@ccueil / actualité / jurisprudence / chroniques / internautes / professionnels / universitaires

Partie II - Des données protégées


  1. La loi de 1978 pose un principe général de loyauté et indique que la collecte de données opérée par tout moyen frauduleux, déloyal ou illicite est interdite1. Les personnes auprès desquelles sont recueillies les données utilisées dans le traitement doivent être informées2 : du caractère obligatoire ou facultatif des réponses, des conséquences d’un défaut de réponse, des personnes destinataires des informations, de l’existence d’un droit d’accès et de rectification. Le questionnaire de collecte des données doit comporter un avertissement relatif à ces informations. Si une cession du fichier est envisagée, les personnes auprès desquelles ces informations sont collectées doivent en être informées afin d’être en mesure de s’y opposer. En outre, la loi pose le principe que toute personne a le droit de s’opposer, pour des raisons légitimes, à ce que les informations nominatives la concernant fassent l’objet d’un traitement3. La loi oblige également à prévoir une durée de conservation des données et à préserver la finalité du traitement. Une obligation de sécurité pèse sur la personne responsable du fichier (non divulgation à des tiers non autorisés). Les données personnelles, sur Internet et dans le cadre du commerce électronique, sont des données qui peuvent, et qui doivent, être protégées.

  2. Mais, ces obligations sont-elles suffisantes, sont-elles efficaces ? Permettent-elles d’envisager avec sérénité le développement du commerce électronique sur Internet, commerce respectueux de la personne et de ses prérogatives sur ses données personnelles. La question mérite d’être posée alors que le Conseil d’Etat vient de remettre un rapport au Premier ministre4, que la directive doit être transposée d’ici la fin 19995, et qu’à cette fin, Guy Braibant a remis son rapport au Premier ministre6. Car, profitant des fortes potentialités d’interactivité et d’individualisation de l’Internet, les commerçants veulent personnaliser leurs services7. "Imaginez qu'en arrivant sur votre site de livres préféré, vous soyez accueilli par un vendeur virtuel vous recommandant, comme dans une librairie traditionnelle, un nouveau best-seller parfaitement adapté à vos goûts littéraires", explique John Riedl, directeur de recherche à Net Perceptions. Son but est identique à celui de tout commerçant : fidéliser la clientèle en lui offrant un environnement familier et des suggestions d'achat adaptées à ses goûts. Ainsi, Open Sesame, autre opérateur de ce monde d’identification, définit le "profil" d'un visiteur sur un site sans lui poser une seule question. « Un "agent", une sorte de mini-programme, enregistre ses faits et gestes lors de chaque visite avant de les confier à un système d'analyse qui déduit son profil. Par exemple, si un client entame toujours sa visite d'un site d'articles de sport par la page consacrée au golf, le système lui présentera une publicité sur la dernière génération de clubs et des nouvelles fraîches sur les champions de ce sport. Chaque visite permet d'affiner le profil de l'utilisateur, identifié par un numéro »8. Ces pratiques sont préoccupantes pour l’internaute, surtout lorsque l’on sait qu’un procédé étend cette possibilité à tout le Web. « L'entreprise Engage a constitué une banque de données de plus de dix millions de profils individuels, soit le cinquième du nombre d'utilisateurs estimés de l'Internet aux Etats-Unis, en signant des accords avec les sites ayant le plus gros trafic. Quand un cinéphile arrive sur le site de Reel.com, spécialisé dans la vente de cassettes-vidéo, il y a de fortes chances qu'il se voit présenter automatiquement des titres en rapport avec son profil, dressé à son insu lors de ses visites sur d'autres sites collaborant avec Engage ». Le plus alarmant dans cette situation est peut-être l’attitude des responsables de cette entreprise : « Diane Elavsky, directrice du marketing chez Engage, est prompte à réfuter toute accusation d'atteinte à la vie privée : "Nous ne connaissons pas leur nom, adresse ou téléphone. Nous ne savons pas qui ils sont, mais nous savons ce qu'ils font, et c'est tout ce qui nous intéresse" ». Cela ressemble de fort près à ce que Jean Frayssinet décrivait de façon directe, mais au combien vraie, par l’axiome : « Dis-moi ce que tu consommes et je saurai qui tu es pour le faire savoir aux autres »9.

  3. Si l’on croit que les Etats-Unis ont de l’avance sur l’Europe, et bien il n’en est rien. Ainsi en témoigne Marc Duteil, directeur des études d’Havas Média Communication, qui explique que des projets sont déjà à l'étude dans les grands groupes de distribution, dans la banque ou les transports. Une poignée d'annonceurs explore à titre expérimental la technique et les projets débarqueront d'ici deux ou trois ans10. « Des logiciels perfectionnés permettent de savoir quels sites visite un utilisateur, combien de fois, pour quelle durée etc. et de constituer de gigantesques bases de données, permettant l'envoi de messages publicitaires très ciblés ». La publicité en ligne reste marginale, pour le moment, face à la masse totale des investissements publicitaires11. Mais cela ne saurait durer, car « le marketing direct qui s'apprête à investir le multimédia pour fonder le "one to one", dispose déjà d'une masse d'investissements considérable: 49,5 milliards de F l'an dernier, soit le tiers du total du marché, et plus que la télévision (19 milliards) et la presse (24,5 milliards) réunis ». Qui a dit que Big Brother n’existait pas sur Internet ? Mais comme l’énonce très directement le sénateur Trégouët dans son rapport, « On n'entre pas dans l'avenir à reculons. En outre, la société de l'information, ce n'est même plus seulement le futur, c'est déjà le présent. Il faut commencer par ne pas en avoir peur et considérer ses aspects positifs ». C’est une attitude semblable que nous souhaitons adopté à l’aune de cette seconde partie qui nous verra aborder la question de la protection juridique effectivement apportée aux données personnelles dans le cadre du commerce électronique. « La possibilité de transmettre instantanément des données d'un point du globe à un autre, et le développement de réseaux universels, rendent vaine toute démarche de protection qui se limiterait à un cadre strictement national. En effet, des disparités trop sensibles entre les réglementations nationales peuvent inciter les opérateurs à délocaliser les traitements et les bases de données dans des ".paradis informatiques." qui leur opposeraient moins d'entraves. La nécessité d'une harmonisation des niveaux de protection dans l'Union européenne est à la source de l'initiative française qui a abouti à la directive du 24 octobre 1995. Cette démarche doit être prolongée par une négociation à l'échelle mondiale, afin d'éviter que les risques qui viennent d'être énoncés ne se reportent aux frontières de l'Europe »12. Pour ce faire, nous étudierons successivement la protection en Europe telle qu’elle est établit par la directive de 1995 (Chapitre I), puis, nous verrons comment la protection de la vie privée et les données personnelles connaissent un regain d’attention aux Etats-Unis, et de la part d’autres institutions supranationales (Chapitre II).

