| Francoise Moreau on Thu, 18 May 2000 15:11:03 +0200 (CEST) |
[Date Prev] [Date Next] [Thread Prev] [Thread Next] [Date Index] [Thread Index]
| [nettime-fr] donnees nominatives |
Négociation transatlantique sur la protection des données personnelles Les négociations entre l’Europe et les Etats-Unis sur la protection des données personnelles pourraient être en passe d’aboutir. Ces négociations portent sur l’usage des données nominatives collectées par tous moyens: gestion d’un service (crédit, assurance, emploi, …), questionnaires, enquêtes, … et sur les droits des personnes dont les données sont collectées, avec leur consentement ou à leur insu. Une date limite, fixée au 31 mars, a été repoussée, faute d’accord sur un minimum de règles: information des personnes sur l’identité des responsables auxquels les données sont transmises, accès aux données les concernant (considéré trop coûteux), recours efficace à une autorité de contrôle en cas d’atteinte à la vie privée, sanctions dissuasives, … Mais dans le contexte de la mondialisation économique et en l’absence de débat public, l’accord pourrait être conclu en l’état. Or, dans le débat sur la liberté individuelle concédée au bénéfice de la consommation, il semble que l’individu soit le premier concerné. Travaillant sur ces questions depuis quelques années et dans l’urgence conjoncturelle, je présente ci-dessous l’adresse des sites concernés dans la négociation ainsi que mon dernier texte qui offre un certain nombre d’éléments pouvant alimenter le débat. Adresse du dernier texte de la Commission européenne sur la négociation: http://europa.eu.int/comm/internal_market/fr/media/dataprot/news/harbor4.htm Adresse des derniers textes du côté des Etats-Unis: http://www.ita.doc.gov/td/ecom/menu1.html Adresse d’associations intéressées http://www.epic.org http://www.tacd.org/press_releases/state300300.html Origines et implications des négociations transatlantiques sur le commerce des données nominatives Pour réduire leurs coûts et leurs risques, les entreprises sont contraintes de mieux cibler leurs offres. Le marketing de masse qui propose ses produits et services à l'ensemble de la population est remplacé au début des années soixante-dix par le marketing segmenté qui propose un produit au groupe de population le plus approprié de par ses caractéristiques socio-démographiques. Quelques années plus tard, celui-ci est remplacé à son tour par le marketing individualisé qui propose ses messages ciblés sur le profil de l'individu, défini par ses caractéristiques physiques, sociales, psychologiques ... Législation et progrès techniques évoluent de concert. Les Etats-Unis ont développé le commerce des données locales, puis celui des données nominatives. Ce dernier est exporté en France et en Europe en 1995 malgré le cadre législatif qui avait jusque là entravé son développement. Les négociations entre l'Europe et les Etats-Unis sur le commerce des données personnelles se déroulent aujourd'hui dans le cadre des lois adoptées dans le courant des années soixante-dix, période où s'était développée l'informatique. Elles cherchent à concilier la culture américaine qui favorise le secteur privé de l'information et la culture européenne attachée à la protection de la vie privée. 1 Réglementations et techniques mises en œuvre en France et aux Etats-Unis Les technologies développées aux Etats-Unis favorisent le développement du secteur privé de l'information. Les réglementations adoptées en France ont retardé la diffusion des techniques de traitement des données personnelles. 1.1 Les législations Le marché des données sur la population est encadré par des réglementations sur la liberté de l’information, sur les droits d’auteur ou le copyright et sur la protection de la vie privée. Liberté de l’information Les Etats-Unis ont développé une culture de l’information qui doit être saluée malgré les abus. En effet, les informations sur les négociations transatlantiques en cours proviennent en premier lieu des sites internet américains. L'argument majeur aux Etats-Unis est qu'une information réservée au secteur public conduirait à un état totalitaire. Le secteur privé se réclame de la liberté de l'information en vertu du premier amendement de la Constitution (1) selon lequel la diffusion des données publiques ne peut être restreinte. Face aux réticences de certaines administrations à céder les données en leur possession, le Freedom of Information Act (FOIA, 1966) stipule que les agences fédérales doivent transmettre rapidement tout document