Paris, le 2 avril 2009 Madame Anne-Marie

 Paris, le 2 avril 2009 Madame Anne‐Marie Escoffier Sénateur de l’Aveyron Monsieur Yves Détraigne Sénateur de la Marne 15, rue de Vaugirard 75291 Paris Cedex 06 Objet : « Traçage électronique et protection de la vie privée » Madame le Rapporteur, Monsieur le Rapporteur, Depuis sa création en 1894, l’American Chamber of Commerce in France (« AmCham ») essaie de faciliter la communication entre les entreprises américaines installées en France, les pouvoirs publics français, et les services de l’Ambassade des Etats‐Unis en France. Aujourd'hui, AmCham compte plus de 400 entreprises, cabinets d'avocats, consultants et entrepreneurs parmi ses membres, représentant plus de 470 000 emplois directs en France, et 1,6 millions d’emplois indirects. En 2008, l’AmCham a créé un groupe de travail dédié à la protection des données personnelles. Ce groupe, issu des « New Media & IT » et « Legal Affairs » task forces de l’AmCham, a présenté en 2008 à la CNIL un livre blanc sur la protection des données personnelles dans le cadre des procédures judiciaires américaines (« discovery »). L’objectif de ce groupe de travail est de mettre un terme aux préjugés souvent véhiculés dans le milieu des affaires en France sur une absence totale de protection des données personnelles aux Etats‐Unis, en apportant aux institutions (pouvoirs publics et autorités réglementaires) un 1
éclairage sur les réglementations existant en matière de données personnelles en France et aux Etats‐Unis avec les points de convergence et de divergence. Le système de protection des données personnelles participe à une logique très différente dans les deux pays, rendant leur comparaison et compréhension difficiles : les entreprises américaines sont parfois agacées par les positions qu’elles estiment irréalistes et peu pragmatiques de la CNIL, tandis que les acteurs français sont souvent porteurs d’un message erroné sur l’absence totale de protection des données personnelles aux Etats‐Unis. Ces deux positions sont fausses et caricaturales, et rendent ainsi le dialogue difficile, alors qu’une meilleure information sur ces sujets de part et d’autre permettrait de trouver des solutions pratiques acceptables par tous. A cet égard, le traçage de l’individu sur Internet est une préoccupation majeure pour les autorités américaines et françaises. Nous nous félicitons de vos travaux à ce sujet et sommes heureux d’y apporter notre contribution autour des trois thèmes suivants: Chapitre I. Quelle est la position des autorités américaines en matière de traçage de l’individu sur Internet à des fins publicitaires ? Chapitre II. Pourquoi les failles de sécurité (« security breaches ») occupent une place si importante dans les dispositifs américains en matière de protection des données personnelles ? Chapitre III. Est‐ce qu’il existe l’équivalent de la CNIL aux Etats‐Unis ? La problématique sur la publicité comportementale (Chapitre I.) est au cœur de votre étude sur le traçage. Les récents travaux de l’autorité américaine Federal Trade Commission (FTC) et de la CNIL sur ce sujet rendent particulièrement opportune une étude comparative. Nos contributions axées sur les failles de sécurité (Chapitre II.) et l’équivalent de la CNIL aux Etats‐Unis (Chapitre III.) découlent de nos expériences pratiques suite aux réponses apportées aux questions soulevées par les entreprises françaises et américaines en matière de protection des données personnelles. En effet, les entreprises américaines sont souvent surprises par la légèreté avec laquelle une entreprise française peut réagir face à une perte de données nominatives, de même que les entreprises françaises considèrent alarmant l’apparente absence aux Etats‐Unis d’une autorité de régulation chargée de la protection des données personnelles. Pour améliorer la compréhension du système américain, il nous semblait donc indispensable d’aborder ces deux thèmes. Les auteurs de ce livre blanc sont des experts en protection des données personnelles au sein de filiales françaises d’entreprises américaines ou au sein de cabinets d’avocats internationaux. 2
Nous restons bien entendu à votre disposition pour toute précision supplémentaire, et vous prions de croire, Madame le Rapporteur, Monsieur le Rapporteur, à l’assurance de toute notre considération. Le groupe de travail AmCham, représenté par : Florence Chafiol‐Chaumont, avocat, August & Debouzy Jean Gonié, Microsoft Denise Lebeau‐Marianna, avocat, Baker & McKenzie Pauline Le Bousse, avocat, Hogan & Hartson Winston Maxwell, avocat, Hogan & Hartson Anthony Paronneau, avocat, Dechert Lionel Thoumyre, MySpace Carol Umhoefer, avocat, DLA Piper 3
