Contenu

Pourquoi les USA et l'Europe n'ont pas la même vision de la vie privée ?

Les États-Unis et l’Europe semblent mal se comprendre en matière de protection des données. Il arrive par exemple qu’on entende ou lise de la part d’Européens que les États-Unis n’ont pas de loi sur la protection des données. Si les deux systèmes sont bel et bien différents, il n’est cependant pas certain que l’un soit meilleur que l’autre. Explications.

N.B. Cet article a aussi été publié sur la plateforme EthACK.org.

Conception de la vie privée

Tout d’abord, il n’y a pas de divergence fondamentale dans la conception même de la vie privée entre les États-Unis et l’Europe.

L’art. 12 de la Déclaration Universelle des Droits de l’Homme stipule ceci :

Nul ne sera l’objet d’immixtions arbitraires dans sa vie privée, sa famille, son domicile ou sa correspondance, ni d’atteintes à son honneur et à sa réputation. Toute personne a droit à la protection de la loi contre de telles immixtions ou de telles atteintes.

Il est probable que la vie privée soit un élément plus sensible dans l’ADN des Européens que dans celui des Américains. L’Histoire européenne, en particulier ce qui a trait à la Gestapo et au KGB soviétique, n’y est évidemment pas étrangère. Par exemple, l’Europe l’a consacrée comme un droit fondamental à l’art. 7 de la Charte des droits fondamentaux (la “Constitution européenne” en quelque sorte). Et on en retrouve à peu près la même substance dans chaque constitution de chaque pays de l’UE, y compris la Suisse. L’État a donc une responsabilité envers ses citoyens.

Aux États-Unis, le Bill of Rights (la “Déclaration des droits”, qui est le nom collectif des dix premiers amendements à la Constitution américaine) ne garantit pas explicitement le droit à la vie privée. Le mot “privacy” n’existe même pas dans la Constitution américaine. Il a plus ou moins implicitement été déduit du neuvième amendement par les tribunaux et la Cour Suprême.

L’énonciation dans la Constitution de certains droits ne devra pas être interprétée de façon à dénier ou à limiter d’autres droits conservés par le peuple. (9ème amendement)

Alors que l’UE a une conception de la vie privée axée sur la participation active et la coopération des autorités avec le secteur privé, les États-Unis – où l’économie est plus orientée vers le consommateur qu’en Europe – donnent plus de liberté à la corporate governance. Vue de l’Europe, cette conception donne l’air d’être plus intéressée à protéger l’économie que les consommateurs.

L’élément sécuritaire joue un rôle énorme depuis les attentats du 11 septembre 2001. Pendant que l’UE se chargeait de renforcer les libertés individuelles, les États-Unis s’armaient du Patriot Act. Cet élément à lui seul a créé un gouffre systémique et culturel entre l’UE et les États-Unis : les valeurs ont très rapidement évolué, ainsi que le rôle du gouvernement et, plus important encore, la notion même de vie privée.

Implémentation

On ne se trouve pas devant une différence philosophique sur la conception de la vie privée, mais plutôt sur la manière de la protéger et de l’implémenter. Les principes en eux-mêmes sont similaires des deux côtés de l’Atlantique. Ce sont surtout les façons de penser qui divergent.

En Europe, l’UE et les différents États donnent, en règle générale, plus de droits à leurs citoyens en adoptant des directives et lois générales couvrant la quasi-totalité de la matière, puis en colmatant les vides ou en précisant certains éléments au moyen de lois spéciales. Les Européens bénéficient donc, sur le papier en tout cas, d’un grand nombre de garde-fous qui protègent et assurent leur vie privée.

Les États-Unis, à l’inverse, n’ont pas de loi générale, globale. Il n’y a pas d’équivalent américain de la directive 95/46/CE ou de la loi fédérale sur la protection des données (LPD) en Suisse. L’approche américaine est ad hoc, c’est-à-dire qu’il y a des dispositions sur la protection des données dans chaque loi ou réglementation pour chaque domaine (s’il y a des considérations à prendre en compte pour protéger la vie privée, évidemment) ; ces dispositions sont issues des lois, de l’autorégulation (i.e. les règles adoptées par les associations ou fédérations de la branche concernée) et des diverses réglementations publiques (i.e. celles de la Federal Trade Commission (FTC), par exemple). En gros, le système juridique américain de la protection de la vie privée est un patchwork.

Pour en revenir à la façon de penser des uns et des autres, on pourrait voir les Européens comme plus idéalistes que les Américains, ces derniers étant plus pragmatiques que les premiers.

Ce pragmatisme se traduit, par exemple, par le souci pour les entreprises américaines d’être “blindées” au cas où une class action serait lancée à leur encontre. Il est effectivement important pour ces sociétés de rédiger des politiques de confidentialité suffisamment claires et transparentes. Cela leur évitera d’être accusées et trainées devant les tribunaux par une cohorte de consommateurs qui estiment avoir été induits en erreur. Cette peur bleue de la class action s’explique en particulier par le fait que les dommages en terme de réputation peuvent être colossaux, à l’instar des dommages et intérêts à payer (de l’ordre des millions de dollars, voire des milliards).