en leur possession sur simple demande, à l'exception des informations concernant les secrets d'état ou les intérêts privés. Le système français distingue l'accès aux données publiques de sa diffusion. Le droit d'accès aux données non nominatives est organisé par la loi du 17 juillet 1978 qui exclut le droit à leur commercialisation (2). Le rapport Baquiast (1998) fit diverses recommandations relatives à la liberté de l'information, sous l'influence de l'environnement européen et du développement de l'internet. Mais ces avancées ne s'appliquent pas aux bases de données sur la population qui restent soumises à la réglementation relative aux droits d’auteur. Copyright et droits d’auteur Par le Copyright Act of 1976, les agences fédérales des états-Unis ne peuvent exploiter la valeur économique des informations en leur possession. Elles doivent les diffuser au coût de mise à disposition. Toutefois, le débat n'est pas tranché sur la personne à qui faire porter les coûts de mise à disposition des données publiques, le contribuable ou l’usager. Par exemple, la loi ne s’applique pas aux données détenues par les Etats ni à celles de certaines agences fédérales telles que le NTIS, National Technical Information Service, qui peuvent appliquer une politique de tarification qui couvre tous leurs coûts. Mais la loi s'applique à la diffusion des données du recensement et le Bureau of The Census doit s'y conformer. En France, la loi de mars 1957 relative à la propriété intellectuelle a été confirmée par la circulaire Balladur du 14 février 1994. Celle-ci distingue les données brutes, sans mise en forme originale, qui ne sont la propriété de personne, des données incorporant de la valeur ajoutée par l'administration qui peut se prévaloir de la propriété intellectuelle. La loi du 1er juillet 1998, qui fait suite à la Directive européenne sur la protection juridique des bases de données, confirme cette tendance (3). Ces réglementations permettent à l'INSEE de définir une politique de tarification qui couvre les frais de l'ensemble de sa politique de diffusion. L'INSEE élabore les fichiers de données localisées, produits à forte valeur ajoutée à destination de l'utilisateur final, et module les tarifs selon le type de produits diffusés et la finalité de la demande. Le tarif pourra être inférieur au coût de mise à disposition lorsque le produit diffusé relève de sa mission (par exemple, la diffusion des chiffres de la population légale) ou qu'il est destiné à une activité non lucrative (recherche, domaine social). Il pourra être fixé en fonction des perspectives de vente lorsqu’il relève d’une activité commerciale. L'INSEE mit ainsi en place deux types de licence: la licence pour usage final et la licence pour redistribution. Par la première, l’utilisateur s'engage à utiliser les données uniquement pour son usage personnel. Par la seconde, les sociétés s'engagent à reverser à l’INSEE une redevance sur chaque donnée rediffusée. Protection des données personnelles Le Privacy Act du 3 décembre 1974 réglemente la divulgation des données, l’information des personnes, leur accès aux données les concernant, les traitements des données selon les finalités du fichier, les sanctions en cas de non-respect des règles. Il crée la “Privacy Protection Study Commission” qui a pour mission d’étudier les traitements des données publiques et privées et de faire des recommandations pour protéger la vie privée en application de la loi ou proposer de nouvelles lois. Mais cette commission cesse d’exister le 30 septembre 1977, malgré de multiples demandes de la rétablir, et la loi ne s’applique qu’aux données détenues par le secteur public. Diverses lois sectorielles sont adoptées, notamment depuis la promulgation de la Directive européenne en 1995, limitant l’usage du Social Security Number et touchant à la protection des données on-line. En 1998, des dispositions limitent l'usage du Social Security Number et le Congrès adopta le "Children's Online Privacy Protection Act" qui réglemente la collecte d'informations sur les enfants âgés de moins de 13ans à partir des réseaux en ligne. Mais pour le moment règne essentiellement l'autorégulation des marchés, basée sur les codes de bonne conduite élaborés par les associations professionnelles auxquelles les sociétés adhèrent selon leur secteur d'activité. En France, la loi du 6 janvier 1978 crée la Commission nationale de l'informatique et des libertés (CNIL). L'article 2 de cette loi précise que “Aucune décision administrative ou privée impliquant une