité des données enregistrées. Par ailleurs, une entreprise adhérente qui ne respecte pas ces engagements, peut faire l’objet de poursuite devant la Federal Trade Commission (FTC).

On le voit, ces principes sont proches de ceux qui animent la loi Informatique et Libertés de 1978 (principes de finalité, de proportionnalité, droit d’accès etc.). Et pourtant, cette « sphère de sécurité » devrait plus véritablement être définie comme étant une sphère à responsabilité et à portée limitée.

Tout d’abord, ce protocole est peu contraignant pour les États-Unis car ce n’est pas un accord général et il n’a pas de portée obligatoire. Le principe qui le régit ce protocole étant celui du volontariat, sa portée dépend principalement du comportement des entreprises américaines.

A cette absence de contrainte il faut ensuite ajouter une défiance latente vis-à-vis de la notion européenne de la protection des données, Clifford Stearns, président de la sous-commission du commerce et de la protection des consommateurs n’affirme-t-il pas qu’« adopter les standards européens sur la protection de la vie privée pourrait avoir un impact potentiellement négatif sur le commerce » ?

Ces éléments font que le protocole de « safe harbour » a du mal à réellement s’imposer auprès des entreprises américaines puisqu’à peine deux cents d’entre elles y ont adhéré (dont Hewlett-Packard, Intel, Microsoft…), chiffre tout à fait dérisoire si on le compare à celui des entreprises qui transfèrent quotidiennement des informations nominatives aux Etats-Unis.

Cependant, même si peu d’entreprises ont adhéré et que sur un certain nombre de points les principes de la directive de 1995 sont moins bien respectés, le fait même que la première puissance commerciale ait accepté de le signer et de d’y inclure certains principes de protection propres à l’Union Européenne est déjà un premier pas. D’ailleurs, ces tentatives d’exportation d’une idée européenne de protection des données continuent puisque, sur le modèle de cet accord conclu avec les États-Unis, la Commission européenne a signé des protocoles similaires avec d’autres pays (comme par exemple avec le Canada en janvier 2002 ou encore, prochainement, avec le Japon ou l’Australie).

Enfin, même si une dynamique se met en place et qu’il est important de continuer à défendre une idée, qui n’est pas uniquement propre à l’Europe, d’une protection maximale des données personnelles, il faut garder pleinement à l’esprit qu’il est fort délicat de faire fi non seulement des différentes cultures juridiques mais aussi, et surtout, des contingences commerciales et de l’existence de nombreux paradis de données (les entreprises sont les premières concernées). Espérons que l’on arrive un jour à un « havre de paix » dans ce domaine…

Jean Gonié
Juriste, chargé de mission au Forum des droits sur l’internet
jean.gonie@free.fr