1 Article 25.

2 Article 27.

3 Article 26.

4 Revue de presse : Jeudi 16 juillet 1998 Rapport du Conseil d'Etat remis au Premier Ministre.

5 Revue de presse : Mercredi 8 juillet 1998 La Cnil souhaite voir son pouvoir renforcé.

6 Revue de presse : Paris, 3 mars 1998 Communiqué de presse du Premier Ministre .

7 Revue de presse : Dimanche 15 mars 1998 : Les commerçants de l'Internet veulent personnaliser leurs services.

8 Revue de presse : Dimanche 15 mars 1998, précitée.

9 Frayssinet J., “Bases de données comportementales sur les consommateurs et Cnil”, commentaire de l’arrêt du Conseil d’Etat du 30 juillet 1997, société Consodata, Expertises des systèmes d’information, janvier 1998, p431.

10 Revue de presse : Mardi 3 mars 1998 Le multimédia favorise un nouveau modèle de publicité: le "one to one".

11 645 millions de francs contre 158,2 milliards pour le marché total.

12 Braibant G. (rapport du groupe présidé par), Données personnelles et société de l’information, Rapport au Premier Ministre sur la transposition en droit français de la directive n°95/46/CE, http://www.ladocfrancaise.gouv.fr/, mars 1998.




Chapitre I - Une protection pour l'Europe


  1. La genèse de la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données révèle à bien des égards la concurrence qui existe entre les objectifs de protection des droits de la personne d'une part, les objectifs de réalisation du marché commun et de libre circulation des données d'autre part1 . La force du cadre législatif que l'on connait en France tient à la fois à l'attitude et au travail de la Cnil, mais aussi au travail profond de réflexion qui avait précédé l'adoption de la loi de 1978. L'enjeu est aujourd'hui de taille. « Le citoyen passif, mis en fiches par les grandes organisations, est devenu un utilisateur actif des moyens informatiques, depuis la carte de crédit jusqu'au poste multimédia, personnel ou professionnel »2. Et Guy Braibant de rapporter dans son étude cet exemple de la constitution, aux Etats-Unis, de vastes bases de données personnelles concernant les cadres et les ingénieurs de haut niveau, destinées à une clientèle internationale de cabinets de conseil en recrutement dont l' existence avait été révélée à l'un de ces ingénieurs par une série d'échecs à des entretiens d'embauche, liés à la diffusion à l'ensemble des entreprises approchées de données inexactes sur son curriculum vitae. Dans un nombre croissant de situations, l'individu peut ainsi se trouver dans l'ignorance de la collecte et du traitement de données susceptible d'emporter une influence déterminante sur sa situation personnelle.

  2. L'attention apportée par les pays européens au travers du texte de la directive mérite, malgré les ses imperfections, d'être soulignée. L'importance grandissante de l'informatique et des réseaux pourrait, en y prenant pas garde, amener à une nouvelle forme de discrimination, que l'on pourrait qualifiée de "délit d'électrons" - par association à l'idée de délit de faciès. "Tes électrons révèlent que tu n'es pas comme nous !". Le commerce électronique sur Internet rentre incontestablement dans le champ d'application de la directive (Section I). Certes, ce texte n'est pas encore transposé, mais cela ne tardera plus à être fait. A cette occasion, la loi de 1978 subira certainement des modifications. La question des échanges transfrontaliers des données, flux internationaux, ne manquera pas de retenir notre attention dès lors qu'il s'agit de commerce sur Internet (Section II).

  3. Section I - La directive et sa transposition

    Les données personnelles se retrouvent dans le cadre du commerce électronique sur Internet à différentes occasions : site diffusant des informations relatives à des personnes (sites d'entreprises - notamment de recrutement -, université, association…), site proposant aux utilisateurs de remplir un formulaire (pour lequel le caractère obligatoire ou facultatif des réponses doit être précisé), utilisation du courrier électronique, forums de discussion, logs, hébergement d'un site, accès à Internet, achats en ligne, etc. Dans toutes ces hypothèses, la loi de 1978 trouve à s'appliquer, soit par sa lettre, soit par l'interprétation et l'application qu'en fait la Cnil. Mais dans le contexte d'Internet, cette règle trouve rapidement ses limites. La présence d'acteurs répartis sur toute la planète rend, de fait, une multitude de lois susceptibles d'application. Les conflits de loi deviennent alors si fréquents qu'ils risquent d'en éclipser le débat de l'affaire au fond La directive communautaire offre, de ce point de vue, l'avantage de concerner d'emblée 480 millions d'internautes potentiels. Dans son application comme dans son esprit, il faut espérer qu'elle s'inscrive dans le prolongement des recommandations faîtes par le groupe européen d'études sur les réseaux internationaux (GERI) auquel participe la Cnil. « Les recommandations adoptées par ce groupe, [qui sont] dépourvues d'effet juridique, visent notamment à inciter les prestataires de services à informer chaque utilisateur d'Internet des risques encourus pour sa vie privée, à permettre aux utilisateurs de pouvoir accéder à Internet sans avoir à révéler leur identité si celle-ci n'est pas indispensable à la fourniture d'un service donné, à recourir à des méthodes de chiffrement sûres. Enfin, le groupe préconise la mise en place d'une procédure de certification qui émettrait des "certificats de qualité" ("quality stamps") pour les fournisseurs et produits protégeant la vie privée »3. Mais, la distinction entre ce qui est nominatif (au sens de la loi de 1978) et ce qui ne l'est pas paraît bousculée au contact d'Internet. Ainsi, les données apparemment les plus identifiantes (nom, adresse, numéro de téléphone...), telles qu'elles émergent dans la partie applicative du réseau sont les moins fiables : elles peuvent avoir été saisies par un utilisateur malveillant, usurpant l'identité d'un tiers. En cela, ces données posent un problème d'authentification. Est-il certain qu'elles proviennent bien de la source affichée sur le Web? En revanche, les données qui semblent les moins nominatives des couches TCP et IP du réseau4, et qui de surcroît ne sont pas directement visibles, sont les plus sûres : elles concernent forcément l'utilisateur ou un des utilisateurs de l'ordinateur qui est parfaitement identifié en tant que machine. Et même si le rapport de la mission interministérielle Falque-Pierrotin sur l'Internet (remis au Gouvernement en 1996), a parfaitement rappelé que "la loi de 1978 constitue le texte fondateur de la charte des libertés et droits de la personne informatisée" et que le respect de ce texte s'impose aux acteurs de l'Internet, la directive semble mieux répondre à ces nouveautés, notamment par des définitions plus actuelles qui révèlent un potentiel d'application au commerce électronique, et la mise en place d'un régime des flux internationaux de données personnelles.

