Vie privée : quel cadre juridique à l’échelle internationale ?

Cybersécurité et confiance numérique

Publié le

Depuis l’entrée de la notion de vie privée numérique dans les textes législatifs, les réglementations se sont multipliées et deviennent de plus en plus contraignantes. L’Union Européenne est la locomotive de cette tendance avec son Règlement Général sur la Protection des Données (GDPR), mais les autres pays ne sont pas en reste et on assiste à une structuration globale des réglementations autour des données personnelles. 

Ce billet de blog fait partie d’une série d’articles issue d’une synthèse sur la vie privée à l’ère numérique publiée sur notre site web. 

Un cadre réglementaire de plus en plus international

Le concept de vie privée, évoqué dès l’Antiquité, est présent depuis plusieurs centaines d’années dans différents textes de loi. Il a pris corps à partir de 1948, en étant inscrit au sein de l’article 12 de la Déclaration Universelle des Droits de l’Homme : « Nul ne sera l’objet d’immixtions arbitraires dans sa vie privée (…). Toute personne a droit à la protection de la loi contre de telles immixtions ou de telles atteintes ».

La réglementation autour de la protection des données personnelles est beaucoup plus récente. Cette notion est directement liée au développement de l’informatique et de la collecte croissante de données par les organisations et les entreprises. De plus, la valeur marchande de la donnée est un enjeu supplémentaire qui complexifie l’émergence d’un consensus réglementaire international. La Suède est le premier État à avoir légiféré sur le sujet en 1973. En France, la « Loi Informatique et Libertés » a été promulguée en 1978 à l’issue des débats suscités par le projet Safari visant à créer une base de données centralisée des individus.

Sans passer en revue chacune des lois nationales et leur actualité, l’analyse des initiatives mises en œuvre à des échelles régionales permet de dresser un portrait des grandes tendances à l’œuvre en termes de protection de la vie privée.

Union Européenne : l’Etat protège les citoyens

L’Union Européenne a été la première institution à légiférer sur le sujet à une large échelle en 1995 avec la publication de la directive 1995/46/CE. Ce premier effort d’harmonisation législative au niveau de l’Union Européenne a mis en place différents principes ensuite déclinés dans le droit des différents États membres, parmi lesquels l’instauration d’autorités de contrôle dans chacun d’entre eux. Il puise ses racines dans les « Lignes directrices régissant la protection de la vie privée et les flux transfrontaliers de données de caractère personnel » publiées par l’OCDE en 1980, qui étaient sans valeur contraignante.

En avril 2016, l’Union Européenne a fait le choix de renforcer sa législation avec le Règlement Général sur la Protection des Données (ou GDPR en anglais, comme nous y ferons référence), qui sera, à la différence de la directive de 1995, directement applicable dans le droit des États membres de l’UE.

 

La mise en œuvre effective étant prévue pour mai 2018, les organisations et entreprises devront donc d’ici cette date s’assurer de leur conformité aux différents points du règlement. Des travaux vont également s’engager prochainement sur la e-privacy afin d’aligner les exigences classiques sur la vie privée dans les moyens de communication aux évolutions et innovations récentes, faisant ainsi entrer le set des correspondances dans l’ère numérique. L’Union Européenne adopte via ces textes une posture de protection par l’état des données de ses citoyens.

Etats-Unis : une responsabilisation des citoyens  avant tout

Dans le droit américain, il n’existe pas de loi ni de régulateur unique au niveau fédéral régulant la collecte et l’utilisation des données personnelles. À la place, les États-Unis disposent d’un assemblage de lois s’appliquant à certains secteurs ou États. Certaines visent des catégories particulières de données personnelles, comme les données financières ou de santé, tandis que d’autres régulent les activités faisant usage de ces données, comme le marketing digital. En parallèle de ces lois, les bonnes pratiques développées par les agences fédérales et groupements industriels sont également utilisées à des fins d’auto-régulation. Le 4e amendement à la Constitution peut également être invoqué en défense de la vie privée. Enfin, les lois de protection du consommateur, bien que ne régissant pas directement la vie privée, ont déjà interdit des pratiques considérées comme illégitimes impliquant la divulgation de données personnelles. Néanmoins, les citoyens américains conservent une certaine latitude quant au partage de leurs données personnelles.

Il existe donc des différences entre la vision américaine et la vision européenne, comme le montre l’évolution du Safe Harbor. Ce dispositif légal garantissait la protection des transferts de données entre l’UE et les États-Unis jusqu’en octobre 2015, date à laquelle la Cour de Justice de l’Union Européenne (CJUE) l’a invalidé. Le niveau de protection des données offert par les États-Unis n’était plus satisfaisant selon la CJUE, notamment à la lumière des informations révélées par Edward Snowden concernant les écoutes pratiquées par le gouvernement américain. En février 2016, États-Unis et Europe ont mis en place un nouveau dispositif, le Privacy Shield, visant à protéger davantage les transferts de données, qui est finalement entré en vigueur en août 2016.

Asie : une situation hétérogène mais en développement

Force est de constater que l’Asie abrite deux profils de pays. Certains pays font preuve d’une maturité certaine sur ce sujet, à l’image de la Corée du Sud, Singapour, Hong Kong ou de Taiwan. La Chine ne disposait pas jusqu’à récemment de législation spécifique protégeant les données personnelles, mais elle a publié en novembre 2016 un texte de loi qui sera applicable dès juin 2017 aux opérateurs réseaux au sens large. Cette nouvelle réglementation intégrera certains principes communément admis du respect de la vie privée et exigera également le stockage des données personnelles sur le territoire chinois. En regard, dans beaucoup d’autres pays de la zone, la protection des données personnelles n’est pas encore entrée dans les mœurs même si des réflexions sont en cours.

Reste du monde : des initiatives régionales de développement

En Afrique, la première législation date de 2001 et est cap-verdienne. En 2004, le Burkina Faso est le premier État à instaurer un régulateur national. Au niveau régional, la Convention de l’Union Africaine sur la cybersécurité et la protection des données à caractère personnel, signée en 2014 par 18 pays, reprend des notions directement issues de la législation européenne, sans leur donner de valeur contraignante.

Au Moyen-Orient, plusieurs États comme les Émirats Arabes Unis (EAU) et l’Arabie Saoudite n’ont pas de législation spécifique protégeant les données personnelles. La particularité de ces deux pays réside dans le fait qu’en cas de vide juridique, la charia prévaut. Or le droit islamique prévoit la possibilité de demander des dommages et intérêts si la divulgation abusive de données personnelles a occasionné un préjudice.

En Amérique du Sud, plusieurs pays bénéficient de garanties constitutionnelles concernant la protection des données personnelles et disposent de régulateurs indépendants. C’est le cas de l’Argentine et l’Uruguay, pays reconnus par la Commission Européenne comme assurant un niveau de protection adéquat des données.