Résumé Chapitre I. Quelle est la position des autorités américaines en matière de traçage de l’individu sur Internet à des fins publicitaires ? Le rapport de la FTC (Federal Trade Commission) publié en février 2009 en matière de publicité comportementale et complétant sa proposition de code de conduite, vient préciser les contours de la publicité comportementale devant être encadrée, en rappelant les principes à respecter, lesquels sont conformes aux principes de protection des données personnelles tels que prévus par les Directives 95/46/CE « protection des données » et Directive 2002/58/CE « vie privée et communication électronique ». Ce rapport apporte un éclairage intéressant sur la manière d’appréhender la publicité comportementale afin de respecter la réglementation, tout en tenant compte des circonstances dans lesquelles elle est diffusée afin de favoriser l’innovation pour les services et produits de consommation. Chapitre II. Pourquoi les failles de sécurité (« security breaches ») occupent une place si importante dans les dispositifs américains en matière de protection des données personnelles ? Les Etats‐Unis, contrairement à l’Europe et plus particulièrement la France, disposent déjà depuis plusieurs années d’une réglementation spécifique concernant les failles de sécurité et plus particulièrement les notifications qui doivent être effectuées en cas de faille. Ainsi, la grande majorité des Etats américains dispose désormais de lois, dont certaines sont particulièrement strictes, qui imposent aux entreprises de mettre en place des procédures particulières en cas de vol ou de perte de données personnelles. L’une des conséquences premières est d’inciter les entreprises à renforcer leurs mesures de sécurité interne, car les notifications obligatoires sont coûteuses et surtout préjudiciables vis‐à‐vis de leur image de marque. En Europe, ce type de réglementation n’existe pas encore alors pourtant que les failles de sécurité sont également importantes et répétées. Le modèle mis en place par certains Etats, comme par exemple l’Ohio, est considéré globalement par les entreprises américaines comme n’étant pas excessivement contraignant tant en ce qui concerne 4
le formalisme que les coûts, tout en étant suffisant pour permettre d’assurer une protection adéquate des consommateurs dont les données personnelles seraient perdues ou volées. Assorti de sanctions civiles, ce genre de loi est reconnue comme étant relativement facile à appliquer, ce qui incite les sociétés à s’y conformer, et donc contribue à la prévention des failles et des risques y afférant. Même si les Etats‐Unis accusent un certain retard sur certains aspects de la protection des données personnelles, en matière de sécurité des données au sein des entreprises les Etats‐Unis ont une longueur d’avance par rapport à l’Europe. Chapitre III. Est‐ce qu’il existe un équivalent de la CNIL aux Etats‐Unis ? Compte tenu de l’importance historique et constitutionnelle de la protection des droits de l’individu face au gouvernement, la plupart des administrations américaines disposent d’un service interne dédié à la protection des données personnelles. Dans bien des cas, ces services peuvent ressembler à une CNIL interne à l’administration américaine. Dans le secteur privé, le rôle de gendarme des données personnelles est assuré par les agences sectorielles. Par exemple, la FCC assure le respect par les câblo‐opérateurs des dispositions relatives au traitement des données personnelles. Le Département de la Santé assure le respect des dispositions protégeant les données personnelles des malades. La FTC, quant à elle, a le mandat général de protéger les consommateurs contre les pratiques déloyales. La FTC utilise cette compétence générale pour sanctionner les détournements de données personnelles dans le secteur privé. Le rôle très actif et influent des associations pour la protection des données personnelles aux Etats‐
Unis mérite une attention particulière car ces organismes déposent des plaintes qui ont un retentissement à la fois politique et juridique non négligeable. 5
Table des matières Chapitre I. Quelle est la position des autorités américaines en matière de traçage de l’individu sur Internet à des fins publicitaires ? 9
Résumé 9
Rapport de la Federal Trade Commission du 12 février 2009 9
I. UNE APPROCHE PRAGMATIQUE DE LA DEFINITION DE PUBLICITE COMPORTEMENTALE 10
La publicité comportementale en ligne présente des risques potentiellement supérieurs à la collecte et au traitement de données d’identification 10
La FTC exclut de la définition de la publicité comportementale en ligne les publicités délivrées par les « premières parties » (éditeurs/gestionnaires de sites) et la publicité contextuelle 10
Les principes du code de conduite s’appliquent à toute donnée, qu’elle permette ou non l’identification d’un consommateur 11
II. LES PRINCIPALES DISPOSITIONS DU CODE DE CONDUITE APPLICABLES AUX ACTEURS DE LA PUBLICITE COMPORTEMENTALE 12
a. Notification et choix pour la publicité comportementale 12
b. Sécurité raisonnable et conservation des données 12
c. Consentement positif (opt‐in) pour la modification des politiques de la vie privée 12
d. Consentement positif (opt‐in) pour la collecte de données sensibles 13
CONCLUSION : LES ENSEIGNEMENTS A TIRER DU RAPPORT DE LA FTC AU MOMENT OU LA CNIL VIENT DE PUBLIER SUR SON SITE UNE COMMUNICATION SUR LA PUBLICITE CIBLEE EN LIGNE 13
Chapitre II. Pourquoi les failles de sécurité (« security breaches ») occupent une place si importante dans les dispositifs américains en matière de protection des données personnelles ?