  4. A / Le potentiel de la directive au regard du commerce électronique

    La directive apporte un plus incontestable par ses définitions de données personnelles, fichiers, traitement et responsable du traitement. Malgré la différence de lettre entre la directive et la loi, celles-ci sont assez proches de par la démarche pragmatique et pédagogique adoptée par la Cnil, qui vise pour l'essentiel à faire émerger la préoccupation du respect des droits des personnes - par une parfaite information sur les risques -, une sécurisation des échanges et un appel optimiste à l'approfondissement de la réflexion. Mais le bénéfice d'un texte écrit est rappelé par le rapport Braibant : « La directive nous donne ainsi l'occasion de mettre à jour notre droit, de l'adapter aux conditions nouvelles apparues depuis vingt ans, de remédier aux difficultés qui ont surgi dans la pratique, enfin de l'améliorer ». Le premier bénéfice de la directive est son application au territoire de l'Union européenne. Certes, des problèmes subsisteront toujours dans l'application du dispositif de sanctions prévues à l'article 245 lorsqu'il s'agira de mettre en œuvre une coopération transnationale au sein de l'Union. Mais cela est inhérent au caractère pénal6 des sanctions prévues en application de cet article, pas au texte même de la directive. On aurait pu craindre que les motifs sous-tendant à l'adoption de cette directive ne viennent altérer le niveau de protection offert en France par la loi de 1978 et la Cnil. En effet, il n'était pas évident que cette question relève de la compétence de la Communauté, qui n'avait pas mission de s'occuper de protection des libertés et de la vie privée. La justification de son intervention a été trouvée dans l'idée d'établir seulement la libre circulation des données à caractère personnel, considérées comme des marchandises, tout en sauvegardant la liberté individuelle à laquelle cette circulation pourrait porter atteinte. Le résultat s'avère plutôt heureux en considération de ce qu'aurait pu être la directive si, donnant la priorité à la circulation des données, elle avait été le reflet de la position prise par l'OMC en 19947. Mais la proposition de charte8 faite par l'Union européenne, et destinée à résoudre les problèmes juridiques liés aux particularités transfrontalières des réseaux informatiques, s'inscrit dans le sens d'une sensibilisation aux problèmes de protection de données personnelles sur Internet.

  5. Le second bénéfice, comme on l'évoquait précédemment, est son triple objectif : harmoniser le droit européen des données personnelles pour faciliter leur circulation tout en protégeant la vie privée et la liberté individuelle. Elle est exceptionnelle, à la fois parce qu'elle porte sur des questions qui touchent directement aux droits de l'homme et parce qu'elle comporte de nombreuses options, exceptions et dérogations, qui laissent aux Etats membres de grandes marges d'appréciation dans sa transposition. Elle pose en principe, dans ses considérants, que le rapprochement des législations nationales ne doit pas conduire à affaiblir la protection qu'elles assurent. Le considérant n°10 est, à cet égard, très significatif : "l'objet des législations nationales relatives au traitement des données à caractère personnel est d'assurer le respect des droits et libertés fondamentaux, notamment du droit à la vie privée reconnu dans l'article 8 de la convention européenne de sauvegarde des droits de l'homme et des libertés fondamentales et dans les principes généraux du droit communautaire.; pour cette raison, le rapprochement de ces législations ne doit pas conduire à affaiblir la protection qu'elles assurent, mais doit, au contraire, avoir pour objectif de garantir un niveau élevé de protection dans la Communauté". Or, on a pu percevoir, au travers des différents exemples abordés en première partie, que les réseaux électroniques ouverts en général - et Internet en particulier - sont utilisés de manière croissante comme plate-forme de communication dans nos sociétés. Ils recèlent la capacité de créer de nouvelles activités, de nouveaux canaux de distribution et…de nouvelles méthodes pour atteindre le consommateur. On s'attend désormais à ce que le commerce électronique soit un des moteurs clés du développement de la société de l'information planétaire. L'Union européenne a manifesté à plusieurs reprises sa volonté de faire « progresser son intégration économique grâce à un espace économique "virtuel" »9. Toutefois, la concrétisation de ces développements est, selon elle freinée, par les incertitudes inhérentes aux réseaux ouverts (les données personnelles sont collectées à l'insu des internautes de manière illicite). Il en résulte que l'attrait et les avantages du commerce électronique ne peuvent être pleinement exploités. La réponse apportée par la Commission tient en un mot : cryptographie.

  6. La directive de 1995 présente de nombreux aspects positifs, qui sont encore, malheureusement, pour une large part conditionnés par l'application qui en sera faite par les autorités indépendantes prévues en son article 28. Mais son article premier pose d'ores et déjà que « Les États membres assurent, conformément à la présente directive, la protection des libertés et droits fondamentaux des personnes physiques, notamment de leur vie privée, à l`égard du traitement des données à caractère personnel ». Par ailleurs, la Commission parle, dans le cadre du commerce électronique, d'un droit fondamental à la préservation de la vie privée10, bien qu'elle rajoute que celui-ci puisse être limité pour des raisons légitimes telles que la sauvegarde de la sécurité nationale ou la lutte contre le crime. La mission Braibant a conclu qu'il serait opportun de conserver comme autorité de contrôle une Cnil ressourcée : « Fort probablement, le public a plus à gagner à conserver un nom qui lui est familier, qui évoque une institution qui a œuvré avec succès à la protection des données, qu'à l'échanger pour un nom plus exact, qui devrait se faire connaître », ce qui prolonge l'idée optimiste que la protection des données personnelles dans le commerce électronique ne sera pas qu'un vain mot. Le refus d'être identifié par un simple numéro, comme celui d'être réduit à un "profil" de personnalité ou à un "segment" comportemental dans les relations avec l'administration et avec les organismes privés (dont les décisions peuvent affecter de façon significative la situation d'une personne), touche à l'idée même de protection de l'identité des personnes, et rappelle à nous l'argumentation de Nathalie Mallet-Poujol11. La voie pragmatique posée par le rapport Braibant12 n'introduit néanmoins, à l'égard de notre sujet, pas assez de précision, et l'on aurait apprécié que la mission approfondisse un peu plus la question de l'Internet.


  7. Herbert Maisl insiste sur le fait que, dans le domaine de la cryptographie, la liberté doit prédominer, et la voie pénale est à privilégier13. « En outre », poursuit-il, « il faut être conscient que la mondialisation des réseaux favorise une dissémination forte des données qui constitue inévitablement une limite à la protection parfaite des données. Si le droit et la technique peuvent apporter une aide, tout dépendra, en définitive, de la conception de la protection des données qui se fera jour dans "le village planétaire" ». Par delà l'expression14, l'idée est de plus en plus présente de pénaliser les atteintes aux données personnelles. Le rapport Braibant souligne que le régime répressif français en matière de fichiers informatiques se caractérise par une grande sévérité. Mais en même temps, il met en relief la quasi-inexistence de « politique pénale dans ce domaine où, au surplus, les moyens d'investigation humains et matériels de la police judiciaire sont insuffisants et sous- dimensionnés, eu égard à l'ampleur de l'activité économique liée à l'informatique ». Pourtant, le commerce électronique et la société de l'information risquent de faire naître des formes de préjudices nouveaux aux données personnelles qu'il faudra savoir évaluer au civil comme au pénal. La difficulté de privilégier la voie pénale est que l'internaute fiché, dont les données auront servi à faire un profit économique, n'a pas moyen de sanctionner financièrement, à son profit, le responsable du traitement illicite. Cela étant, la voie pénale a deux avantages : le premier est la dissuasion opérée par des sanctions "impressionnantes"15. Le second avantage est qu'il éloigne l'individu fiché du risque d'aliénation avancée par certains auteurs16. L'un des autres objectifs de la directive est la régulation des flux transfrontières de données, qui prend une dimension très actuelle dans le cas d'Internet.

