b) Les différences d'approches entre les systèmes européen et américain en matière de protection des données personnelles
Lors d'un colloque organisé par la CNIL et l'université Panthéon-Assas-Paris II au Sénat les 7 et 8 novembre 2005, M. Robert Gellman, avocat auprès de la Cour suprême de Pennsylvanie et expert-conseil en protection des données, soulignait que la méthode américaine de régulation de la protection des données personnelles était éloignée de l'approche européenne, qui repose sur des normes complètes de protection et sur l'existence d'une autorité indépendante de protection des données 50 ( * ) .
Au cours de leurs auditions, vos rapporteurs ont pu en effet constater les points suivants :
- les Etats-Unis ne disposent pas d'une autorité indépendante dédiée à la protection des données . La Commission fédérale du commerce américaine ( Federal Trade Commission ) est en effet une agence fédérale non indépendante et dont les compétences vont bien au-delà de la protection de la vie privée (lutte contre les monopoles, la concurrence déloyale et la publicité mensongère, protection des consommateurs, répression des fraudes, etc.) ;
- à la différence du système européen, les Etats-Unis n'ont pas de cadre général de protection des données dans le secteur privé mais des lois sectorielles . A titre d'exemple, le « Fair Credit Reporting Act » 51 ( * ) , première loi fédérale de protection des données personnelles, voté en 1970, vise à encadrer les fichiers relatifs à la situation financière des individus compte tenu de leur importance pour l'accès au crédit, à un emploi ou à une assurance. De même, le « Children's Online Privacy Protection Act » 52 ( * ) , voté en 1998, fixe des règles régissant la collecte, l'enregistrement, l'usage et la diffusion des données personnelles obtenues en ligne d'enfants de moins de treize ans ; il prévoit en particulier le consentement des parents avant toute collecte. Enfin, dans le domaine de la santé, le régime de protection est complexe et fragmenté : certaines lois concernent les informations détenues par des agences fédérales, des employés de l'administration ou des élèves, d'autres protections s'appliquent à certaines maladies, telles que le SIDA. Une première étape dans la volonté d'élaborer une législation globale dans ce domaine a été marquée par la loi dénommée « Health Insurance Portability and Accountability Act » 53 ( * ) votée en 1996 et pleinement applicable depuis avril 2003 54 ( * ) .
A contrario , de nombreux fichiers utilisés dans les transactions commerciales courantes ne font l'objet d'aucune législation de protection des données personnelles. Des commerçants de tous types, éditeurs de magazines, restaurants, agences de voyage, organismes caritatifs, etc., sont libres de collecter, d'utiliser ou de diffuser des informations personnelles qu'ils obtiennent des individus sans aucune règle spécifique fixée par la loi, même si les représentants de la chambre de commerce américaine, entendus par vos rapporteurs, ont objecté que les principes généraux du droit de la consommation, au premier rang desquels figure le principe de loyauté , pouvaient toujours trouver à s'appliquer ;
- les Etats-Unis privilégient la régulation du marché à l'intervention de l'Etat, régulation volontaire par l'élaboration par les entreprises de leurs propres « privacy policies » (c'est-à-dire de codes de bonne conduite internes à l'entreprise), ou régulation contractuelle par le biais, par exemple, de conventions entre les opérateurs économiques et les consommateurs ;
- enfin, la philosophie américaine est beaucoup plus fondée qu'en Europe sur la libre circulation de l'information (« free flow of information ») garante du développement du commerce et de l'économie, ce qui a récemment fait dire à M. Alex Türk, président de la CNIL : « il y a un fossé abyssal aujourd'hui entre la conception américaine des données personnelles qui sont pour eux des biens marchands et la conception européenne où il s'agit d'attributs de nos personnalités ».
* 50 Les actes du colloque sont disponibles sur Internet : http://www.senat.fr/colloques/colloque_cnil_senat/colloque_cnil_senat_mono.html.
* 51 Loi sur l'évaluation du crédit discriminatoire.
* 52 Loi portant protection de la vie privée des enfants sur Internet.
* 53 Loi sur la transférabilité des régimes d'assurance-santé.
* 54 Il semble, d'une manière générale, que les Etats-Unis tendent progressivement à privilégier une approche globale de protection des données, jugée plus simple que le système sectoriel.