15
Résumé 15
6
I. LES FAILLES DE SECURITE – UN PROBLEME DONT L’AMPLEUR PEUT ETRE MESUREE GRACE AUX OBLIGATIONS DE DECLARATION 16
II. LE SYSTEME DE NOTIFICATION AUX ETATS‐UNIS 17
Dès 2002, une prise de conscience en matière de sécurité des données personnelles 17
42 Etats sur 50 ont légiféré 17
Les législations des Etats ont quelques points communs qui peuvent éventuellement inspirer les législateurs en Europe 18
a. La définition de « données personnelles » 18
b. La lisibilité des données 18
c. Le responsable des notifications 19
d. Le niveau de risque pour le consommateur généré par une faille de sécurité nécessitant une notification 19
e. Les délais de notifications 19
f.
19
Le contenu des notifications g. Les moyens de délivrance de notifications 20
h. La notification aux tiers / droits des tiers 20
i.
20
Dérogations CONCLUSION : UN BESOIN D’HARMONISATION ? 20
Et l’Europe ? 21
Chapitre III. Est‐ce qu’il existe un équivalent de la CNIL aux Etats‐Unis ? Résumé 22
22
I. LE CADRE LEGISLATIF: AFFIRMATION D'UN DROIT GENERAL A LA PROTECTION DE LA VIE PRIVEE 22
Un socle constitutionnel qui protège la vie privée de l’individu en particulier à l’égard du gouvernement 22
Une protection fragmentée et sectorielle des données personnelles à l’égard du secteur privé 23
II. LA PROTECTION DES DONNEES PERSONNELLES AU SEIN DU GOUVERNEMENT : LE ROLE PREPONDERANT DU 23
7
CHIEF PRIVACY OFFICER (CPO) III. LA PROTECTION DES DONNEES PERSONNELLES DANS LE SECTEUR PRIVE : LE ROLE DES AGENCES SECTORIELLES 24
IV. CERTAINES AUTORITES LOCALES DISPOSENT DE POUVOIRS EN MATIERE DE PROTECTION DES DONNEES PERSONNELLES 25
V. LE CONGRES S’INTERESSE DE PLUS EN PLUS A LA PROTECTION DES DONNEES PERSONNELLES 26
VI. LES ASSOCIATIONS DE PROTECTION DES DONNEES PERSONNELLES ET DES LIBERTES CIVILES JOUENT UN ROLE PARTICULIEREMENT IMPORTANT AUX ETATS‐UNIS 26
8
Chapitre I. Quelle est la position des autorités américaines en matière de traçage de l’individu sur Internet à des fins publicitaires ? RESUME Le rapport de la FTC (Federal Trade Commission) publié en février 2009 en matière de publicité 1
comportementale et complétant sa proposition de code de conduite, vient préciser les contours de la publicité comportementale devant être encadrée, en rappelant les principes à respecter, lesquels sont conformes aux principes de protection des données personnelles tels que prévus par les Directives 95/46/CE « protection des données » et Directive 2002/58/CE « vie privée et communication électronique ». Ce rapport apporte un éclairage intéressant sur la manière d’appréhender la publicité comportementale afin de respecter la réglementation, tout en tenant compte des circonstances dans lesquelles elle est diffusée afin de favoriser l’innovation pour les services et produits de consommation. NB : Toutes les définitions figurant dans la présente note sont issues de la communication de la CNIL sur la publicité en ligne du 5 février 2009. Rapport de la Federal Trade Commission du 12 février 2009 La Federal Trade Commission (FTC) 2 a publié un rapport 3 le 7 février 2009 qui complète son projet de code de conduite sur la publicité comportementale en ligne de décembre 2007 (Self‐Regulatory Principles for Online Behavioural Advertising). Ce rapport est intéressant à plus d’un titre. Nous relèverons ici trois enseignements tirés de ce document ainsi que les principales dispositions du code de conduite qui s’appliquent aux acteurs de la publicité comportementale. 1 La publicité comportementale est une publicité qui est choisie en observant le comportement de l'internaute à travers le temps. Ainsi, la publicité comportementale vise à étudier les caractéristiques de l'internaute à travers ses actions (visites successives de sites, interactions, mots clés, production de contenu en ligne, etc.) pour en déduire son profil et lui proposer des publicités adaptées. Aux Etats‐Unis, la FTC est le seul organisme fédéral dédié à la protection des consommateurs et à la concurrence. 2 Il exerce sa compétence dans de nombreux secteurs économiques. 3 http://www.ftc.gov/os/2009/02/P085400behavadreport.pdf 9
I. UNE APPROCHE PRAGMATIQUE DE LA DEFINITION DE PUBLICITE COMPORTEMENTALE La publicité comportementale en ligne présente des risques potentiellement supérieurs à la collecte et au traitement de données d’identification La FTC met en lumière les menaces induites par la publicité comportementale en ligne sur la protection de la vie privée. La FTC considère d’ailleurs que ces menaces sont potentiellement plus importantes que celles relatives à la collecte et au traitement des « informations personnellement identifiables » (IPI) 4 . Le rapport indique toutefois que le caractère intrusif de la publicité comportementale est plus marqué lorsque les données sont partagées entre plusieurs sites notamment lorsque la publicité est gérée par un tiers tel qu’une régie publicitaire 5 . La FTC exclut de la définition de la publicité comportementale en ligne les publicités délivrées par les « premières parties 6 » (éditeurs/gestionnaires de sites) et la publicité contextuelle 7 La FTC ajuste sa définition de la publicité comportementale. Celle‐ci couvre dorénavant : « … Le suivi des activités en ligne du consommateur dans le temps – comprenant la recherche effectuée par le consommateur, les pages web visitées, et le contenu parcouru – afin de fournir des publicités ciblées sur les intérêts du consommateur. » La FTC ajoute expressément que « Cette définition ne vise pas les publicités délivrées par les « premières parties » (publicité comportementale effectuée par et uniquement pour un même site web), dans la mesure où aucune donnée n’est partagée avec des 4 Ex. nom et prénom, adresse électronique, adresse postale, numéro de téléphone ou numéro de carte de crédit. 