appréciation ou un comportement humain ne peut avoir pour seul fondement un traitement automatisé d'informations donnant une définition du profil ou de la personnalité de l'intéressé”. La loi allait ainsi au delà de la possibilité d'identifier un individu et permettait à la CNIL d’empêcher l'enrichissement des fichiers nominatifs par les données du recensement, par conséquent d’adresser un mailing ciblé sur les caractéristiques socio-démographiques définissant l’aire géographique de résidence (4) L’avis de la CNIL de mars 1989 sur la Diffusion des données du Recensement de la population de 1990 interdisait de même à l'INSEE de diffuser les données sur des zones géographiques inférieures à 5000habitants (hormis le comptage de la population et des logements). 1.2 Du marketing de masse au marketing individualisé Le concept de segmentation de marché qui créa la demande, et les progrès en informatique qui permettaient son éclosion (5) apparaissent au début des années soixante-dix aux Etats-Unis. Les réglementations et l'activité de la Cnil empêchent le commerce des données locales de se développer en France. En 1995, le commerce des données nominatives, développées depuis quelques années aux Etats-Unis, atteint le marché français, la Cnil étant dépassée par les nouvelles technologies et la soudaineté du phénomène. Aux Etats-Unis Pour le recensement de 1970, le Bureau of The Census adressa les questionnaires par courrier dans les grandes agglomérations sur des aires géographiques regroupant environ 4000personnes. A cette occasion, un système cartographique informatisé (6) fut développé pour associer chaque adresse à l'aire géographique correspondante. Des outils informatiques, fichiers de données géographiques, cartes ... se développèrent alors pour rapprocher diverses données locales aux données du Bureau of The Census. Ils permirent aux sociétés d’étudier leur implantation, localiser aussi bien le réseau des agences bancaires que les stations service ou les grandes surfaces, comparer les caractéristiques de leur clientèle avec celles de la population recensée. Les données livrées par le Bureau of The Census étant stockées sur des bandes exploitables sur gros systèmes, équipement informatique trop coûteux pour l’utilisateur final, de nombreuses sociétés se sont alors créées sur la revente des données du Bureau of The Census après leur formatage sur des systèmes compatibles avec l'équipement de l'utilisateur final. En 1975, Max Eveleth, président de la société Urban Data Processing, montrait dans son intervention au séminaire organisé par le Bureau of The Census autour de l'usage des données démographiques (7) tout le travail effectué pour convaincre les entreprises de l'utilité de ces données pour la segmentation de marché, principalement pour l'adressage de mailings ciblés sur les personnes correspondant le mieux au profil du produit ou du service offert. Lorsque les progrès en équipement informatique permirent à l'utilisateur final de s'approvisionner directement auprès du Bureau of The Census, les sociétés redistributrices, privées de leur principale source de profit, ont dû ajouter une plus-value aux données vendues par le Bureau of The Census (personnalisation des données aux besoins de l'utilisateur final, interconnexion des données, accès sur réseau ...). En 1985, l’Administration Reagan (8) limita l’activité de diffusion des agences fédérales à la simple mise à disposition des données en leur possession, le travail d’élaboration étant réservé au secteur privé. Les agences fédérales ne pouvaient élaborer que les produits que le secteur privé ne diffusait pas (9). Jusqu'en juin 1992, la législation donnait aux entreprises privées la priorité de la diffusion des données lorsqu'elles demandaient une extraction spécifique au Bureau of The Census, leur en réservant l'exclusivité pendant les six mois suivant la réception des fichiers. Lorsque l’Administration Clinton élargit le rôle de diffusion des agences fédérales, le Bureau of The Census diffusa sans délai le produit de ces extractions et standardisa à prix coûtant des fichiers de données correspondant aux besoins spécifiques d'un nombre toujours plus grand d'utilisateurs. Les sociétés redistributrices doivent trouver un nouveau terrain pour subsister. La convivialité croissante des logiciels cartographiques et de systèmes de gestion de bases de données accroissent la clientèle potentielle et les possibilités de traitement des données. Internet et le commerce électronique ouvrent une nouvelle voie de collecte