Consumer Privacy Protection Act : La loyauté sacrifiée (US)
Publié le 17/10/2002 par Julien Clainche
Le Consumer Privacy Protection Act est actuellement discuté par le Congrès américain. Ce texte prévoit d’organiser la collecte et le commerce des données à caractère personnel des consommateurs, dans le respect de la Privacy. Pourtant, force est de constater que le texte, dans sa mouture actuelle, se démarque non seulement de la politique européenne, mais…
Le Consumer Privacy Protection Act est actuellement discuté par le Congrès américain. Ce texte prévoit d’organiser la collecte et le commerce des données à caractère personnel des consommateurs, dans le respect de la Privacy. Pourtant, force est de constater que le texte, dans sa mouture actuelle, se démarque non seulement de la politique européenne, mais aussi des standards de la Privacy. Une dilution des droits des consommateurs est opérée au profit des entreprises privées.
Le Consumer Privacy Protection Act, bien que faisant référence à de nombreuses reprises aux chartes relatives à la vie privée (section 101 & 102), ne pose aucune limite quant à leur évolution.
Concrêtement, une entreprise pourrait collecter des données sensibles en présentant une charte assez protectrice des intérêts individuels, puis finalement changer de stratégie, réviser sa charte à la baisse sans prévenir les personnes concernées, pour enfin diffuser les informations sur le Net.
Nous sommes dans une situation où le consommateur doit se tenir informé de l’évolution éventuelle des dispositions sur le fondement desquelles il a consenti à communiquer ses données personnelles. Obligation pour le moins étrange, à la charge d’une partie traditionnellement considérée comme la plus faible.
La loyauté devant présider au traitement des données est donc mise à mal. La question se pose alors, de savoir si la Privacy américaine consacre le principe de loyauté sur le modèle d’autres pays de Common Law. A cet égard, les Privacy Act britannique et australien disposent :
‘Data and personal data shall be processed fairly and lawfully’.
Le texte américain ne consacre pas le principe de la loyauté de la collecte et du traitement dans les mêmes termes mais évoque parfois la notion de « fairness ».
La loyauté est souvent appréciée au regard de la notion ‘d’informed consent’ qui n’est pas reconnue de manière générale, mais ponctuellement dans des domaines spécifiques tels que la recherche médicale [5] ou l’éducation. En matière de consommation, l’ordre juridique américain accorde traditionnellement une protection moins importante aux informations nominatives.
Le Privacy Act de 1974 exige pourtant que la personne concernée par le traitement puisse avoir connaissance de la collecte, de son objet, et de l’usage (use) des données le concernant :
‘…permit an individual to determine what records pertaining to him are collected, maintained, used, or disseminated …’.
Si ces dispositions ne semblent concerner que les administrations, leur emplacement dans le Privacy Act : ‘Congressional finding and statement of purpose (Section 2 of pub’) laisse entendre une applicabilité aux entreprises privées.
La position de la jurisprudence est plus claire puisqu’elle condamne les informations divulguées suite à une collecte déloyale, (voir dans ce sens « Bartnicki v. Vopper.Bartnicki » 99-1687 99-1728 conciliant liberté d’expression et privacy; dans cette espèce une conversation avait été enregistrée à l’insu de la personne).
Si aucun ordre juridique ne peut pousser à la déloyauté, il peut en revanche la condamner avec plus ou moins de clarté, ce qui semble être le cas des Etats-Unis par rapport au Royaume-Uni et à l’Australie. Si le principe de loyauté n’existe pas en droit américain avec la même force qu’en droit européen, il est cependant présent dans de nombreux textes et pratiques. Le texte nouveau de protection des informations concernant les consommateurs risque de diluer encore un peu plus le principe :
Le Consumer Privacy Protection Act énumère dans sa 102ème section les informations devant être contenues dans les chartes relatives à la vie privée : détail des classes de données collectées, type de données, cession et divulgation éventuelles à des tiers… tout un panel d’informations devant amener le consommateur à finalement donner son « informed consent » et ainsi garantir la loyauté de la collecte. Toutefois, l’absence de devoir d’information en cas de modification de la charte anéantit l’effet protecteur de ces dispositions. En effet, en cas de révision de la charte à la baisse, les données auront été collectées de manière déloyale.
Le régime de la cession des données à des tiers est également susceptible de porter atteinte aux droits individuels.