5 La régie publicitaire « third party » : le fournisseur de contenu délègue l'affichage et le choix des publicités à un tiers : une régie spécialisée dans la diffusion de la publicité. Cette régie est généralement responsable de la diffusion des publicités sur un grand nombre de sites et on parle donc fréquemment de «réseau publicitaire » pour la décrire. Le contenu des publicités, les cookies et les bases de données utilisées pour la gestion des cookies et des publicités sont sous le contrôle de la société qui distribue la publicité. Plus la régie publicitaire est large, plus celle‐ci possède de moyens potentiels pour suivre les internautes et « tracer » leurs comportements. Dans ce modèle, l'annonceur négocie généralement directement avec la régie publicitaire et n'aura pas nécessairement connaissance de l'identité de l'ensemble des fournisseurs de contenus qui vont diffuser sa publicité. 6 La publicité sur site « first party » : le fournisseur de contenu prend techniquement en charge la diffusion des publicités sur son site. La diffusion des publicités, les bases de données associées, et les cookies éventuellement utilisés sont sous son contrôle. Dans cette approche, l'annonceur contacte le site internet et indique sa cible selon des critères qui peuvent varier du classique triplet « tranche d'âge, sexe, pays » à des critères bien plus détaillés. L'annonceur indique également le contenu publicitaire à afficher. C'est ensuite le site internet qui prend en charge la diffusion du contenu publicitaire auprès de la cible choisie. L'annonceur ne sera généralement mis en relation avec l'internaute que si celui‐ci clique sur une publicité. 7 La publicité contextuelle est une publicité qui est choisie en fonction du contenu immédiat fourni à l'internaute. Ainsi, le produit ou le service vanté dans la publicité contextuelle est choisi en fonction du contenu textuel de la page dans laquelle la publicité s'insère ou, s'il s'agit d'un moteur de recherche, en fonction du mot clé que l'internaute a saisi pour sa recherche. Cette donnée est parfois complétée par des informations de géolocalisation déduites de l'adresse IP de l'internaute, ou par la précédente requête dans le cas particulier d'un moteur de recherche. La publicité est ciblée en fonction des intérêts supposés de l'utilisateur dans la mesure où celui‐ci se rend sur une page que l'on peut présumer en rapport avec ses centres d'intérêt. Typiquement, un site donnant des résultats sportifs affichera des publicités sur des articles de sport. 10
tiers 8 , ou la publicité contextuelle, dans la mesure où la délivrance d’une publicité n’est basée que sur une seule visite d’une page Web ou une seule requête de recherche » (traduction libre). Les principes du code de conduite s’appliquent à toute donnée, qu’elle permette ou non l’identification d’un consommateur Les principes définis dans le code de conduite doivent, selon la FTC, s’appliquer à toute donnée, qu’elle soit « personnellement identifiable » ou non, dès lors que celles‐ci sont « collectées à des fins de publicité comportementale en ligne qui pourraient raisonnablement être associées à un consommateur en particulier ou un ordinateur ou un appareil en particulier » (traduction libre). Avec ces principes, la FTC prend la position que, même en l’absence de connaissance du nom ou de l’adresse email d’un utilisateur, le suivi de ses actions dans le temps relève du droit à la vie privée auquel le principe d’information loyale doit s’appliquer. Cette approche est similaire à celle de l’Union européenne qui a adopté une définition extensive de la notion de « donnée personnelle » dans sa Directive 95/46/EC et rejoint ce que préconise la CNIL dans sa dernière communication sur la publicité ciblée en ligne 9 . La FTC a cependant estimé que la publicité comportementale réalisée par une « première partie » ou sur « un même site » doit être exonérée du respect de ces principes. Les rédacteurs du rapport reconnaissent que le recours, par un éditeur/gestionnaire de site web, à des données comportementales pour personnaliser le contenu (incluant la publicité) des visiteurs sur son propre site présente des avantages tangibles. Parmi ceux‐ci, nous en citerons deux : 1) une telle personnalisation est davantage susceptible de répondre à l’attente des consommateurs que de leur nuire 10 , 2) la relation directe entre les consommateurs et les éditeurs/gestionnaires de sites permet à ces derniers de gérer plus facilement les plaintes des consommateurs qui n’apprécient pas leurs pratiques publicitaires, ou ont l'impression d'avoir été lésés. 