Lors de la 6e conférence «Computers, Privacy and Data Protection» à laquelle j’ai participé la semaine dernière à Bruxelles, le cœur des discussions s’est porté sur la révision du droit européen de la protection des données. Présenté il y a une année, le projet de la Commission européenne prévoit un Règlement relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (règlement général sur la protection des données) et une Directive relative à la protection des données à caractère personnel traitées à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière, ainsi que d’activités judiciaires connexes. Le droit suisse sera également révisé, de même que la Convention du Conseil de l’Europe pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel (Convention 108). Cette convention sera particulièrement importante car elle n’est pas limitée aux pays européens. Vu le nombre de données qui traversent quotidiennement les frontières virtuelles de l’Europe et de la Suisse, il est essentiel que la Convention 108 reprenne les éléments principaux du nouveau règlement européen pour aligner le niveau de protection dans les autres pays.
Les discussions (officielles et officieuses, de même que le lobbying) sont intenses en Europe et aux USA, en particulier où le droit à l’oubli fait très peur (alors qu’il ne s’agit guère plus que d’un droit à l’effacement). La situation n’est guère différente de celle qui prévalait avant l’adoption de la Directive 95/46/CE il y a presque 20 ans et où certains prédisaient la mort de nombreuses entreprises. Le commerce ne semble pourtant pas avoir souffert de cette législation.
Un des problèmes, que le nouveau règlement ne résoudra pas, est l’accès aux données hébergées à l’étranger par les autorités étrangères, en particulier américaines. Une solution viendra peut-être d’un accord politique entre UE et USA, un peu à la manière dont le Safe Harbor avait été conclu (sphère de sécurité permettant de transférer les données, similaire à la sphère de sécurité Suisse-USA). Un accord par lequel les USA s’interdiraient d’accéder aux données d’Européens paraît peu probable. Lors de son adoption, le Safe Harbor avait subi de nombreuses critiques des Européens (protection insuffisante, déficit démocratique lié à son mode d’adoption, absence de contrôle et d’exécution judiciaire) et des Américains (application extraterritoriale des valeurs européennes, trop grande prise en compte des principes européens). Avec le recul ce texte de compromis a néanmoins permis de sauver les intérêts économiques de toutes les parties. Il a aussi permis à la Commission fédérale américaine du Commerce (FTC) de prononcer plusieurs sanctions. La FTC ne pouvant que sanctionner un comportement contraire à ce qui a été promis, le Safe Harbor a joué indirectement un rôle essentiel puisqu’il a conduit de très nombreuses entreprises à s’engager à respecter la protection des données de leurs clients. La FTC a ensuite pu agir lorsque ces promesses (qu’elles soient liées ou non au Safe Harbor) n’ont pas été tenues.
Drones et start-ups
Parmi les nombreux autres sujets abordés (Big Data, Cloud, protection du consommateur), j’ai choisi de revenir sur celui de l’usage des drones par les autorités policières et les particuliers ainsi que le rapport des start-ups à la protection des données. Alors que les USA n’ont pas de loi limitant l’usage des drones, leur utilisation dans le cadre d’enquêtes pénales est soumis à des restrictions dans plusieurs pays. En Suisse, les conditions à remplir par la police sont similaires à celles qui régissent le recours à des caméras de surveillance ou des balises GPS. La situation est plus délicate lorsqu’une personne privée utilise un drone et des règles de protection de la vie privée pourraient trouver leur place dans les normes plus générales qui règlent l’usage de ces appareils (bruit, autorisation de vol, etc.)
Quant aux start-ups, il était frappant de voir à quel point la protection des données ne faisait pas partie de leurs préoccupations premières. Qu’une entreprise en création ne se pose pas la question de toutes les lois qu’elle doit respecter ne me surprend pas beaucoup (il n’y a a ce stade pas de service juridique, les moyens sont limités et l’énergie est concentrée vers la partie centrale du projet). En revanche, il est dommage que, indépendamment des exigences légales, la plupart des entrepreneurs ne soient pas sensibles à la protection des données en tant que valeur. Dès le début, il est essentiel de penser au message et à l’image que l’entrepreneur veut transmettre et le respect de la sphère privée en fait partie.
Laisser un commentaire