Les approches anglo-saxonne et européenne de la protection des données personnelles comportent un certain nombre de différences fondamentales. Malgré tout, un mouvement vers une harmonisation des points de vue semble s’amorcer depuis quelques années.
En matière de données à caractère personnel, les conceptions européenne et anglo-saxonne (au premier rang desquelles se trouve la conception américaine) divergent sur de nombreux points. Ainsi, l’une des plus grandes différences entre les approche européenne et américaine concerne le caractère commercial ou non des données personnelles.
« Aux États-Unis, certaines données – par exemple des données collectées par les hôpitaux ou par les banques – bénéficient d’une protection élevée. Mais en dehors de ces zones protégées, les entreprises sont libres d’exploiter des données pour autant que les entreprises ne commettent pas de ‘pratique déloyale’. En Europe, les données à caractère personnel sont rattachées à un droit fondamental. Toute exploitation de données constitue une violation potentielle d’un droit fondamental, et devra être justifiée par un intérêt légitime, un consentement, l’exécution d’un contrat, etc. », explique Winston J. Maxwell, actuellement Directeur d’Études Droit et Numérique à Télécom Paris, dans une note publiée alors qu’il était Partner au sein du cabinet d’avocats Hogan Lovells.
Aux États-Unis, une superposition de « common low » (au niveau de chaque État) et de lois fédérales
Aux USA, la « common law » de chaque État reconnaît un droit à la protection de la vie privée à l’égard d’acteurs privés. Outre ces règles spécifiques à chaque État, les États-Unis disposent de lois fédérales visant la protection des données à caractère personnel dans certains secteurs. « La première grande loi sur la protection des données à caractère personnel concernait les traitements de données effectués par le gouvernement fédéral. Le Privacy Act de 1974 établit des règles sur le traitement des données à caractère personnel collectées par les différentes branches du gouvernement », rappelle Winston J. Maxwell.
Après le Privacy Act de 1974, le législateur fédéral a développé une série de lois visant la protection des données à caractère personnel dans le secteur privé : HIPAA (Health Insurance Portability and Accountability Act) pour la protection des données de santé, GLBA (Gramm-Leach-Bliley Act) pour les données financières, COPPA (Children’s Online Privacy Protection Act) pour la protection des données concernant les enfants, FCRA (Fair Credit Reporting Act) visant à réguler les profils de solvabilité des individus, ECPA (Electronic Communications Privacy Act) pour les données de télécommunications, « Can-SPAM » Act pour l’interdiction des messages publicitaires…
« Certaines de ces lois sont aussi protectrices que les lois européennes, même si leur champ d’application est plus restreint. En plus de ces lois fédérales, chacun des États américains a adopté des lois visant la protection de certains aspects de la vie privée de leurs citoyens. L’État de Californie a notamment adopté une loi protégeant les données à caractère personnel dans le cadre de sites Internet, ainsi qu’une loi accordant un droit à l’effacement à des utilisateurs mineurs de réseaux sociaux », note Winston J. Maxwell.
Une approche européenne globale
L’ensemble des lois américaines constitue un patchwork assez hétérogène qui contraste fortement par rapport à l’approche globale européenne. « Le Conseil de l’Europe, fondé en 1949, a élaboré une approche globale de la vie privée qui se veut complète. Celle-ci fut adoptée suite à la Seconde Guerre mondiale, où d’innombrables horreurs ébranlèrent le monde entier », commente Stephan Grynwajc, fondateur du cabinet S. Grynwajc, dans une analyse publiée sur le site transatlantic-lawyer.com.
« Plus récemment, l’adoption du RGPD, qui a comme finalité d’assurer aux résidents européens une protection des données personnelles globale et universelle, renforce cette approche. Le RGPD transcende les secteurs d’activité et les domaines d’utilisation des données personnelles et couvre tout traitement de données personnelles, par quelque moyen que ce soit. (…) Cette approche globale est censée accorder une protection complète et solide aux libertés et droits fondamentaux des citoyens et résidents de l’UE », poursuit Stephan Grynwajc.
Cette approche globale mise en œuvre par les Européens a d’ailleurs poussé le Département du commerce américain à conclure successivement le Safe Harbor en 2000 et le Privacy Shield en 2016 avec la Commission européenne pour encadrer le transfert des données personnelles de l’Union européenne vers les États-Unis.
Vers une harmonisation des pratiques ?
Même si le Safe Harbour a été invalidé par l’arrêt « Schrems » de la Cour de justice de l’Union européenne en 2015 et que le Privacy Shield a lui aussi été invalidé par cette même Cour européenne en 2020, Ursula von der Leyen, la présidente de la Commission européenne, et Joe Biden, le Président américain, ont annoncé en mars 2022 un accord politique visant à créer nouveau cadre sur les transferts internationaux de données.
« Nous avons réussi à trouver un équilibre entre la sécurité et le droit à la vie privée et à la protection des données. Nous avons trouvé un accord de principe sur un nouveau cadre pour les flux de données transatlantiques. Cela permettra des flux de données prévisibles et dignes de confiance entre l’UE et les États-Unis, tout en préservant la vie privée et les libertés civiles », a déclaré la présidente de la Commission à cette occasion.
Dans la foulée de cet accord, la Commission européenne a lancé fin 2022 un processus d’adoption de la décision d’adéquation concernant le cadre de protection des données entre l’Europe et les États-Unis. Une décision d’adéquation est un processus prévu par l’article 45 du RGPD. Elle autorise le transfert de données à caractère personnel depuis l’UE vers un pays tiers, à niveau de protection identique.
Afin d’éviter les échecs précédents (invalidation du Safe Harbour et du Privacy Shield), la Commission européenne met en avant que le nouveau cadre sur le transfert des données personnelles comportera un certain nombre d’évolutions : une limitation de l’accès – par les services de renseignement américains – aux données européennes au strict nécessaire pour assurer la sécurité nationale et un droit à réparation pour les citoyens européens par rapport à la collecte et l’utilisation de leurs données par les services de renseignement américains. Gageons que ces nouvelles dispositions permettront enfin de créer un contexte harmonieux, et surtout efficace, pour la protection des données personnelles entre les deux continents.