Entreprises et protection des données personnelles : les cas français et américain

L'exemple français sert d'exemple à nombre de pays, dont les Etats-Unis, en matière de protection des données personnelles. Comparaison des deux systèmes.

"Les informations personnelles des Américains peuvent être consultées et vendues au plus offrant en quelques clics." C'est ce constat du sénateur Leahy qui l'a poussé, en compagnie du sénateur Sanders, à introduire un projet de loi concernant la protection des données personnelles par les entreprises. L'un des apports principaux de ce projet serait de criminaliser toute dissimulation de failles dans la sécurité des systèmes comprenant des données privées et personnelles.

 

Plus précisément, cette loi obligerait les entreprises à laisser aux individus un droit d'accès et de rectification des données les concernant ainsi qu'à prévenir les forces de l' ordre en cas de faille dans un système comportant des données personnelles. Par ailleurs, le responsable du système d'information concerné pourra être tenu pour responsable d'un vol de données.

Enfin, le projet de loi mettrait en place un système de contrôle interne au sein des entreprise et du gouvernement pour garantir un certain niveau de sécurité pour la protection des données personnelles collectées. Ainsi, des sociétés sous contrant avec l'Etat seraient chargées de mettre en place des audits et imposeraient des pénalités financières en cas de non respect de la sécurité ou de la vie privée.

 

Selon les auteurs, "ce projet de loi servira non seulement à prévenir les américains lorsque leurs données auront été divulguées par accident, mais servira aussi  à régler le problème sous-jacent du faible niveau de sécurité existant concernant la protection des ces données ainsi que le manque de responsabilité effective lorsqu'une telle faille survient, afin de prévenir tout incident futur".

 

Un projet similaire avait été proposé l'année dernière par les sénateur Leahy et Specter mais avait été rejeté. Ainsi, les données personnelles étaient protégées inégalement selon les Etats. Le "Center for Democracy and Technology", qui a soutenu tous les projets fédéraux, a émis un communiqué disant qu'il soutenait les efforts au niveau national à condition qu'ils ne portent pas atteinte aux lois fédérales pré-existantes plus protectrices.

 

Ce projet permettrait de rapprocher le système américain de la protection assurée en Europe et plus particulièrement en France, pays précurseur en la matière.

 

En effet, la France a été le premier état à se doter d'une loi visant à protéger le traitement de données à caractère personnel.

La loi du 6 janvier 1978 dans sa version modifiée par la loi du 6 août 2004 (transposant la directive communautaire du 24 octobre 1995) dite "loi Informatique et Liberté" encadre tous les traitement de données à caractère personnel automatisé ou non (à l'exception des traitement purement personnel).

En outre, le décret du 20 octobre 2005 fixe les formalités obligatoires préalables à tout traitement ainsi que les pouvoirs de contrôle, d'investigation, d'injonction et de sanction de la Commission Nationale Informatique et Liberté (CNIL).

 

Ainsi le traitement des données à caractère personnel est encadré et depuis la collecte jusqu'à la destruction par plusieurs principes directeurs.

 

De l'article 6 de la loi de 1978 il découle que "la collecte et le traitement des données à caractère personnel doivent être effectués de façon licite et loyale, pour une finalité déterminée, explicite et légitime" (Christiane Féral-Schul, Cyberdroit, Dalloz 2006 4e éd. ).

De ce principe de loyauté découlent également les principes de proportionnalité, qui impose de ne collecter que les données nécessaires à la finalité du traitement, et de sectorisation qui autorise les fichiers de "mauvais payeur" uniquement au sein d'un même secteur au risque de porter atteinte à la vie privée des individus. Ainsi, le collecte frauduleuse ou déloyale de données ou encore le détournement de finalité son susceptible de mettre en cause les responsabilités civile et pénal de leur auteur.

 

De l'article 34 de la loi il découlé une obligation de sécurité renforcée qui fait peser sur le responsable du traitement "l'obligation de mettre en oeuvre les mesures techniques et d'organisation appropriées pour protéger les données contre la destruction accidentelle ou illicite, la perte accidentelle, l'altération, la diffusion ou l'accès non autorisés". Les dispositions prises par chaque responsable du traitement doivent être décrite dans le formulaire de déclaration à la CNIL préalable à tout traitement. La encore, le "fait de procéder ou de faire procéder à un traitement de données à caractère personnel sans mettre en oeuvre les mesures prescrites à l'article 34" met en jeu les responsabilités civiles et pénales du responsable du traitement.

 

L'article 7 de la loi 1978 impose par ailleurs que les individus dont les données à caractère personnel seront collectées aient préalablement consenti de façon expresse au traitement. De ce fait le responsable de traitement doit préalablement fournir certaines informations à la personne auprès de laquelle il compte recueillir des données, comme l'identité du responsable du traitement, le caractère obligatoire ou facultatif des réponses, la finalité du traitement, le droit d'accès, de rectification et d'opposition, les destinataires des données ainsi que le transfert éventuel vers des Etats non membres de l'Union européenne.

 

Enfin, l'article 39-I-4 de la loi prévoit un droit d'accès (direct ou indirect) pour tout individu aux données le concernant ainsi qu'une possibilité de contestation, rectification (article 40) et opposition (article 38). Le non respect de ces obligations est une fois de plus constitutif d'une infraction au code pénal.