8 “This definition is not intended to include “first party” advertising, where no data is shared with third parties, or contextual advertising, where an ad is based on a single visit to a web page or single search query.”, p. 52 du rapport de la FTC. 9 Communication présentée en séance plénière le 5 février 2009. M. Peyrat – Rapporteur. : il est souvent invoqué que les données collectées ne sont pas toujours des données à caractère personnel puisqu’il peut s’agir de données générales propres au profil « anonyme » de l’internaute (ex : âge, sexe, localisation). 10 La plupart des personnes auditionnées par la FTC se sont opposées à l’application, à un seul site, des dispositions applicables à la publicité comportementale en ligne. Ils ont fait valoir que la "première partie" collecte et utilise les informations des consommateurs en toute transparence et en cohérence avec les attentes des consommateurs. Ils ont décrit un éventail de services et d’opérations, appréciés par les consommateurs, qui exigent de la part des "première partie" la collecte et l'utilisation de données comportementales. Ces services vont de la recommandation de produits à l’optimisation de la navigation sur le site en passant par la détection des fraudes et les mesures de sécurité. 11
II. LES PRINCIPALES DISPOSITIONS DU CODE DE CONDUITE APPLICABLES AUX ACTEURS DE LA PUBLICITE COMPORTEMENTALE a. Notification et choix pour la publicité comportementale Les consommateurs doivent être informés et avoir le choix avant toute collecte de toute donnée à des fins de publicité comportementale sujette à l’application de ces principes. Les rédacteurs ne précisent pas si ce choix doit prendre la forme d’un « opt‐in » (accord) ou d’un « opt‐out » (refus). Le rapport se contente de préciser que le choix doit être « clair, facile à utiliser, et accessible à tout consommateur ». Dès lors que les principes établissent clairement la nécessité de recourir à l’opt‐in dans des situations précises (modification des politiques de vie privée et collecte de données sensibles), on peut raisonnablement en déduire que toute autre pratique consistant en la collecte et l’utilisation d’informations d’utilisateurs doit être entreprise sous le régime de l’« opt‐out ». La FTC met ici en doute la viabilité des mécanismes traditionnels de notification et de choix : le rapport souligne que les politiques de vie privée (« privacy policies ») actuelles sont trop denses et vastes pour constituer des moyens d’information valables. De même, les politiques d’opt‐out par cookie telles que supportées par l’association Network Advertising Initiative sont souvent non satisfaisantes car l’internaute est rarement informé de cette possibilité ou peut être amené à les supprimer accidentellement. En conséquence, la FTC encourage les acteurs à se montrer créatif et à adapter les moyens d’information au cas par cas, selon leur « business model », en accompagnant cette démarche d’outils pédagogique sur le type de données collectées, les finalités et moyens de cette collecte et le bénéfice que l’internaute pourrait retirer d’une telle utilisation de ses données. b. Sécurité raisonnable et conservation des données Les entreprises doivent prendre des mesures de sécurité adéquates afin que les données comportementales ne « tombent pas entre de mauvaises mains ». Conformément aux recommandations de la CNIL 11 , ces mesures doivent être déterminées en fonction de la sensibilité des données, de la nature de l’activité de la société, des risques auxquels elle est exposée et les mesures de protection susceptibles d’être mises en place. La FTC rappelle que les données ne doivent être conservées que le temps nécessaire à la réalisation d’un objectif professionnel ou juridique légitime. La durée de conservation doit selon la FTC, être une composante de la politique de sécurité des données. c. Consentement positif (opt‐in) pour la modification des politiques de vie privée Lorsqu’une entreprise procède à une modification substantielle de ses pratiques relatives à la collecte et à l’utilisation des données d’utilisateurs et souhaite appliquer cette nouvelle politique aux données précédemment collectées sous d’autres conditions, elle doit rechercher le consentement positif (opt‐in) du consommateur. Le consentement positif n’est pas nécessaire pour les données 11 Délibération n°81‐094 du 21 juillet 1981 portant adoption d’une recommandation relative aux mesures générales de sécurité de systèmes d’information. 12
comportementales collectées après que le changement de politique ait été effectué dès lors que le consommateur a bénéficié d’une information appropriée et d’une possibilité d’exprimer son choix. Une modification substantielle est celle susceptible d’affecter le comportement et les décisions du consommateur à l’égard des produits ou services qui lui sont proposés. Ainsi, tel serait le cas d’un site qui serait amené à partager les données avec des tiers alors qu’il ne le faisait pas initialement. d. Consentement positif (opt‐in) pour la collecte de données sensibles La FTC estime nécessaire que le consommateur donne son accord avant toute collecte de données sensibles. Le rapport ne définit toutefois pas ce que l’on doit entendre par « données sensibles ». Il se réfère simplement à certaines données, telles que les données relatives à la situation médicale et financière d’une personne, son orientation sexuelle, son numéro de sécurité sociale, ses numéros d’identification nationaux, aux enfants et à une situation géographique particulière (ex. coordonnées GPS). Le rapport ne mentionne pas l’existence d’autres données potentiellement sensibles telles que : les affiliations politiques ou religieuses, l’origine ethnique d’une personne. Le rapport encourage simplement les entreprises de publicité à développer des codes de conduite afin de déterminer le type de données qui doit être considéré comme sensibles. CONCLUSION : LES ENSEIGNEMENTS A TIRER DU RAPPORT DE FTC AU MOMENT OU LA CNIL VIENT DE PUBLIER SUR SON SITE UNE COMMUNICATION SUR LA PUBLICITE CIBLEE EN LIGNE La position de la FTC nous paraît pouvoir être suivie dans le contexte français : 1/ En ce qu’elle rejoint la position européenne et celle de la CNIL : •