  8. B / Les flux transfrontières de données personnelles

    Comme le rapporte Guy Braibant : « La directive pose en principe qu'au terme de sa transposition, la protection assurée en matière de données personnelles sera "équivalente" dans les Etats membres de l'Union européenne, et qu'ainsi, il n'y aura plus de raison "de faire obstacle à leur libre circulation entre eux". En revanche, elle prévoit une réglementation stricte et détaillée des transferts de données vers les "pays tiers", c'est-à-dire extérieurs à l'Union. Ces transferts ne peuvent être admis que si le pays de destination assure un niveau de protection "adéquat", qui est évalué conjointement par les Etats membres et par la Commission européenne. Un certain nombre de dérogations sont toutefois prévues, fondées sur des critères objectifs ou sur des "garanties suffisantes" offertes par le responsable du traitement » .

  9. Aucune limitation n'est donc autorisée au transfert de données entre Etats membres, en raison du principe de "libre circulation des données" que la directive pose dès son article 1er et qui est l'un de ses principaux objectifs. En revanche elle interdit les transferts vers un "pays tiers", c'est-à-dire situé en dehors des frontières de l'Union européenne, sauf "s'il assure un niveau de protection adéquat". Son article 25 pose en effet le principe suivant : "Les États membres prévoient que le transfert vers un pays tiers de données à caractère personnel faisant l`objet d`un traitement, ou destinées à faire l`objet d`un traitement après leur transfert, ne peut avoir lieu que si. sous réserve du respect des dispositions nationales prises en application des autres dispositions de la présente directive, le pays tiers en question assure un niveau de protection adéquat". Le deuxième alinéa de l'article précise la notion de niveau de protection adéquat : "Le caractère adéquat du niveau de protection offert par un pays tiers s`apprécie au regard de toutes les circonstances relatives à un transfert ou à une catégorie de transferts de données; en particulier, sont prises en considération la nature des données, la finalité et la durée du ou des traitements envisagés, les pays d`origine et de destination finale, les règles de droit, générales ou sectorielles, en vigueur dans le pays tiers en cause, ainsi que les règles professionnelles et les mesures de sécurité qui y sont respectées". La convention 108 du Conseil de l'Europe précise, elle, que les flux transfrontières entre les parties ne peuvent être interdits ni soumis à autorisation. La convention introduit, lorsque certaines catégories de données font l'objet d'une législation spécifique, la notion de garantie équivalente

  10. Dès lors que les informations sont mises en ligne sur Internet, la Cnil considère qu'il y a transmission d'informations entre le territoire français et l'étranger. Une annexe17 doit alors compléter la rubrique correspondante du formulaire de déclaration de traitement et devra indiquer très concrètement par exemple : "Compte tenu du fait que le traitement objet de la déclaration concerne un site Web sur Internet, il peut y avoir transmission d'information entre le territoire français et l'étranger. Ceci est inhérent au moyen de communication utilisé"18 . Un exemple de flux transfrontières de données personnelles du commerce électronique sur Internet peut être trouvé dans les sites qui offrent la possibilité de placer des curriculum vitæ (CV) en ligne19. Les CV incluent des informations nominatives, qu'elles soient professionnelles (entreprises, postes occupés) ou personnelles (situation maritale, adresse postale, hobbies, photographie). La question se pose de savoir comment sera régler la situation dans laquelle le transfert doit se faire vers un pays "tiers" ne disposant pas du niveau de protection adéquat20. Une première réponse est donnée par la directive elle-même sous forme d'exceptions à l'article 2521. une seconde voie paraît être possible, qui serait l'organisation du flux par voie contractuelle. Le cocontractant s'engagerait alors à respecter le niveau de protection défini en application de la directive22 . Cela étant, la garantie, même si elle est apportée contractuellement, du niveau de protection adéquat, reste soumise aux caractères intrinsèques du protocole TCP/IP. Théoriquement, une connexion à partir de votre ordinateur, situé en France, sur le site de la Cnil ne garantit pas que les "paquets" resteront sur le territoire communautaire durant leurs allers-retours. La règle est certes celle du plus court chemin, mais elle n'est pas toujours respectée : il se peut que des paquets, en raison du trafic, sortent du territoire couvert par la directive, passent dans un pays "tiers", puis rentrent à nouveau sur le territoire de l'Europe. Dans ces cas, la règle du plus court chemin cède devant celle du chemin libre.


  11. De manière générale, et malgré ces incertitudes, le rapport Braibant se prononce en faveur d'une transposition fidèle des définitions de l'article 2 de la directive. A propos du caractère personnel, la définition proposée par la directive dans son article 2 est tout à fait compatible avec l`article 4 de la loi de 1978 et l`article 2, a, de la convention du Conseil de l`Europe. Elle va même au-delà par sa précision et son extension quant à la nature des informations23. En cela, elle confirme la doctrine interprétative de la Cnil. De plus certains considérants de la directive viennent expliciter cette définition. On relèvera, par exemple, que le considérant 14 précise que la directive s`appliquera aux données personnelles constituées par des sons et des images24 (à l'exclusion des traitements de vidéosurveillance mis en œuvre à des fins de sécurité publique). Le considérant 26, quant à lui, détermine si une personne est identifiable en considération des moyens susceptibles d`être raisonnablement mis en oeuvre pour l`identifier. Ne s`appliquant qu`aux données relatives aux personnes physiques, le considérant 24 précise que les législations relatives à la protection des personnes morales à l`égard du traitement des données qui les concernent ne sont pas affectées par la présente directive. On trouve des applications de ces définitions hors de leur textes d'origines, et notamment dans un récent document relatif à "La protection de la vie privée dans l'Internet" émanent du Conseil de l'Europe.

