Si les USA se sont dotées très tôt, en 1974, d’un privacy act dans le souci de protéger la vie privée face au nouveau type de risque lié au développement multiforme des technologies, Europe et Etats-Unis divergent sur le système de protection à adopter.

---

Les données personnelles constituent une matière première aujourd’hui très prisée.
Elles font l’objet de collectes, d’échanges, de cessions et représentent une réelle valeur économique.
Parallèlement, le respect de la vie privée nécessite que l’utilisation de ces données soit encadrée par un dispositif efficace de protection, de façon à ce que « l’individu ne soit pas traqué dans ses secrets les plus intimes » (déclaration de la CNIL ECONOMICA 1988 page 15).
A l’instar de la France, une cinquantaine d’états, dont de nombreux pays européens ont légiféré en la matière depuis les années 1970.
En France, la Loi Informatique et Libertés a été complétée par plusieurs dispositions sectorielles :
– La Loi n° 78-22 du 10 janvier 1978 relative à l’information des consommateurs dans le domaine de certaines opérations de crédit interdit que l’exercice de la faculté de rétractation de l’emprunteur ne donne lieu à un enregistrement sur un fichier. – La Loi n° 94-548 du 1er juillet 1994 prévoit une procédure particulière pour la mise en Å“uvre de traitement de données destinées à favoriser la recherche médicale.
Sur le plan européen, la directive 95-46-CE du 24 octobre 1995, relative à la protection des personnes physiques et à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, en cours de transposition, modifie les formalités de déclaration, les simplifie quand les traitements ne sont pas susceptibles de présenter des risques particuliers pour la vie privée et élargit le champ des données protégées puisque l’on passe des seules données permettant d’identifier un individu aux données concernant directement ou indirectement une personne physique identifiée ou identifiable.
Enfin, elle n’autorise le transfert de données vers les pays extérieurs à l’Union européenne que si le pays tiers assure un « niveau de protection adéquat« , expression qui fait couler beaucoup d’encre et qui fait l’objet d’un véritable débat, voire d’une négociation entre l’ Union Européenne et les Etats-Unis.
En effet, l’Union européenne s’est déjà dotée d’un cadre législatif puissant au travers de la directive cadre et même de directives sectorielles, telle que la directive C.E. du 15 décembre 1997 relative à la protection des données personnelles dans le secteur des Telecoms.
Tandis que les Etats-Unis prônent, au nom de la liberté d’expression, l’autorégulation et incitent plutôt l’industrie à mettre en place des structures fortes de droit privé au sein d’associations, capables de veiller au suivi des comportements des collecteurs et éventuellement d’organiser un boycott pour les collecteurs indélicats.
L’industrie américaine a déjà mis en place les trust-e, une sorte de labellisation non étatique estimant qu’il s’agit là de la mise en Å“uvre d’un niveau de protection adéquat. Il faut cependant savoir, selon les sources de la Federal Trade Commission que cette autorégulation n’est pas encore véritablement efficace, car 90% des sites WEB ne respectent pas les principes de base de protection de la vie privée.
Les trust-e n’ont d’ailleurs réussi pour l’instant qu’à accumuler un maximum de 500 licences.
Quoiqu’il en soit, l’exigence posée par la directive d’un niveau de protection adéquat fait que chaque pays hors Union européenne, s’il veut traiter de données personnelles en provenant, doit mettre à niveau ses règles nationales sous peine d’interdiction du transfert.
Cependant, l’article 26 de la directive apporte certains assouplissements en prévoyant des dérogations telles que le consentement indubitable de la personne concernée par le transfert ou l’offre par le responsable du traitement (et non plus la législation de l’état) des garanties suffisantes de protection de la vie privée et des libertés telles que des clauses contractuelles appropriées.
La directive ouvre ainsi la voie à une contractualisation de la protection des données personnelles, permettant du sur-mesure, mais aussi dégageant de la responsabilité contractuelle.
La directive a également mis en place le principe d’une responsabilité délictuelle dans son article 23. En effet, toute personne ayant subi un dommage du fait d’un traitement illicite a le droit d’obtenir du responsable du traitement réparation du préjudice subi. La personne responsable est définie comme celle qui, seule ou conjointement avec d’autres, détermine les finalités et les moyens du traitement de données à caractère personnel.
Le responsable ne pourra s’exonérer partiellement ou totalement de sa responsabilité que s’il prouve que le fait qui a provoqué le dommage ne lui est pas imputable.
Madame GUIGOU a annoncé récemment les grandes lignes de l’avant-projet de loi de transposition qui sera débattu au parlement au 1er semestre 2000.
La CNIL, qui exerce aujourd’hui son contrôle au moyen d’enquêtes et de vérifications, contrôle relativement limité, verra ses pouvoirs d’investigations, d’injonctions et de sanctions renforcés.