des données personnelles, tant par les questionnaires auxquels l’internaute répond pour avoir accès à un service, que par les moyens informatiques qui permettent de suivre ses domaines d'intérêt grâce aux connexions qu'il effectue. Les sociétés redistributrices se spécialisent dans le commerce des données nominatives et partent à la conquête de nouveaux marchés à l’étranger, notamment en Europe où elles se heurtent à la législation en vigueur dans ces pays. En France La Coref, société de marketing née au début des années soixante-dix, obtint de l'INSEE le fichier détail du recensement de 1982 dont les données lui ont permis d'enrichir les fichiers de ses clients. Les difficultés pour entrer sur le marché étaient telles, tant par la faiblesse de la demande que par les obstacles réglementaires, qu'elle resta longtemps la principale société redistributrice des données de l'INSEE. Elle s'engagea dans la définition des îlots-type qui permettaient d'effectuer des mailings ciblés sur les caractéristiques socio-démographiques de la population de l'îlot. Cette activité se heurta aux dispositions de la CNIL et elle n’obtint pas le fichier détail du recensement de la population de 1990. De même, la législation ne permettra pas à cette société, devenue Experian lorsqu'elle a été rachetée par une société américaine, d'obtenir les données du fichier détail du recensement de cette année 1999. La société ADDE, qui commercialise le logiciel cartographique MapInfo, est actuellement le rediffuseur officiel des données de l'INSEE et commercialise les données autrement obtenues dans les publications papier de l'INSEE pour valoriser son logiciel. En fait, les sociétés de marketing se développent sur l'activité de service et de conseil aux entreprises et reçoivent une commission de courtage de 20% sur les produits achetés à l'INSEE par le client. Les sociétés spécialisées dans le commerce des données nominatives font leur apparition en France à partir de 1995 avec le développement des bases de données comportementales. Celles-ci sont alimentées par les données nominatives achetées aux sociétés privées, les fichiers publics, les données anonymes locales du secteur public et les questionnaires distribués aux foyers. Bien que ces sociétés soient censées respecter la réglementation sur la collecte et la diffusion des données sur la population, les règles de la CNIL sont contournées. Par exemple, si les questionnaires déposés dans les boîtes aux lettres, distribués aux passants ou laissés dans les lieux de vente mentionnent le droit des personnes en matière de données nominatives, elles le font d'une manière si discrète que l'information reste inaperçue dans la plupart des cas. La société Claritas, une des sociétés leader des Etats-Unis, se heurta en janvier 1999 à l'opposition de la CNIL lors du lancement de son enquête annuelle sur les comportements d'achat auprès de 20 millions de ménages français parce qu'elle incluait une question concernant le sexe du conjoint (Erich Inciyan, Le Monde, 19/01/99). La société Consodata déclare avoir collecté en France aujourd'hui les données concernant huit millions de personnes. L'objectif affiché de ces deux sociétés qui se partagent le marché en France est de détenir dans leurs fichiers la totalité de la population française et européenne. 2 - La confrontation de deux cultures L’Europe est au carrefour de la culture américaine qui a permis au marché de se développer en l’absence de contraintes légales, et de la culture des pays européens, notamment de la France, qui a dressé des barrières législatives au développement mercantile des données personnelles. Le droit à la vie privée est inclus dans l'article 8 de la Convention européenne des droits de l'homme de 1950. Le Conseil de l'Europe adopta le 28 janvier 1981 la Convention pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel. Un comité consultatif est chargé d'améliorer la Convention. La Recommandation du 25 octobre 1985 sur les données à des fins de marketing direct reconnaît l'importante contribution de la commercialisation des bases de données sur la population pour le développement du marketing direct et la nécessité de protéger la vie privée des individus. La Recommandation du 9 septembre 1991 sur la communication, à des tierces personnes, de données à caractère personnel détenues par des organismes publics constate la tendance croissante du secteur privé à exploiter de telles données, augmentant le risque d'ingérence dans la vie privée et laisse le droit interne définir le droit d’accès aux données publiques. 