  12. Section II - Les Lignes directrices du Conseil de l'Europe

    Intitulé "Projet de Lignes directrices sur la protection des personnes à l'égard de la collecte et du traitement des données à caractère personnel dans les inforoutes, qui peuvent être intégrées dans ou annexées à des codes de conduite", ce document se veut de portée très concrète. Le 12 mai dernier, le Comité des Ministres du Conseil de l'Europe , siégeant au niveau des délégués des ministres, a autorisé la déclassification de ce projet en vue de procéder à une large consultation publique auprès des différents acteurs de l'Internet. A l'issue de la procédure de consultation publique, le projet actuel pourrait être amendé pour prendre en considération les commentaires qui seront adressés au Secrétariat Général du Conseil de l'Europe par les utilisateurs, les fournisseurs de service d'Internet et les autorités nationales compétentes dans le domaine de la protection des données. Le projet sera finalisé par le Groupe de projet pour la protection des données (CJ-PD) début octobre, puis adressé au Comité européen sur la coopération juridique (CDCJ) en décembre 1998 pour approbation et ensuite au Comité des Ministres pour adoption. Le document énonce les principes d'une conduite loyale à observer en matière de protection de la vie privée par les utilisateurs et les fournisseurs de services d'Internet. Il rappelle que l'utilisation de l'Internet implique une responsabilité pour chaque action et comporte des risques pour la vie privée, responsabilise les internautes en précisant qu' "il est important de se conduire de manière à se protéger soi-même et promouvoir de bonnes relations avec les autres" et énonce quelques solutions pratiques pour la protection de la vie privée tout en précisant qu'il ne dispense pas l'internaute de connaître ses droits et obligations. Le terme "donnée", dans le document, se rapporte aux "données à caractère personnel" et signifie toute information concernant l'utilisateur ou concernant des personnes identifiables. L'utilisateur est mis en garde à propos des risques courus lors de sessions sur le Web: « Rappelez-vous que chaque transaction effectuée, chaque visite d'un site sur le Net laissent des traces. Ces "traces électroniques" peuvent être utilisées à votre insu pour établir un profil de votre personne et de vos intérêts. Exigez donc d'être informé des règles de conduite retenues par les différents programmes et sites en matière de protection de la vie privée et préférez ceux qui enregistrent peu de données ou qui sont accessibles d'une manière anonyme ». Dans le cadre du commerce électronique, il est recommandé de ne fournir à son fournisseur de services, ou à toute autre personne, que les données qui sont nécessaires pour une finalité déterminée dont l'internaute a été informé. Le document prévient qu'il s'agit d'être particulièrement vigilant avec les cartes de crédit et les numéros de compte, qui peuvent être très facilement et abusivement utilisés dans le cadre de l'Internet. Le fournisseur de services est responsable de la bonne utilisation des données. L'internaute ne doit donc pas hésiter à lui demander quelles données il collecte, traite et conserve, de quelle manière, et pour quelles finalités, ni d'exiger qu'il les modifie si elles sont inexactes ou qu'il les efface si elles sont excessives, si elles ne sont pas remises à jour ou ne sont plus nécessaires. Enfin, l'utilisateur ne doit pas, non plus, hésiter à demander au fournisseur de services qu'il notifie cette modification aux autres parties auxquelles il a communiqué vos données.

  13. A l'attention des fournisseurs de services, le document prêche aussi pour une responsabilisation. Ceux-ci doivent utiliser, dans toute la mesure du possible, les procédures disponibles et les nouvelles technologies garantissant la vie privée des personnes concernées, et notamment l'intégrité et la confidentialité des données ainsi que la sécurité physique et logique des réseaux et des services fournis sur le réseau. La charge de la responsabilisation pèse lourdement sur ces fournisseurs : "Vous êtes responsable de la bonne utilisation des données à caractère personnel. Avant que l'utilisateur ne commence à utiliser des services, lorsqu'il visite votre site et chaque fois qu'il en fait la demande, informez-le de votre identité, des données à caractère personnel que vous collectez, traitez et conservez, de quelle manière, pour quelles finalités et pour quelle durée vous les conservez. Au besoin, demandez-lui son consentement. A la demande de la personne concernée, rectifiez sans attendre les données inexactes, effacez-les si elles sont excessives, elles ne sont pas mises à jour ou ne sont plus nécessaires, et arrêtez le traitement des données si l'utilisateur s'y oppose. Notifiez aux tiers auxquels vous avez communiqué les données, toute modification. Evitez toute collecte de données à caractère personnel effectuée à l'insu de l'intéressé". Comme on peut le constater, ce document, de par les obligations qu'ils relèvent à la charge du fournisseur de services, et par la responsabilisation de l'internaute, possède un lien de filiation évident avec le mouvement imprimé par la directive. Dans tous les cas, l'application des règles issues de la directive - comme celles rappelées dans le projet du Conseil de l'Europe - au contexte d'Internet oblige à mettre en cause la validité de certains transferts internationaux de données personnelles qui se pratiquent déjà et s'intensifient avec le développement du réseau des réseaux.


  14. Cette volonté, affichée au niveau européen par des institutions différentes, se fonde sur l'expérience de lois nationales qui existaient en Europe depuis les années 70 (1973 pour la Suède, 1977 pour l'Allemagne, 1978 pour le Danemark, l'Autriche et bien sûr la France). Or, le rapport Braibant a souligné que l'une des faiblesses du système français provenait d'une mauvaise appréhension des relations internationales, qui « n'ont pas été gérées, dans ce domaine, d'une manière suffisamment efficace et cohérente. Trop d'autorités y participent, selon des modalités diverses : ministères des affaires étrangères, de la justice et de l'industrie; secrétariat général du gouvernement et secrétariat général du comité interministériel pour les questions économiques européennes; la Cnil elle-même. Dans le contexte actuel de mondialisation, et compte tenu de l'intérêt accru porté à ces questions par les grandes organisations internationales &endash; Union européenne, Conseil de l'Europe, OCDE, Nations- Unies &endash; il est indispensable de définir des orientations claires et de mieux répartir les rôles ». Le chapitre suivant illustrera en partie à cette préoccupation affichée par l'organe de régulation de l'Internet, ainsi qu'un "état des lieux" préalable de la situation aux Etats-Unis (et incidemment au Canada), dans la mesure où ce pays reste encore, à l'heure actuelle, le plus avancé dans le développement du commerce électronique sur Internet.

1 Le rapport Braibant souligne ainsi qu' « Il y avait donc, dès l'origine, deux points de vue, certes compatibles mais correspondant néanmoins à deux sensibilités différentes. Tandis que les droits français, allemand ou suédois d'un côté, faisaient de la protection de l'individu face aux dangers de l'informatique une fin en soi, le droit international et européen faisait de cette protection la contrepartie du principe de libre circulation de l'information ».

2 Rapport du groupe présidé par Guy Braibant, Données personnelles et société de l'information, précité.

3 Cnil, 17ème rapport précité.

4 V. Annexes, Extrait de la mission interministérielle sur l'Internet 16 mars 1996, rapport Falque-Pierrotin.

5 Article 24 - Sanctions : Les Etats membres prennent les mesures appropriées pour assurer la pleine application des dispositions de la présente directive et déterminent notamment les sanctions à appliquer en cas de violation des dispositions prises en application de la présente directive.

6 Qui touche au pouvoir de sanction de l'Etat, et donc à sa souveraineté.

7 L'article XIV de l'accord du 15 avril 1994 établissant l'Organisation mondiale du commerce dispose : "Sous réserve que ces mesures ne soient pas appliquées de façon à constituer (…) soit une restriction déguisée au commerce des services, aucune disposition du présent accord ne sera interprétée comme empêchant l'adoption ou l'application par tout membre de mesures (…) nécessaires pour assurer le respect des lois et règlements qui ne sont pas incompatibles avec les dispositions du présent accord, y compris celles qui se rapportent (…) à la protection de la vie privée des personnes pour ce qui est du traitement et de la discrimination des données personnelles, ainsi qu'à la protection du caractère confidentiel des dossiers et comptes personnels".

8 Revue de presse : Lundi 29 juin 1998 Bruxelles : l'Union Européenne pousse à la création d'une "charte" internationale.

9 Commission Européenne, Assurer la sécurité et la confiance dans la communication électronique, Communication du 08.10.1997, COM(97) 503 final.