En Europe, ce genre de cas est pratiquement inexistant en matière de vie privée. Plutôt que d’agir eux-mêmes, les citoyens européens (et suisses) ont la possibilité de se plaindre à leur autorité de protection des données. Cependant, le pouvoir de sanction de ces dernières n’est de loin pas aussi dissuasif qu’une class action ou qu’une intervention de la Federal Trade Commission (qui s’implique de plus en plus dans le domaine de la protection des données). A titre d’exemple, la FTC a infligé des amendes de plusieurs dizaines de millions de dollars et a obligé des sociétés à se soumettre à des audits pendant une vingtaine d’années ! Autant dire que les sanctions que peuvent prendre les autorités européennes de protection des données sont minuscules (et plus rares) en comparaison. Et encore faut-il qu’elles les prennent car l’application des directives par ces autorités n’est pas très efficace.

Aperçu des bases légales

Union européenne

La clé de voute de la législation européenne sur la protection des données est la directive 95/46/CE. Elle est complétée par la directive 2002/58/CE.

La directive 95/46/CE s’applique au traitement automatique de données personnelles et aux données contenues ou appelées à figurer dans un fichier papier. La directive ne s’applique pas au traitement de données effectué par une personne physique dans l’exercice d’activités exclusivement personnelles ou domestiques, ni aux traitements de données mis en œuvre pour l’exercice d’activités comme la sécurité publique, la défense ou la sûreté de l’État. Elle établit une série de principes fixant les conditions d’un traitement licite.

La directive 2002/58/CE a pour but de protéger les données personnelles dans le domaine des télécommunications et des technologies de l’information. Elle règle en particulier les questions relatives aux cookies, spywares, communications non sollicitées (spam), à la sécurité des traitements de données, la confidentialité des communications, et la rétention des données (métadata).

États-Unis

Au niveau fédéral, les dispositions sur la vie privée sont sectorielles. Ainsi, certains domaines sont concernés, d’autres non. Par exemple, trois lois fédérales sont particulièrement importantes en la matière : le Children’s Online Privacy Protection Act (COPPA), le Health Insurance Portability and Accountability Act (HIPAA) et le Fair and Accurate Credit Transaction Act (FACTA).

Au niveau des États, il existe également (mais pas partout) des bases légales sur la protection de la vie privée.

Conclusion

Il est difficile de répondre à la question “quel est le meilleur système”. Les divergences culturelles et historiques créent des écarts entre les valeurs et les attentes des citoyens des deux continents.

Les règles aux États-Unis sont restrictives en ce qui concerne la collecte de données médicales et financières, alors qu’elles sont très larges et souples en ce qui concerne le marketing. Cela a le mérite de promouvoir l’innovation, mais on peut se demander si le marché ne devrait pas s’effacer un peu plus pour laisser un peu de place au citoyen et à ses droits. La dernière tentative de la Maison-Blanche pour y arriver était le Consumer Privacy Bill of Rights, mais il ne constitue finalement qu’un code de conduite volontaire à l’attention des marchés.

A l’évidence (du moins pour les Européens), l’approche européenne a de nombreux avantages, notamment celui d’être cohérent et structuré, tant dans l’espace que dans le temps, ce qui permet d’assurer et de faciliter les flux de données au niveau international. Elle est pourtant vue comme lourde et contraignante par les États-Unis qui offrent à leur marché une certaine agilité.

Il y a quelques jours, le Parlement européen a adopté un rapport pour renforcer et mettre à jour les directives concernant la protection des données. Cela aura un impact certain sur les relations avec les États-Unis qui devront s’adapter aux nouvelles règles plus strictes s’ils veulent pouvoir traiter les données des citoyens de l’UE.

Le véritable test sera, pour les États-Unis et l’UE, de ne pas agrandir le fossé entre eux. Des changements pourraient être exigés du côté de Google et Facebook notamment… Il n’est pas certain que l’accord Safe Harbor reste en vie bien longtemps en son état actuel.

Commentaire

En tant qu’Européen (pas de passeport, mais de culture), je reconnais avoir de la peine à estimer que le système américain protège efficacement la vie privée. Certes, la class action est un moyen de pression qui peut faire des ravages et il serait important de le consacrer en Europe. Et il est aussi bon d’utiliser la carotte plutôt que le bâton. Mais je ne suis pas entièrement convaincu, et l’absence (au moins) d’une loi fédérale fixant des principes s’appliquant à tous les États se fait sentir.

S’il est très peu probable que les États-Unis adoptent une réglementation comme celle de l’UE (le Congrès a déjà de la peine à boucler un budget, le résultat législatif d’un compromis sur la protection de la vie privée serait certainement médiocre), il y a néanmoins des pistes qu’ils peuvent explorer. En particulier, rendre contraignante et complète la transparence des sociétés qui gèrent des données personnelles. Et sanctionner pénalement les sociétés qui ne se conforment pas à ces règles.

Néanmoins, l’État ne peut pas agir tout seul. Les consommateurs doivent jouer le rôle d’incitateur. Après tout, ce sont eux qui tiennent l’un des couteaux par le manche. S’ils réussissaient à motiver les sociétés à offrir des informations claires et compréhensibles sur leurs politiques de confidentialité, par exemple en n’utilisant que les services qui répondent à ces exigences et en abandonnant les autres, ce serait déjà un pas dans la bonne direction.

A mon avis, les États-Unis et l’UE ont tous les deux des choses à s’apprendre et à partager quant à leur approche de la vie privée.