2.1 La Directive européenne La Commission européenne s’est chargée de légiférer sur la protection des données personnelles dans le cadre de la libre circulation des biens et des personnes malgré les doutes exprimés sur la légitimité de cette mission (10). La Directive européenne du 24 octobre 1995 relative à la Protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, s’est largement inspirée de la Convention. Elle précise les conditions générales de licéité des traitements de données à caractère personnel, données qui permettent d’identifier une personne physique, directement ou indirectement: · Les données doivent être enregistrées pour des finalités déterminées et traitées de manière compatible avec ces finalités. · Le traitement des données sensibles (origine raciale ou ethnique, opinions politiques, convictions religieuses ou philosophiques, appartenance syndicale, santé et vie sexuelle) est interdit. Le droit interne peut lever l'interdiction en cas de consentement de la personne concernée Reconnaissant une opposition de tendances entre les intérêts légitimes du responsable du traitement et les droits et libertés fondamentaux des personnes, elle précise les droits des personnes en dissociant clairement les données collectées auprès de la personne concernée de celles qui ont été transmises à une société tiers: · Information préalable au traitement sur l’identité du responsable du traitement, les finalités du traitement, l’existence de droits d’accès et de rectification, les destinataires des données. Lorsque les données ont été cédées à une société tiers, le responsable du traitement doit informer les personnes sur les catégories de données concernées et l’existence du droit d’opposition. · Accès aux données et à l’information sur leur origine lorsqu’elles n’ont pas été collectées directement auprès de la personne. · Choix d’en obtenir la rectification, l’effacement en cas de non respect de la finalité ou en cas de données sensibles, la notification aux tiers des modifications des données, et de s’opposer aux traitements, notamment à des fins de prospection. · Recours devant l’autorité de contrôle ou la juridiction nationale avec réparation du préjudice subi, le droit national déterminant les sanctions. Elle précise des dispositions s’appliquant aux responsables des traitements et aux autorités de contrôle: · Elle encourage l’élaboration de codes de conduite sectoriels destinés à la bonne application des dispositions nationales en conformité avec la Directive. · Les pays membres désignent une autorité de contrôle qui surveille l’application des règles avec pouvoirs d’investigation, d’intervention et d’ester en justice. · Le transfert ne peut avoir lieu que si le pays tiers assure un niveau de protection adéquat, niveau validé par la Commission européenne (11). A cet effet est créé un comité composé d’un représentant de chaque Etat membre et présidé par un représentant de la Commission. Le comité émet un avis à la majorité qualifiée (12) sur les projets. La Commission arrête alors les dispositions qui lient les pays membres. La Directive a été élaborée dans le souci d’harmoniser les réglementations nationales des pays de la Communauté européenne qui présentent une grande diversité des réglementations et dans l'organisation de leur système informatique. Elle laisse ainsi une large place aux spécificités internes par toute une série de dérogations. La France, ainsi que l'Allemagne, les Pays-Bas, le Luxembourg et l'Irlande n'ont pas encore transposé la Directive européenne dans leur loi sur la protection de la vie privée. Les négociations transatlantiques influenceront sans aucun doute les prochaines lois nationales. 2.2 Les négociations transatlantiques La Directive européenne stipule que le transfert des données d'un pays membre ne puisse s'effectuer si ce pays n'assure pas une protection adéquate. Les Etats-Unis n'ayant pas de cadre légal entourant la protection de la vie privée, l'interdiction de transfert leur fut appliquée. Suite à sa promulgation en octobre 1995, les réactions ont été vives aux Etats-Unis: les sociétés intéressées considéraient que leur pays assurait aussi bien la protection de la vie privée que l'Europe ; les associations américaines de défense des droits de l'homme relançaient leur appel à la protection de la vie privée. Les principes de Safe Harbor Le gouvernement américain devait concilier la Directive européenne réglementant la protection des données sur la vie privée d'une manière globale