en précisant les principes d’autorégulation émis par un certain nombre de professionnels en la matière et en encourageant des programmes d’éducation des consommateurs ; •
en rappelant que les principes encadrant la publicité comportementale s’appliquent tant aux données personnelles qu’aux données « non personnelles » pouvant être collectées dès lors que celles‐ci peuvent être associées à des individus personnes physiques et ont pour objet d’effectuer de la publicité ciblée ; •
en insistant sur l’amélioration à apporter à l’ information des internautes quant à l’utilisation de leurs données à des fins de publicité comportementale. Sauf cas spécifiques (collecte de données sensibles et modification substantielle de la politique de données personnelles), les sites web doivent prévoir une procédure d’opt‐out 12 à mettre en place de manière claire et au cas par cas. Une telle procédure est mieux adaptée que celle de l’opt‐in qui a peu de chance d’être respectée par les acteurs concernés comme le souligne la CNIL dans sa communication sur la publicité en ligne du 5 février 2009 ; 12 Délibération n°97‐012 du 18 février 1997 portant recommandation relative aux bases de données comportementales sur les habitudes de consommation des ménages constituées à des fins de marketing direct 13
•
en précisant les conditions de sécurité à prendre pour protéger les données et en rappelant la nécessité de limiter la durée de conservation, cette limitation participant à la politique de sécurité. 2/ En ce qu’elle apporte par ailleurs un éclairage pratique sur les nuances à apporter à la réglementation de la publicité comportementale : •
veiller à distinguer les sites utilisant la publicité comportementale pour rendre un service plus personnalisé au client sans aucun partage des données avec des tiers (publicité contextuelle ou émanant d’un site unique), des sites faisant partie d’un réseau et amenés à partager les données de l’internaute souvent sans que ce dernier en ait conscience, lesquels peuvent donner lieu à des pratiques plus attentatoires à la vie privée et donc à une sollicitation plus intrusive. Dans sa communication du 5 février 2009, la CNIL fournit une définition de ces différents systèmes de publicité en les distinguant mais sans véritablement en tirer les conséquences ; •
tenir compte de la volonté des consommateurs de bénéficier d’un service plus personnalisé. * * * 14
Chapitre II. Pourquoi les failles de sécurité (« security breaches ») occupent une place si importante dans les dispositifs américains en matière de protection des données personnelles ? RESUME Les Etats‐Unis, contrairement à l’Europe et plus particulièrement la France, disposent déjà depuis plusieurs années d’une réglementation spécifique concernant les failles de sécurité et plus particulièrement les notifications qui doivent être effectuées en cas de faille. Ainsi, la grande majorité des Etats américains dispose désormais de lois, dont certaines sont particulièrement strictes, qui imposent aux entreprises de mettre en place des procédures particulières en cas de vol ou de perte de données personnelles. L’une des conséquences premières est d’inciter les entreprises à renforcer leurs mesures de sécurité interne, car les notifications obligatoires sont coûteuses et surtout préjudiciables vis‐à‐vis de leur image de marque. En Europe, ce type de réglementation n’existe pas encore alors pourtant que les failles de sécurité sont également importantes et répétées. Le modèle mis en place par certains Etats, comme par exemple l’Ohio, est considéré globalement par les entreprises américaines comme n’étant pas excessivement contraignant tant en ce qui concerne le formalisme que les coûts, tout en étant suffisant pour permettre d’assurer une protection adéquate des consommateurs dont les données personnelles seraient perdues ou volées. Assorti de sanctions civiles, ce genre de loi est reconnu comme étant relativement facile à appliquer, ce qui incite les sociétés à s’y conformer, et donc contribue à la prévention des failles et des risques y afférant. Même si les Etats‐Unis accusent un certain retard sur certains aspects de la protection des données personnelles, en matière de sécurité des données au sein des entreprises les Etats‐Unis ont une longueur d’avance par rapport à l’Europe. 15