10 Communication précitée, p16.

11 Mallet-Poujol N., Appropriation de l'information : l'éternelle chimère, Dalloz 1997, 38ème cahier, Chron. p330, précitée.

12 « La banalisation des traitements doit en outre conduire à plus clairement prendre en compte les droits du citoyen, non seulement comme "personne fiché", mais de plus en plus comme usager ou comme responsable d'un traitement. Le droit de l'informatique tendra en effet de façon croissante à se confondre avec le droit commun des procédures administratives et des relations commerciales. Dans ces conditions, les technologies de l'information sont appelées à devenir, sinon le vecteur principal, du moins un support essentiel de l'exercice des libertés d'expression et d'information et de la liberté du commerce et de l'industrie. Il y a lieu de tenir compte de ces évolutions fondamentales pour définir un nouvel équilibre entre la protection des droits de la "personne fichée" et ceux des opérateurs des traitements d'informations ».

13 Maisl H., Les données confidentielles et les données nominatives sur Internet, in Internet saisi par le droit, sous la direction de Xavier Linant de Bellefonds, Editions des Parques, 1997.

14 Un village planétaire qui ne regroupe que 125 millions de personnes sur les quelques 6 milliards d'individus que compte notre planète bleue !

15 La difficulté reste ici toujours la même : il s'agit de porter à la connaissance des responsables de traitement les sanctions éventuelles liées à une utilisation prohibée des données.

16 Opinions rapportées dans l'article de Nathalie Mallet-Poujol, Appropriation de l'information : l'éternelle chimère, Dalloz 1997, 38ème cahier, Chron. p330, précitée.

17 Annexe 10 en l'occurrence.

18 Sédallian V., L'utilisation d'Internet dans l'entreprise, article précité.

19 tels que Cadres online : http://www.cadresonline.com/, Cyberworkers : http:/www.cyberworkers.com/, CareerMosaïc France : http/www.careermosaïc.tm.fr/, l'ANPE : http://www.anpe fr/ ou encore l'APEC : http://www.apec.asso.fr/.

20 V. aussi Lamy Droit de l'informatique, 1997, n°782, p498.

21 Le rapport Braibant note par ailleurs qu' « en tout état de cause, le niveau de protection dans un pays déterminé ne peut plus &endash; compte tenu des possibilités de transfert d'informations &endash; être apprécié en isolant sa loi nationale : l'amélioration du niveau de protection dans les autres Etats européens aura un effet bénéfique pour les personnes résidant en France, en évitant les délocalisations à l'intérieur de l'Europe ».

22 V.Trudel P. (sous la direction de), Droit du cyberespace, Les Editions Thémis, 1997, p11-41.

23 En effet, la notion de ".donnée à caractère personnel." paraît en elle-même plus pertinente que celle d'"information nominative", compte tenu du développement des moyens d'identification indirecte. Elle permet en outre de mettre fin, en droit français, à une confusion entre les "informations nominatives" au sens de la loi du 6 janvier 1978 et les "informations nominatives" au sens de la loi du 17 juillet 1978 qui a pour effet de restreindre la liberté d'accès aux documents administratifs, dès lors que les champs d'application de ce terme dans chacun des deux textes sont distincts.

24 Ce qui peut être un préalable juridique favorable à l'utilisation de la vidéoconférence.





Chapitre II - Une protection à l'échelle mondiale ?

  1. La conclusion apportée par Guy Braibant dans son rapport, du point de vue de la coopération internationale, avait déjà été soulevée par la Cnil dans son 17ème rapport. Tous les acteurs de l'Internet en Europe sont aujourd'hui d'accord pour promouvoir une solution de concertation au règlement du problème de la protection des données personnelles dans le cadre du commerce électronique sur Internet. Ainsi, l'Union européenne pousse à la création d'une "charte" internationale1. Celle-ci est destinée à résoudre les problèmes juridiques liés aux particularités transfrontalières des réseaux informatiques. Aux yeux des américains, cette initiative apparaît cependant comme une tentative d'imposer une nouvelle bureaucratie internationale qui pourrait stopper l'élan actuel du commerce électronique. Le commissaire européen Martin Bangemann affirme au contraire que la charte devra être élaborée par l'industrie concernée au delà des instances européennes. Cette position est, quoiqu'on en pense, une position pragmatique, voire même dictée par la réalité des faits. Le débat sur l'autorégulation pourrait, à cette occasion, se trouver relancé. Pourtant, le principal acteur de l'Internet, marchand et non marchand, est encore le pays où l'idée d'Internet est née, et où sa structure a grandi en premier. Les Etats-Unis, puisque c'est de ce pays dont il s'agit, ont une notion des données personnelles très différente de celle avancée par les pays de l'Union dans la directive de 1995. Néanmoins, l'Internet a provoqué une réaction des sociétés nord-américaines, prêtes pourtant à beaucoup de sacrifices pour la "sacro-sainte" consommation. Nous présenterons donc ce sursaut et ses raisons dans une première section (Section I), après quoi nous évoquerons le projet du World Wide Web Consortium qui peut apporter sa contribution au débat (Section II).

  2. Section I - La réaction des sociétés nord-américaines

    Aux Etats-Unis et au Canada, seul le fichage par le secteur public est réglé par une loi, le secteur privé pouvant s'autorèglementer, à l'inverse de la situation posée par la directive de 1995. En janvier 1974, les Etats-Unis se sont dotés d'un Privacy Act dont l'application est restée limitée aux fichiers détenus par les administrations fédérales et qui était destiné à protéger la vie privée des individus contre l'utilisation abusive d'enregistrements détenus par ces administrations en permettant à chacun d'accéder aux enregistrements qui le concernaient. La défiance s'est toujours manifestée, dans la société américaine, plus à l'égard du pouvoir d'Etat, que du pouvoir économique. Une suite a été donnée à ce texte par le Computer Matching and Privacy Protection Act de 1988, mais qui ne concerne aussi que le secteur public. Le Privacy Act limite d'une part les types de fichiers de données informatisées que les organismes gouvernementaux peuvent constituer et d'autre part l'utilisation qu'ils peuvent en faire (limitation de la constitution et du maintien du fichier à ce qui est nécessaire à l'accomplissement de la mission de l'organisme, recueil des données directement auprès de la personne concernée, information de l'individu fiché de l'utilisation de ses informations,etc). Par ailleurs, aucun organisme gouvernemental ne peut divulguer des données personnelles sans la demande ou au moins l'autorisation de la partie concernée par l'information. Enfin, la loi donne aux individus un droit d'accès aux données qui les concernent, ainsi que le droit de copier ces données, de les contester et de les corriger. Sans toutefois être identique à ce dispositif, la "Loi sur la protection des renseignements personnels" prévoit une protection similaire en droit canadien dans le secteur public fédéral. De manière générale, la conscience populaire accorde une confiance plus importante aux lois du marché et à l'autorégulation de ce dernier par ses acteurs. Pourtant, des utilisations pourraient nous paraître excessives. Il suffit de faire une fois ses courses dans un supermarché aux Etats-Unis pour prendre conscience de l'ampleur du phénomène de marketing individualisé : carte de fidélité offrant jusqu'à 45% de réduction (voire même l'équivalent d'un panier d'achats !) en fonction du montant des achats, paiement autorisé par carte bancaire sur de petites sommes inférieures aux 100 F requis dans nos commerces, bons de réduction en tout genre, promotions constantes, "matraquage" publicitaire,etc. Tout cela peut nous sembler déjà familier, mais la dimension que nous connaissons en Europe est bien en deçà de ce que connaissent les sociétés nord-américaines, et les Etats-Unis en particulier. Le phénomène se reproduit sur l'Internet, et les Etats-Unis retireront les principaux fruits du commerce électronique pendant encore quelques années. Mais les possibilités de collecte et de traitement sont amplifiées sur Internet, et les citoyens internautes américains se rendent compte de plus en plus qu'ils sont fichés et que l'industrie de consommation a peut-être pris des habitudes qu'il va falloir envisager de changer.