avec leur pratique d'autorégulation et leur approche sectorielle en matière de législation sur la protection des données individuelles. Le Département du commerce (13) publia le 4 novembre 1998, moins d'un mois après l’entrée en vigueur de la Directive européenne et de la Conférence d’Ottawa (14) The International Safe Harbor Privacy Principles qui posait les principes d'une instance, Safe Harbor, à laquelle les sociétés américaines pourraient adhérer sur la base d'un volontariat qui les engageait à respecter sept principes interprétant les articles de la Directive européenne. L'adhésion à cette instance leur permettait de bénéficier du droit au transfert des données à caractère personnel en provenance des pays européens sans que ceux-ci puissent le refuser. Le Département du Commerce associa à ces principes l'appel à commentaires de la part du secteur privé. A partir de ceux-ci, il publia le 19 avril 1999 une nouvelle version des principes de Safe Harbor associée à appel à de nouveaux commentaires. Une troisième version fut publiée le 15 novembre 1999 et une suivante fin mars 2000. Si les précédentes versions furent rejetées par l'Europe, cette dernière version constituerait un projet d'accord. Les premiers commentaires montraient en général que les sociétés américaines supportaient assez mal que les pays européens leur donnent des leçons. Certaines sociétés eurent des réactions violentes, d'autres s'insurgeaient, en vertu des lois américaines sur la liberté de l'information, contre l'article 8 de la Directive excluant la diffusion des données sensibles. La DMA (Direct Marketing Association), qui regroupe environ 4300sociétés de par le monde, plus conciliante, faisait toutefois remarquer que les Etats-Unis offraient un niveau de protection de la vie privée semblable à celui de l’Union européenne. · Arguant du fait que la Directive européenne encourage le développement de codes sectoriels de bonne conduite, la DMA propose l’adhésion automatique au Safe Harbor des entreprises affiliées à une association professionnelle ayant élaboré un tel code. Elle-même a élaboré un code sur l’utilisation des données personnelles à des fins de marketing direct. La nouvelle version des principes de Safe Harbor confirme que les codes de conduite élaborés par les associations professionnelles doivent adhérer à ces principes pour que les sociétés affiliées soient intégrées au Safe Harbor. · Sur les droits d’information et d’accès des personnes aux données les concernant, la DMA oppose le droit de propriété de l’information et une contrainte trop lourde et onéreuse pour les entreprises. Dès la deuxième version du Safe Harbor, les droits sont restreints par rapport à la Directive: Relativement aux droits à l’information, la personne ne peut demander à la société détentrice l’origine des données qu’elle détient. Elle tendrait à aller dans le sens de la DMA qui faisait valoir que ces droits relevaient du responsable de la collecte, situé en Europe, contrairement aux dispositions de la Directive européenne qui engagent le responsable du traitement des données. Le caractère “raisonnable” de l’accès mentionné dans la Directive fait l’objet de négociations. La dernière version refuse l’accès aux personnes lorsqu’il est considéré trop coûteux face aux risques d’atteinte à la vie privée. Les négociations sont en cours sur ce point. · Dans un premier temps, la DMA acceptait d’informer les personnes sur le transfert des données à un tiers, avec possibilité de refus (15) mais sans droit de regard sur l’identité du tiers, contrairement à ce que stipule la Directive européenne. En dernière analyse, les principes de Safe Harbor annuleraient cette possibilité sous prétexte que tous les pays européens ne s’y sont pas engagés dans leur loi nationale (16) · La définition des données sensibles posait problème, mais dès la deuxième version des principes de Safe Harbor, la définition européenne est acceptée. · Enfin, comme le suggérait la DMA, les sanctions émaneraient des associations professionnelles de par leurs codes de conduite et non des législations gouvernementales alors que la Directive prévoit que les codes de conduite soient validés par l’autorité de contrôle et donne à celle-ci les pouvoirs d’investigation et d’action en justice. Les négociations sont en cours sur ce point. En conclusion, si les principes de Safe Harbor acceptent la définition européenne des données sensibles, elle réduit l'accès aux données et le pouvoir de l'autorité de contrôle en matière d'action en justice et de sanction. Ce sont pourtant deux notions fondamentales : si les personnes ne peuvent avoir accès aux données, elles ne peuvent constater de manquement aux règles ; si l'autorité de contrôle n'a pas suffisamment de pouvoir, les règles ne seront pas appliquées strictement et les sanctions ne seront pas dissuasives. Ces deux points sont en cours de négociation et leur aboutissement aura un impact direct sur la protection des données européennes dans la mesure où les principes de Safe Harbor priment sur les lois nationales. 