I. LES FAILLES DE SECURITE – UN PROBLEME DONT L’AMPLEUR PEUT ETRE MESUREE GRACE AUX OBLIGATIONS DE DECLARATION Aux Etats‐Unis, le fait que les lois rendent obligatoire une notification en cas de perte de données permet de dresser des statistiques fiables sur le nombre d’incidents. Selon l’organisme Internet Identity Theft Resource Center (« IITRC »), plus de 35 millions de données personnelles ont été perdues en 2008, consécutivement à 656 pertes de données avérées, dans les entreprises et le secteur public 13 . Ce type de dommage a augmenté de 47% par rapport à 2007, augmentation déjà amorcée en 2006 selon l’Open Security Fondation. Depuis le début de l’année 2009, l’IITRC a déjà comptabilisé plus d’une centaine d’incidents ayant conduit à la perte de plus d’ 1.200.000 de données 14 . En Europe, compte tenu de l’absence de notification obligatoire en matière de failles de sécurité, les statistiques sont moins fiables. Toutefois, il y a eu des failles très médiatisées, telles que la perte au Royaume Uni en 2007 par Her Majesty’s Revenue and Customs (c’est‐à‐dire l’Administration Fiscale en Angleterre) de données relatives à plus de 25 millions de personnes, ou la révélation par Deutsche Telekom en 2008 que 17 millions de noms, adresses et de numéros de portables de ses abonnés avaient été volés deux ans auparavant. De nombreuses entreprises ayant pour objet de proposer à leurs clientes des solutions logicielles de sécurisation et de protection des données ont réalisé quelques enquêtes permettant de constater que les pertes et vols de données se multiplient en Europe. Selon l’une de ces enquêtes 15 , 62% des professionnels de l’informatique français 16 ont affirmé que leur entreprise avait connu une ou plusieurs violations de données impliquant la perte ou le vol d’informations personnelles, telles que les données de consommateurs, de clients, d’employés etc. Selon une étude de la RSA Conférence, menée auprès de plus de 300 responsables de la Sécurité des Systèmes d’Informations européens et américains (RSSI) 17 , seuls 11% des incidents de sécurité ont été rendus publics par les entreprises du panel. Or, 29% des incidents concernent des fuites d’informations relatives à des employés ou à des clients. 13 http://www.idtheftcenter.org/artman2/publish/lib_survey/ITRC_2008_Breach_List.shtml publié le 24 mars 2009 14 http://www.idtheftcenter.org/ITRC%20Breach%20Report%202009.pdf publié le 24 mars 2009 15 « 2008 Study on Uncertainty of Databreach detection » Websense White Paper. 16 Ont été interrogés 736 professionnels IT français ayant en moyenne près de 9 ans d’expérience dans les domaines de l’analyse et/ou de la gestion de données confidentielles. 17 « La fuite d’information, préoccupation majeure des RSSI », article de Christophe Elise, issu de la chaîne thématique Prévention des fuites de données (DLP), publié sur www.lesnouvelles.net, le 20 août 2008. 16
II. LE SYSTEME DE NOTIFICATION AUX ETATS‐UNIS Dès 2002, une prise de conscience en matière de sécurité des données personnelles Dès 2002, l'État de Californie a adopté une loi rendant obligatoire la notification aux consommateurs des failles de sécurité pouvant porter atteinte à la sécurité et à la confidentialité de leurs données personnelles. Mais c'est seulement à partir de 2005, lorsqu'une société américaine spécialisée dans la compilation de données personnelles (pour la plupart publiques) s'est trouvée victime d'un détournement illégal des données qu’il collectait, que les Américains ont pris conscience des risques encourus en cas d'une faille de sécurité. Dans ce cadre, la FTC a prononcé une amende de 10 millions de dollars à l’encontre de l’entreprise et a ordonné la création d'un fonds d’indemnisation des victimes doté de 5 millions de dollars, distribués aux victimes ayant envoyé une réclamation à la FTC. La médiatisation de cet incident a poussé d'autres États américains à adopter des lois similaires. De même, les autorités bancaires américaines ont publié des recommandations sur la procédure à suivre afin de notifier aux victimes la perte de leurs données personnelles 18 . 42 Etats sur 50 ont légiféré Aujourd'hui, 42 États américains sur 50 19 se sont dotés d'une loi réglementant l’obligation de notification des victimes en cas de failles de sécurité. Ces lois comportent pour la plupart des dispositions d’une grande précision. Compte tenu de leur diversité et de leur nombre, ces lois peuvent être sources de difficultés et de coûts importants lorsqu’elles sont appliquées. Néanmoins, ces lois sont considérées comme ayant un réel effet pour le consommateur. Généralement, un manquement à l’une de ces lois sera passible de sanctions civiles prononcées par le Procureur de l’Etat en question, et/ou par la FTC. En raison de l’éventuelle sévérité desdites sanctions, ainsi que de l’atteinte à la réputation de l’entreprise, les professionnels du secteur s’accordent à dire que les failles conséquentes aux Etats‐Unis sont largement notifiées aux consommateurs. Les 42 lois des États peuvent être analysées selon neuf critères différents, qui illustrent la rigueur avec laquelle le législateur américain a décidé de protéger le consommateur. Ces critères sont : ƒ
La définition de « données personnelles » ; ƒ
La lisibilité des données ; ƒ
Le responsable des notifications ; 18 V. par exemple 12 C.F.R. Part 208, 70 Fed.Reg. 15736‐15754 (29 mars 2005), concernant les entités membres du Federal Reserve System. 19 Seuls les États de l'Alabama, du Kentucky, du Mississippi, du Missouri, du Nouveau Mexique, et du Dakota du Sud n'ont pas de loi sur les failles de sécurité.