La section 103 du Consumer Privacy Protection Act organise la cession des données à un tiers. Au terme de celle-ci, le consommateur doit être en mesure, et sans frais, d’écarter la possibilité de vente ou de divulgation de ses données personnelles à des tiers à la transaction.
Consumer Privacy Portection Act Sect. 103 (A) (1) :
’data collection organization shall provide to the consumer, without charge, the opportunity to preclude any sale or disclosure for consideration of the consumer’s personally identifiable information, that may be used for a purpose unrelated to a transaction with the consumer, to any data collection organization that is not an information-sharing partner of the data collection organization providing such opportunity.’
Le texte s’empresse toutefois de limiter considérablement la portée de cette exigence en disposant que les données personnelles du consommateur seront susceptibles d’être cédées si celui-ci en retire en bénéfice.
Consumer Privacy Protection Act Sect. 103 (B) :
data collection organization may provide the consumer an opportunity to permit the sale or disclosure described in subsection (a)(1) in exchange for a benefit to the consumer.
Cette disposition a, notamment, des conséquences sur l’exercice du droit à l’information et du droit d’accès. En effet, sa rédaction évasive ne pose pas clairement une obligation d’information du consommateur quant au bénéficiaire de la cession. Dès lors, le consommateur sera dans l’impossibilité d’exercer ses droits individuels, notamment, le droit d’accès et de correction. Les fichiers, consitués à l’insu des personnes, risquent donc rapidement de contenir des informations périmées ou érronées, ce qui est ni l’intérêt du consommateur, ni celui du maître du fichier.
Comme de nombreux autres textes relatifs à la protection des données personnelles outre-Atlantique, les actions qui y sont afférentes ne peuvent être introduites que par la Federal Trade Commission (FTC) ou le gouvernement d’un Etat de la fédération. Le texte fédéral primant sur les lois étatiques par le jeu de la «commerce clause» de la constitution, il faut espérer que certains Etats plus protecteurs de la Privacy (Massachussets…) prendront l’initiative de la procédure.
Cette limitation des voies recours se retrouve notamment dans le Online Privacy Protection Act of 2001 et le Financial Information Privacy Protection Act of 2001.
Ce projet du Congrès est en porte à faux avec la pratique judiciaire récente qui tentait de clarifier notamment le domaine des cessions de données personnelles à des tiers. En outre, il est en opposition profonde avec la législation européenne, ce qui ne manquera pas de soulever de nouvelles difficultés au niveau des flux transfrontières de données.
Le Consumer Protection Act comporte un titre III intitulé « International provisions» dont la fonction semble être de préserver les Etats-Unis de toute discrimination sur le fondement de leur dispositions relatives à la privacy.
La section 301 prévoit qu’une étude sera réalisée par le « general comptroller of the United States » analysant l’impact de ces nouvelles dispositions sur le commerce extérieur des Etats-Unis. Le premier rapport devra intervenir au plus tard 120 jours après la promulgation du texte et sera renouvelé tous les trois ans.
« The Comptroller General of the United States shall conduct a study and issue a report analyzing the impact on the interstate and foreign commerce of the United States of information privacy laws… »
La section 302 fixe les objectifs de cette étude, à cet égard sont intitulé est limpide : « Remediation of discriminatory impact by secretary of commerce ».
La section 303 nous informe quant à elle qu’aucun organe fédéral ne pourra se charger de l’exécution d’une décision prise en vertu d’un accord international tant que le congrès n’aura pas statué sur le rapport du contrôleur général des Etats-Unis :
« no officer or employee of any Federal agency may take or continue any action to enjoin, or impose any penalty on, a United States entity, or a citizen or legal resident of the United States, for the purpose of fulfilling an international obligation of the United States under an international privacy agreement (other than such an obligation under a ratified treaty) that resulted in such discriminatory impact. »
Les Etats-Unis ne prennent donc peu en considération leurs obligation internationales, ce qui ne surprendra personne.
La stratégie législative est donc obscure quand tous les acteurs du commerce électronique s’accordent sur la nécessité d’établir la confiance et de clarifier le régime des flux transfrontières de données. La réduction des droits des consommateurs que se propose de mettre en place le Consumer Privacy Protection Act, traduit le lobbying de quelques sociétés qui n’ont pas compris que pour augmenter ses ventes il fallait avant toute chose fournir une valeur ajoutée au client.