2.3 La société civile Les associations américaines, bien que souvent subventionnées par le secteur privé (17) relancent le débat sur la protection de la vie privée, débat relayé par la presse. Les associations les plus représentatives des intérêts des individus en matière de respect des droits de l’homme (18) participent à l'élaboration des législations et exercent leur vigilance dans l'observation des lois par les entreprises. Les nombreuses propositions de lois rappellent le climat des années soixante-dix. Le nombre d’actions menées au Congrès (19) en relation avec la protection de la vie privée, depuis le 93ème Congrès, montre l’évolution de l’intérêt porté à cette question depuis 1973. Le débat est marqué par les pratiques intrusives dans la vie privée. · L'annonce en janvier 1999 de la société Intel d'inclure un numéro unique d'identification dans son nouveau micro-processeur, le Pentium III, qui permet d'identifier et de tracer les utilisateurs dès qu'ils se connectent à Internet est suivie d'une plainte déposée devant la "Federal Trade Commission". La plainte insistait sur l'apparition d'un numéro unique d'identification de l'internaute (Processor Serial Number, PSN) qui vient à l'encontre des transactions anonymes habituelles sur le Web. Le danger est mis en parallèle avec le numéro de sécurité sociale (Social Security Number, SSN) dont l'utilisation a évolué avec le temps jusqu’à devenir un code commun aux bases de données. Des informations détaillées étaient disponibles pour de multiples usages, du marketing direct à la surveillance policière en passant par l'obtention d'un emploi, d'un crédit ou de tout autre service. Les associations craignent que le numéro unique introduit par le Pentium suive la même voie dans la mesure où personne ne peut contrôler les applications futures. · TRUSTe, association professionnelle ayant élaboré un code de conduite que les sociétés adhérentes sont censées respecter, ne poursuit pas les sociétés prises en flagrant délit de violation à ce code, considérant que le code de conduite n'a pas été violé. C'est le cas en mars 99 de Microsoft qui inclut un identifiant dans ses logiciels qui lui permettait de collecter des informations. C'est aussi le cas le 1er novembre de la société de distribution en ligne RealNetworks qui collectait les informations à l'insu de ses 13,5 millions d'utilisateurs. Une récente enquête conduite par Harris Interactive montre l'intérêt grandissant des Américains pour la protection des informations personnelles. 57% des répondants demandaient des lois pour savoir comment les informations étaient collectées et utilisées sur internet. 15% faisaient confiance à l'auto-régulation basée sur les codes de conduite. The Transatlantic Consumer Dialogue (TACD) demandait que "la perte de la vie privée des consommateurs ne soit pas le prix de l'économie d'information. En général, les associations espéraient que Safe Harbor améliorerait leur propre protection. Or, ces principes ne s'appliquent qu'aux données issues d'Europe. Conclusion Nous avons montré que la logique du marché, en l’absence de contraintes légales, conduit à la diffusion de données toujours plus fournies sur la totalité de la population. La Directive européenne laissait aux législations nationales une alternative : · Créer un cadre légal très strict de protection des données personnelles qui impliquait la vigilance de la population pour être respecté. L'Espagne adopta un cadre restrictif qui prévoyait les moyens de faire appliquer les sanctions aux contrevenants et informa la population de la nécessité de vigilance. · Créer un cadre minimal de protection, peu contraignant, qui serait accepté par la plupart des sociétés. L'Angleterre adopta cette position. Les négociations transatlantiques autour de l'accès aux données et du pouvoir de l'autorité de contrôle participe de cette alternative et lient les pays européens dans la mesure où les principes de Safe Harbor auront une force légale supérieure aux législations nationales. La