La protection des données personnelles dans un contexte international : les dits et les non-dits du rapport annuel de la CNIL

Publié le 16/06/2014 - CIO Online - E. Papin

La CNIL vient de publier son 34ème rapport d’activité annuelle dans lequel elle dresse le bilan de son action et des problématiques renouvelées en matière de protection des données personnelles. En 2013, 5 638 plaintes ont été portées devant elle par des particuliers, des représentants du personnel ou des associations de consommateurs. Mais l’élément phare qui se dégage de ce rapport est la dimension internationale que prend désormais la question de la protection des données à caractère personnel.

Les révélations d’Edward Snowden ont jeté une lumière crue sur l’utilisation des technologies numériques par les pouvoirs publics pour la surveillance des réseaux de communications et des individus. La CNIL rappelle à ce titre que « sous couvert de lutte contre le terrorisme, la présomption d’innocence est inversée », tout le monde est ainsi susceptible d’être surveillé. Ces révélations ont malgré tout provoqué une prise de conscience quant à l’importance de la protection des données personnelles considérées par la CNIL comme le « carburant » de l’économie numérique. Ainsi que le fait remarquer la présidente de la CNIL, Isabelle Falque-Pierrotin, l’affaire « Prism » illustre le passage d’une surveillance des « populations à risque ou suspectes » à une surveillance massive et généralisée de l’ensemble des individus.

La CNIL insiste, à travers son rapport, sur les nouveaux enjeux mais aussi sur les risques liés à l’internationalisation de la protection des données à caractère personnel.

L’application extraterritoriale des lois des pays tiers relatives aux données personnelles

Avec bien d’autres, la CNIL fait le constat que la problématique internationale renouvelle considérablement les questions liées à la protection des données personnelles. Les groupes internationaux, et plus particulièrement les entreprises européennes dépendantes d’une société mère américaine, peuvent être conduites à envisager ces questions de manière globale, alors qu’une approche locale doit normalement être privilégiée pour se conformer à la législation applicable.

On affirme souvent à tort que les Etats-Unis n’ont pas de législation en matière de protection des données personnelles. En réalité, de nombreuses législations US sont susceptibles d’avoir un impact en ce domaine. La CNIL prend comme exemple de conflits entre les règles de protection des données issues de l’Union européenne et la législation de pays tiers (en l’espèce les USA), les « listes noires ». Les listes noires sont des fichiers qui recensent des personnes « à risque », c’est-à-dire n’ayant pas respecté leurs engagements précontractuels ou contractuels. La portée extraterritoriale de certaines de ces listes noires soulève plusieurs difficultés quant à leur compatibilité avec la législation européenne ou française de protection des données.

Ainsi une entreprise multinationale dont le siège de direction est situé aux USA, et qui souhaite se conformer aux exigences de son droit national, peut être tentée d’imposer à l’ensemble de ses filiales dans le monde les procédures auxquelles elle est tenue sur son sol. Ce type de décision interne peut conférer à certaines listes noires un caractère extraterritorial, plaçant ainsi les filiales européennes en situation délicate vis-à-vis de leur propre législation en matière de protection des données. La CNIL incite donc les entreprises françaises à vérifier si la loi étrangère leur est applicable et à procéder à l’analyse de la portée des obligations prévues dans les lois étrangères au regard du droit français. Mais nous savons qu’entre les exigences de la loi locale et celles de la maison mère, l’arbitrage n’est souvent pas simple à opérer…

A côté de ces problématiques de droit privé, la CNIL se penche également sur les conséquences des législations étrangères autorisant les autorités de ces pays tiers à accéder ou à collecter des données personnelles de ressortissants français. La CNIL souligne le fait que de telles lois sont susceptibles d’impacter la protection des données à caractère personnel en France et dans l’Union européenne mais aussi de remettre en cause la souveraineté des Etats, de même que le respect des droits de l’Homme dans les sociétés démocratiques.

Ainsi, on sait depuis l’affaire Snowden que la législation américaine est utilisée par les agences de renseignements américaines comme une base légale afin de procéder à la collecte de données relatives à des citoyens étrangers, dont français. Or, les divergences entre les législations américaines et européennes sont importantes. Il existe une distorsion manifeste entre les dispositions restrictives de la législation européenne sur la protection des données et les dispositions beaucoup plus permissives de la législation américaine. Les citoyens américains ne sont protégés que par le 4ème amendement de la Constitution américaine (droit à la protection de la vie privée) et la législation américaine ne permet pas aux citoyens européens d’exercer leurs droits d’accès, de rectification des données ou d’avoir accès à des voies de recours. Or, selon la CNIL, une autorité publique étrangère doit tout autant qu’une autorité européenne offrir un niveau de protection suffisant aux citoyens européens dont les données sont collectées. Conformément à l’article 25 de la Directive de 1995, le transfert vers un pays tiers de données à caractère personnel faisant l’objet d’un traitement ne peut avoir lieu que si « sous réserve du respect des dispositions nationales prises en application des autres dispositions de la présente directive, le pays tiers en question assure un niveau de protection adéquat ».