  3. Des lobbies d'internautes se sont lancés dans une véritable croisade2 de défense de la vie privée sur le réseau. Leurs revendications se sont d'abord portés sur la libéralisation du régime de cryptologie3. Le sentiment confié par Tim Berners-Lee lors de la septième conférence internationale sur le World Wide Web à Brisbane en avril reste sans appel4 : "Je suis très inquiet des conséquences sur la vie privée de l'utilisation du net en ce moment". Tim Berners-Lee est un britannique spécialiste des communications, inventeur du Web5 en 1989. Peu de temps après6, les Quinze de l'Union européenne adoptaient à l'unanimité leur première recommandation portant sur Internet pour assurer la protection des enfants7. Deux semaines plus tard, c'est au tour de la Maison Blanche de s'inquiéter de ce que la plupart des sites Web pour enfants récoltent des données personnelles sur leurs jeunes visiteurs à des fins de marketing, employant des moyens souvent peu transparents8. Le changement se fait imminent : "Les entreprises américaines de marketing jouissent jusqu'à présent d'une liberté quasi-totale pour collecter, utiliser et s'échanger les données privées sur un individu. Mais l'agence fédérale de réglementation du commerce, la FTC, vient de remettre un rapport au Congrès sur la protection de la vie privée sur Internet qui pourrait la remettre en cause, surtout lorsque les cibles sont des enfants. Après trois ans d'étude du comportement des propriétaires de sites, la FTC juge que leurs efforts pour encourager l'adoption volontaire de pratiques élémentaires de protection de la vie privée sont restés largement insuffisants". L'actualité aux Etats-Unis rappelle alors que la vie privée est à découvert sur Internet9. Selon l'agence fédérale de réglementation du commerce, la FTC, 90% des sites commerciaux américains sur le Web collectent des informations personnelles sur leurs visiteurs, mais moins de 15% les en avertissent. La pression du Gouvernement Clinton se fait alors plus importante, ce qui amènent une cinquantaine de grandes entreprises et de groupements professionnels américains à constituer une "Alliance pour le respect de la vie privée en-ligne", tentant de prévenir une réglementation du secteur10 parles autorités fédérales. Paradoxalement, au même moment une technologie mise au point par des sociétés informatiques doit permettre l'accès de la police américaine aux messages cryptés11. Cependant, devant la demande d'autorégulation faite au secteur privé par la FTC, l'Alliance créée quelques jours plus tôt préconise l'utilisation de "sceaux de bonne conduite" délivrés par des tiers. Les sites ainsi marqués garantissent respecter les règles de l'alliance destinées à protéger les données privées de ses visiteurs12. Cette annonce ne suffisait sans doute pas à rassurer les pouvoirs publics, puisque le vice-président américain Al Gore appelait, à la fin du mois de juillet, le Congrès à adopter des lois visant à restreindre les atteintes à la vie privée sur Internet, et avertissait le secteur privé qu'une législation plus complète suivrait si celui-ci n'était pas en mesure de s'autoréguler13. La situation devrait donc évoluer rapidement vers une réglementation qui protège mieux les internautes sur les sites américains, qu'elle soit le fait de l'administration ou des professionnels eux-mêmes.

  4. Dans son ouvrage14, Pierre Trudel traite de la notion de renseignements personnels en droit canadien qui est à rapprocher de celle de donnée personnelle de la directive de 1995. Il rappelle que les environnements électroniques supposent l'interconnexion des réseaux et l'interaction informatisée. Le phénomène qui s'ensuit est qualifié de "dépossession informationnelle". Il se pose la question de la conciliation du développement technologique avec les impératifs socio-juridiques représentés notamment par la protection de la vie privée. Et si la tâche ne lui paraît pas nouvelle, il la considère dans les environnements électroniques avec plus de complexité : « La délocalisation de l'information, sa grande fluidité, voire son insaisissabilité, son caractère multimédiatique (données, voix, son, image), son intangibilité, sa nature souvent interactive, la multiplicité des acteurs impliqués dans l'opération télématique et, surtout, nous semble-t-il le caractère irrémédiablement international des réseaux de communication participent à la difficulté de procéder à un arbitrage efficace, opérationnel et harmonieux des intérêts en jeu ». L'application pratique des normes internationales n'étant pas aisée, et pourtant essentielle, une coopération internationale s'avère tout particulièrement nécessaire si l'on veut garantir la protection des données personnelles sur Internet, tant dans son aspect marchand que non marchand.

  5. Section II - La position du W3C, instance de régulation de l'Internet

    La démarche s'éloigne ici de l'attraction juridique de notre sujet. Il s'agit de constater que le droit et la technique répondent en même temps à une demande croissante de protection de la vie privée sur Internet. L'instance de régulation de l'Internet est le World Wide Web Consortium, appelé aussi W3C15. Ce consortium industriel dirigé par le Laboratory for Computer Science du Massachusetts Institute of Technology de Cambridge. favorise le développement des standards et encourage l'interfonctionnement entre les produits du World Wide Web. Or, devant l'actualité de la vie privée16 en ligne, le consortium s'est engagé dans le projet P3P ou Platform for Privacy Preferences. Projet technique, celui-ci vise à définir une spécification qui autorisera les sites Web à afficher leurs pratiques de privacy et les utilisateurs à exercer leurs préférences envers ces pratiques. Cette spécification pourra s'intégrer aux navigateurs, sur les serveurs, et même les serveurs "proxy". Elle a vocation par ailleurs à incorporer des produits du marché afin de permettre aux utilisateurs d'être informés des pratiques des sites visités afin de déléguer à leur ordinateur la fonction de décision lorsque cela est possible. Ainsi, l'utilisateur, après avoir spécifié ces préférences, accédera à des sites de façon "transparente". Dans les cas contraires, l'utilisateur se verra notifier par son navigateur les pratiques du site sur lequel il se connecte, et aura alors le choix d'y adhérer ou de les refuser. Le projet P3P17 se veut donc, pour l'internaute, un mécanisme de responsabilisation qui laissera l'utilisateur maître de ses choix en fonction de son expérience sur le réseau et de sa capacité à contrôler l'usage qu'il sera fait de ses données; et pour le responsable d'un site un moyen d'accroître la confiance que les utilisateurs placent dans les services proposés, d'accroître la qualité de ces mêmes services, de la personnalisation du contenu et de simplifier l'accès aux sites.