position outre-atlantique repose sur la libre adhésion des sociétés aux principes de Safe Harbor, privilégie l'auto-régulation en matière d'autorité de contrôle et prive la population d'exercer sa vigilance au motif que les coûts d'accès aux données sont trop élevés. Les entreprises américaines ont montré l'inefficacité de l'auto-régulation : elles développent de nouvelles techniques intrusives sous couvert de se protéger contre les fraudeurs, l’infraction aux codes de conduite n’est pas reconnue, les sanctions quand elles existent ne sont pas dissuasives. A l'heure des découvertes génétiques et des nouvelles techniques de collecte et de gestion des bases de données, cette position ne répondrait pas aux attentes de la population des deux côtés de l’Atlantique. Elle pourrait mener au développement mal contrôlé des bases de données nominatives sous l’effet de la concurrence, comme l'a montré le passage des données locales aux données nominatives. Notes 1 ARTICLE PREMIER [Limitation des pouvoirs du Congrès]. Le Congrès ne fera aucune loi relativement à l'établissement d'une religion ou en interdisant le libre exercice; ou restreignant la liberté de parole ou de la presse; ou le droit du peuple de s'assembler paisiblement, et d'adresser des pétitions au gouvernement pour une réparation de ses torts. 2 Martine Viallet, La politique française de diffusion des données publiques, in Access to Public Information: A Key To Commercial Growth And Electronic Democracy. Conference, Stockholm, 27-28 juin 1996. 3 Revue Expertises, n°218, août-septembre 1998. 4 Michel Jacod, Pratique statistique, déontologie et législation. Le cas français. Journées européennes démographie, statistique et vie privée, 23-24 octobre 1995. 5 William Alonso and Paul Starr Editors, The politics of numbers, for the National Committee for Research on the 1980 Census, Russel Sage Foundation, New York, 1984. 6 Le système Dual Integrated Map Encoding (DIME) fut un investiment important, 22 millions de dollars, du Bureau of the Census. 7 Max Eveleth, Commercial use of Census Data, idem note 7. 8 Robert Gellman, Privacy and Information Policy Consultant, Washington, D.C., “The American model of access to and dissemination of public information.”, idem note 5. 9 Office of Management and Budget Circular A-130 on the Management of Federal Information Resources, 50 Federal Register 52729 (24 décembre 1985). 10 Guy Braibant, Données personnelles et société de l’information, La Documentation française, 1998. 11 La Convention demandait un niveau “équivalent” mais elle inversait la proposition, stipulant que les règles s’appliquent aux transferts à travers les frontières nationales et les Etats membres peuvent s’y opposer si le pays tiers n’assure pas une protection équivalente. 12 selon les modalités de l’article 148, paragraphe2 du traité, qui affectent une pondération aux voix des représentants. 13 En relation avec la mission "Task Force on Electronic Commerce, et International Trade Administration. 14 Conférence de l'OCDE sur le commerce électronique. 15 Dans cet esprit, elle promettait la mise en place d’une disposition supplémentaire dans son code de bonne conduite, DMA’s Privacy Promise qui devait être effective le 1erjuillet 1999, selon laquelle un membre de l’association transférant des données à un tiers non affilié doit informer les individus sur leur possibilité de refuser le transfert de ses données. 16 Cette remarque pourrait être recevable si les principes de Safe Harbor ne prévalaient sur les législations nationales. Dans ce cas, la formulation devrait être inversée: si un seul pays s’est engagé à une pratique dans le cadre de la Directive, les principes de Safe Harbor doivent en tenir compte. 17 Center for Democracy and Technology (CDT), Consumer Action, Privacy Rights Clearinghouse, Private Citizen, Big Brother Inside ... 18 Electronic Privacy Information Center (EPIC www.epic.org, Privacy International www.privacyinternational.org, … 19 Relevées dans la base de données mise au point par la Librairie du Congrès sur le mot-clé “Privacy”, consultable à l’adresse thomas.loc.gov _____________________________________________ #<nettime-fr@ada.eu.org> est une liste francophone de politique, art,culture et net, annonces et filtrage collectif de textes. #Cette liste est moderee, pas d'utilisation commerciale sans permission. #Archive: http://www.nettime.org contact: nettime@bbs.thing.net #Desabonnements http://ada.eu.org/cgi-bin/mailman/listinfo/nettime-fr #Contact humain <nettime-fr-admin@ada.eu.org>