La CNIL souligne ainsi que lorsqu’un transfert est effectué par une société française vers une autorité étrangère, il appartient au responsable des données de vérifier que l’ensemble des principes liés à la protection des données est respecté, à savoir notamment ceux de proportionnalité, de transparence et de limitation des finalités. Le fait qu’une entreprise soit localisée dans un pays étranger, dont les règles en vigueur sont peu protectrices des données personnelles, ne la dispense pas de garantir aux citoyens européens, un niveau de protection suffisant lorsque leurs données lui sont transférées.

En dépit d’une législation claire en la matière, et du rappelle par la CNIL des principes applicables, on ne peut que souligner les difficultés concrètes de leur application.

Une protection qui ne doit pas nuire à l’innovation

Si la CNIL se fait fort de rappeler la nécessité de veiller à l’application de la législation européenne dans un contexte international renouvelé, il ne faut pas non plus perdre de vue une autre dimension de la problématique internationale, à savoir la compétitivité des entreprises européennes et particulièrement françaises.

Prenons l’exemple des appareils médicaux connectés, dont on sait qu’ils vont progressivement envahir le marché. Dans le contexte de la mise en œuvre d’appareils connectés d’autodiagnostics médicaux et de partage d’informations entre professionnels de santé, une entreprise française a aujourd’hui l’obligation d’obtenir l’agrément de l’ARS (Agence Régionale de Santé), de l’ASIP (Agence des Systèmes d’Informations Partagées de santé), de l’ANSM (Agence Nationale de Sécurité du Médicament), de la CNIL, voire de la Haute Autorité de santé…

La CNIL précise que d’ici 2017, un utilisateur de smartphone sur deux aura installé une application dédiée au bien-être et à la santé. La question qui se pose ici est donc de savoir combien d’entreprises françaises, soumises à des procédures excessivement strictes (voire pire : floues) en matière de protection de données personnelles de santé auront développé leurs projets en France.

Si les législations protectrices à l’égard des données à caractère personnel contribuent certainement à accroitre la confiance des consommateurs dans l’économie numérique, une protection excessive de ces données peut également freiner la compétitivité des entreprises et favoriser la fuite de l’innovation hors de la France. Dans un contexte européen, certains pays ont su, plus que la France, alléger les contraintes réglementaires qui pèsent en la matière sur les entreprises, sans pour autant négliger les droits fondamentaux de leurs concitoyens.

Un juste équilibre doit être trouvé entre croissance économique, innovations et libertés fondamentales. Ce que l’affaire Snowden a révélé, c’est qu’en 2014 comme en 1978, ce sont les autorités publiques et non les entreprises qui font peser le plus de menaces en matière de libertés individuelles s’agissant du traitement des données personnelles.

Une réforme du droit européen délicate à négocier

En se dotant d’une loi relative à l’informatique, aux fichiers et aux libertés, le 6 janvier 1978, la France a été le premier pays à instituer une législation pour encadrer la collecte et le traitement des données personnelles. Par la suite, la directive européenne 95/46/CE adoptée le 24 octobre 1995 a constitué le socle commun à tous les pays de l’Union en matière de protection des données personnelles.

Cependant, la rapide évolution des technologies a créé de nouveaux enjeux pour la protection des données. Sans remettre en cause les principes posés par la Directive, une modification de la législation actuelle s’impose aujourd’hui afin de répondre au développement d’Internet, développement qui bouleverse le cadre habituel de réflexion en matière de protection des données personnelles. A cette indispensable adaptation aux évolutions technologiques, s’ajoute le constat que les dispositions issues de la directive 95/46/CE n’ont pas conduit à une harmonisation parfaite des droits des citoyens dans l’ensemble des Etats membres. C’est la raison pour laquelle la Commission européenne a présenté, le 25 janvier 2012, une proposition de règlement sur la protection des données personnelles qui vise à uniformiser la législation des Etats membres en l’adaptant au contexte numérique. Ainsi, là où les Etats membres s’étaient vu précédemment fixer des objectifs généraux avec une totale liberté concernant les moyens juridiques employés pour les atteindre, le nouveau texte sera directement applicable dans tous ses éléments. Le règlement fait l’objet d’intenses débats au sein du Parlement européen et du Conseil de l’Union européenne de sorte qu’il n’a à ce jour pas encore été approuvé définitivement.

Autres publications