Des entreprises américaines poursuivies pour la première fois pour atteinte à la vie privée

Stefan Grommen Stefan Grommen est rédacteur de Data News.

Depuis quelques semaines, des journaux d’affaires internationaux évoquent des poursuites à l’encontre d’entreprises établies aux États-Unis en vertu des règles (américaines) sur la vie privée. Le 6 octobre 2009, la Federal Trade Commission (FTC) – chargée aux États-Unis du contrôle des pratiques commerciales – a annoncé qu’elle s’opposait à six entreprises qui ont publié de fausses informations sur leur inscription à la safe harbor list. Une semaine plus tôt, la FTC avait déjà poursuivi une autre entreprise (Kryptonite) pour le même motif.

Depuis quelques semaines, des journaux d’affaires internationaux évoquent des poursuites à l’encontre d’entreprises établies aux États-Unis en vertu des règles (américaines) sur la vie privée. Le 6 octobre 2009, la Federal Trade Commission (FTC) – chargée aux États-Unis du contrôle des pratiques commerciales – a annoncé qu’elle s’opposait à six entreprises qui ont publié de fausses informations sur leur inscription à la safe harbor list. Une semaine plus tôt, la FTC avait déjà poursuivi une autre entreprise (Kryptonite) pour le même motif.

Il s’agit chaque fois d’entreprises qui ont déclaré qu’elles respectent des règles strictes dans le cadre du traitement de données personnelles importées d’Europe. Sur la base d’une telle déclaration écrite, les entreprises sont alors reprises sur une liste (à consulter sur https://www.export.gov/safehrbr/list.aspx).

Cette règle émane de négociations qui ont jadis eu lieu entre la Commission européenne et le Gouvernement américain. Ces négociations faisaient suite aux règles strictes édictées en Europe en matière d’exportation de données personnelles vers des pays extérieurs à l’U.E. Des données personnelles – par exemple des informations sur des travailleurs, des consommateurs, des utilisateurs de réseau, etc. – ne peuvent être exportées que vers des pays non européens qui ont une loi sur le respect de la vie privée plus ou moins comparable à celle de l’Europe.

Une exception (limitée) a été consentie pour les États-Unis. Dans le cadre d’un accord bilatéral, il a été convenu de laisser les entreprises adhérer volontairement à un safe harbor. Si elles promettent que les données personnelles importées d’Europe feront l’objet de règles sensiblement aussi strictes que celles appliquées au sein de l’UE, elles sont reprises sur la safe harbor list. Il est donc possible d’échanger des données personnelles au départ de l’Europe avec les entreprises qui figurent sur cette liste. Le succès de cette règle doit cependant être pour l’instant qualifié de limité: 8 ans après son entrée en vigueur (en 2001), quelque 1 300 entreprises se sont inscrites sur la liste.

L’enregistrement sur la safe harbor list doit être renouvelé chaque année par les entreprises. Les 6 entreprises qui sont poursuivies ont oublié de le faire, de sorte que leur inscription est arrivée à expiration. Néanmoins, elles ont continué à affirmer sur leur site web qu’elles faisaient partie des entreprises safe harbor.

La règle européenne relative à l’exportation de données personnelles est toujours plus critiquée. Pour commencer, les règles sont très difficiles à défendre. Via l’internet, des millions de données font chaque jour le tour du monde. Il n’existe pas de douane européenne ou de police en charge de la vie privée qui peut vérifier si tout cela est bien légal. En outre, les règles sont aussi imprécises, comme l’a mis en évidence l’affaire Lindqvist. Madame Lindqvist était une Suédoise qui travaillait comme bénévole dans sa paroisse et suivait également un cours d’informatique. Dans ce cadre, elle a dû apprendre à créer un site web et a choisi de concevoir un site web personnel avec des informations sur la paroisse. Outre toutes sortes de petites annonces, elle y a entre autres signalé que pour le travail paroissial, il serait peut-être impossible de faire prochainement appel à sa collègue bénévole, car cette dernière avait toujours mal au genou. Le site web a été placé sur internet avec cette information. La commission suédoise en charge du respect de la vie privée a utilisé ce dossier comme cas d’école. Madame Lindqvist a été poursuivie pour atteinte à la vie privée et les juges ont finalement soumis l’affaire à la Cour européenne de Justice à Luxembourg afin d’établir si un site web contenant des informations sur la santé (mal au genou), consultable partout dans le monde via Internet, devait être considéré comme une “exportation de données personnelles.”

Dans cette affaire, la Cour a finalement répondu par la négative, en avançant l’argument selon lequel les informations étaient rédigées en suédois sur un serveur suédois et que l’intention n’était pas de mettre ces informations à disposition en dehors de la Suède. La décision date déjà de 2003, mais les juristes en débattent toujours aujourd’hui. La règle européenne sur l’exportation de données personnelles a aussi essuyé beaucoup de critiques et vilipandée comme un exemple négatif de la lente bureaucratie européenne. Lorsque la règle a été édictée en 1995, l’intention était que la Commission européenne dresse une liste des “bons” pays avec une législation adéquate en matière de vie privée. Près de 15 ans plus tard, 5 pays figurent sur cette liste: l’Argentine, la Canada, la Suisse, Guernesey et … l’île de Man.

Cela peut être vu comme un avertissement: les États-Unis sont eux aussi intervenus pour la première fois à l’encontre d’entreprises qui ne respectent pas les accords safe harbor. Il semble que l’administration Obama veuille sur ce point faire un geste positif à l’égard de son partenaire européen. L’Europe y voit une opportunité de prendre rouvrir ce dossier.

Sur l’application pratique de la loi sur le respect de la vie privée en Belgique dans divers secteurs – marketing direct, santé, lieu de travail, sécurité sociale, police et sécurité, médias, recherche scientifique, entre autres – est récemment paru un livre publié par Hans Graux et Jos Dumortier, Privacywetgeving in de praktijk, Courtrai, Uitgeverij UGA, 439 pages, 55 euros (avec une préface du Ministre Vincent Van Quickenborne), http://www.uga.be.

Jos DumortierJos Dumortier est avocat au barreau de Bruxelles et directeur du Centre interdisciplinaire pour le droit et les technologies de l’information (ICRI) à la K.U.Leuven. Il est par ailleurs partenaire au bureau d’avocats time.lex.

Vous avez repéré une erreur ou disposez de plus d’infos? Signalez-le ici

Contenu partenaire