1 Revue de presse : Lundi 29 juin 1998 Bruxelles : l'Union Européenne pousse à la création d'une "charte" internationale.

2 Ils pourraient être aidés par les circonstances de l'affaire Monica Lewinsky et la manifestation publique du président Clinton de voir les médias respectés sa vie privée.

3 Revue de presse : Jeudi 5 mars 1998 Alliance contre le gouvernement Clinton pour un cryptage non contrôlé.

4 Revue de presse : Mercredi 15 avril 1998 L'inventeur du Web inquiet de ses conséquences sur la vie privée.

5 Il conviendrait en effet de parler distinctement d'Internet et de Web. Ce dernier est une technologie basée sur celle d'Internet, mais capable de transporter, en plus du texte, de l'image et du son.

6 Revue de presse : Jeudi 28 mai 1998 Recommandations de l'UE pour l'autorégulation de l'Internet.

7 Comme le rappelle Pierre Trudel, « le droit à la vie privée appartient également à l'enfant depuis la signature de la Convention relative aux droits de l'enfants en 1990 ». Trudel P. (sous la direction de), Droit du cyberespace, Les Editions Thémis, 1997, p11-20.

8 Revue de presse : Vendredi 12 juin 1998 Marketing en ligne: comment protéger les enfants.

9 Revue de presse : Samedi 20 juin 1998 La vie privée à découvert sur Internet.

10 Revue de presse : Lundi 22 juin 1998 Alliance de grandes firmes pour la protection de la vie privée sur le Web.

11 Revue de presse : Lundi 13 juillet 1998 Etats-Unis : accès de la police aux messages cryptés.

12 Revue de presse : Mardi 21 juillet 1998 Etats-Unis : alliance d'entreprises américaines pour la protection de la vie privée sur le réseau.

13 Revue de presse : Vendredi 31 juillet 1998 Le vice-président propose des lois pour protéger la vie privée sur Internet.

14 Trudel P. (sous la direction de), Droit du cyberespace, Les Editions Thémis, 1997, p11-37.

15 W3 est l'abréviation de World Wide Web.

16 Privacy en anglais.

17 Disponible à l'adresse du W3C : http://www.w3.org/P3P/.





Conclusion

  1. Un article paru dans Il Mondo1 en avril dernier rapporte les résultats d'une enquête qui met en lumière un scénario futuriste mais pourtant bien réel. Dans le cadre du pacte UKUSA, chapeauté par la NSA (National Security Agency) - une agence indépendante placée sous la responsabilité du directeur de la CIA - Les Etats-Unis, le Royaume-Uni, le Canada, l'Australie et la Nouvelle-Zélande filtrent conversations, fax et e-mails dans le monde entier.
    L'enquête menée par Il Mondo révèle que le monde entier et les Européens en particulier sont systématiquement espionnés depuis un demi-siècle par un organisme - nommé Ukusa -, qui regroupe cinq pays anglo-saxons. Nom de code de son réseau : Echelon. A sa tête la NSA, le département le plus secret de l'espionnage américain. Au départ, l'objectif était de cibler les pays communistes. Mais, depuis vingt ans, avec le développement des télécoms par satellite, puis la fin de la guerre froide, il espionne de plus en plus ses partenaires occidentaux. Echelon est un système puissant et très sophistiqué d'écoutes téléphoniques. Il pourrait filtrer jusqu'à 2 millions de conversations à la minute, soit près de trois milliards par jour. Surtout, ses missions débordent largement de la simple "sécurité nationale". La participation d'un pays, en particulier, pose un problème : le Royaume-Uni, qui joue un rôle éminent dans le pacte Ukusa tout en adhérant à l'Union européenne. « La particularité d'Echelon est que son réseau de satellites2, ses bases terrestres, ses ordinateurs extrêmement puissants3 ne sont pas conçus pour agir sur certains réseaux de transmission prédéterminés, mais pour intercepter sans discrimination des quantités inimaginables de communications, quels que soient les moyens de transmission employés. La première composante de ce système consiste en cinq grandes bases Ukusa (Yakima, USA; Sugar Grove, Canada; Morwenstow, RU; Geraldton, Australie; Waihopai, NZ) à partir desquelles sont interceptées les communications qui passent par les vingt-cinq satellites géostationnaires Intelsat4 (qui ne sont pas cryptés, NDLR) utilisés par les compagnies téléphoniques du monde entier pour les communications internationales ».

  2. Le sujet est journalistique certes, mais laisse un sentiment étrange après sa lecture. La question juridique essentielle est de savoir comment le droit va s'adapter au phénomène de la numérisation. Au-delà, ce sont les enjeux de la protection de la personne, plus que des données personnelles seules, qui se révèlent cruciaux. La protection du consommateur, de l'internaute passe par la mise en place de mécanismes de prévention et de protection, mais dont la portée dépasse largement celle des lois spécifiques qui traitent de ces cas. L'information est un bien courant ou un bien rare, selon que l'on considère sa quantité ou sa véracité, et le spectre tant de fois soulevé du "Big Brother", dont l'œil pourrait nous suivre jusque dans nos moments les plus intimes, ressurgit. L'image fait aujourd'hui sourire- à tort ou à raison, mais la naïveté aussi. L'exemple avancé par certains internautes de la volonté d'avoir une adresse électronique à vie, indépendante du fournisseur d'accès, devrait rappeler le débat sur le NIR - ou numéro de sécurité social - comme identifiant unique d'interconnexion de grands fichiers5. La protection de la personne est nécessaire, mais plus suffisante. L'éducation de chacun à ces nouveaux media est vitale, sans quoi les disparités déjà abusives entre les "savants" et les "ignorants" marqueront un sillon dont la soudaineté et l'ampleur ne pourront qu'être à l'image de l'émergence des nouveaux media eux-mêmes: bouleversante, profonde et mal maîtrisée.


1 Courrier International n°387, du 2 avril au 8 avril p39.

2 Constellation de satellites-espions que la NSA a mis en orbite à partir de 1970 sous le nom de code Vortex.

3 Ceux-ci fonctionnent avec des "dictionnaires" capables d'absorber, d'examiner et de filtrer en temps réel d'énormes quantités de messages numériques et analogiques, d'extrapoler les données de ceux qui contiennent chacun des mots-clé programmés pour filtrer en fonction des thèmes politiques, diplomatiques ou économiques qui intéressent à un moment donné les USA et leurs partenaires.

4 Nom des satellites de télécommunications intercontinentaux gérés par l'organisation du même nom. Cette société est une structure communautaire réunissant une grande partie des opérateurs de télécommunications dans le monde.

5 Linglet M., Un principe de précaution transgressé, Expertises des systèmes d'information, avril 1997, p130., et aussi "46 associations et syndicats appellent le Premier ministre à enterrer le projet", Expertises, Août/Septembre 1997, p251.

 

 

Juriscom.net est une revue juridique créée et éditée par Lionel Thoumyre
Copyright © 1997-2001 Juriscom.net / Copyright © 2000 LexUM