17
ƒ
Le niveau de risque pour le consommateur généré par une faille de sécurité nécessitant une notification ; ƒ
Les délais de notification ; ƒ
Le contenu de la notification ; ƒ
Les moyens de délivrance de la notification ; ƒ
La notification de la faille aux tiers et le droit des tiers et ƒ
Les dérogations aux lois étatiques. Ces critères sont plus amplement détaillés ci‐dessous, la réglementation mise en place dans l’Etat de l’Ohio étant plus spécifiquement analysée le cas échéant. Les législations des Etats ont quelques points communs qui peuvent éventuellement inspirer les législateurs en Europe a. La définition de « données personnelles » Bien que la plupart des États définissent les données personnelles comme le nom et le prénom combinés avec un numéro d'identification, tel qu'un numéro de permis de conduire ou un numéro de sécurité sociale, plus de la moitié des États rajoutent des conditions ou des critères à cette définition (par exemple, la Virginie ne considère le nom et le numéro de sécurité sociale comme étant des données personnelles que si ces données ne sont pas cryptées, et certains États englobent toute donnée personnelle de santé, etc.). A titre d’exemple, la législation de l’Etat de l’Ohio (cf. annexe 1), définit les données personnelles comme le nom d’une personne, lié à des données non‐cryptées : numéro de sécurité sociale, et/ou numéro du permis de conduire ou de carte d’identité, et/ou numéro de carte bancaire avec son code d’accès. b. La lisibilité des données Pour la plupart des États, l'obligation de notification ne pèse que lorsque les données ne sont pas cryptées ou tronquées. Ainsi, si les données ne sont pas lisibles ou exploitables, aucune notification n'est nécessaire. A noter que selon l’Identity Theft Resource Center (IITRC) dans son rapport de 2008, seulement 2,4% des données perdues en 2007 étaient chiffrées ou protégées par un autre mode de protection usuel. Par ailleurs seulement 8,5% des données perdues étaient protégées par un mot de passe 20 . 20 http://www.idtheftcenter.org/artman2/publish/lib_survey/ITRC_2008_Breach_List.shtml publié le 24 mars 2009 18
c. Le responsable des notifications L'obligation de notifier aux personnes concernées pèse en général sur les personnes qui sont propriétaires ou qui concèdent leurs droits sur les données compilées, mais certains États étendent cette obligation aux personnes qui achètent, possèdent, traitent, gèrent, etc. de telles données. De plus, certains États érigent en obligation pour toute personne qui traite ou conserve des données de le notifier au propriétaire des données. Selon la loi Ohioanne, l’obligation de notification aux consommateurs pèse sur toute personne qui est propriétaire ou concessionnaire de données personnelles. De plus, toute personne qui détient des données personnelles pour le compte d’un tiers (y compris une entité gouvernementale) doit notifier ce tiers d’une faille de sécurité par une personne non autorisée, qui pourra créer un risque d’utilisation frauduleuse des données. d. Le niveau de risque pour le consommateur généré par une faille de sécurité nécessitant une notification Certains États exigent une notification lorsqu'il y a acquisition non autorisée de données, dans la mesure où cette acquisition menace la confidentialité des données. D'autres États prévoient que si, après enquête, il y a un risque de vol d'identité ou une menace pour la confidentialité des données, le consommateur doit être notifié. La législation de l’Ohio définit une faille nécessitant une notification comme « l’accès et l’acquisition non autorisés de données informatisées qui compromettent la sécurité ou la confidentialité des données personnelles appartenant ou concédées à une personne, lesquels accès et acquisition créeront, ou sont raisonnablement estimés d’avoir créé, ou sont raisonnablement considérés comme créant, un risque matériel d’un vol d’identité ou autre utilisation frauduleuse... ». e. Les délais de notifications Les délais varient considérablement selon les États : lorsque doit être notifiée au propriétaire, la perte de ses données, environ 29 États prévoient une notification immédiate après la découverte de la faille. Les autres États prévoient une notification dans un délai raisonnable, ou dès que possible. En ce qui concerne les notifications aux individus, environ 24 États exigent une notification dès que possible, sans délai déraisonnable, mais d'autres États exigent une notification sans délai après enquête, ou dans les 45 jours suivant la faille. f.
Le contenu des notifications Treize États précisent les informations que doivent comporter les notifications, tandis que d’autres Etats (comme l’Ohio) laissent le contenu exact à l’appréciation du responsable de la notification. 19
g. Les moyens de délivrance de notifications Il est laissé beaucoup de latitude dans la manière de notifier : par écrit, par voie électronique, ou par d'autres moyens (presse …), si par exemple le coût de la notification excède 250.000 dollars ou si le nombre de personnes à notifier excède 500.000. Presque chaque État instaure une règle différente. Ainsi, dans l'État de l’Utah, la notification peut être faite dans tous les cas par une annonce dans la presse. Dans le Vermont (population 670.000 habitants), une notification personnelle n'est pas obligatoire si le coût excède 5.000 dollars, ou si le nombre de personnes concernées excède 5.000. Pour l’État de l'Oregon (population 3.7 millions habitants), la notification personnelle n’est pas obligatoire si le coût excède 250.000 dollars, ou si le nombre de personnes concernées excède 350.000. Environ 24 États prévoient expressément la notification par voie électronique, mais presque tous les États prévoient ce moyen implicitement, car la notification peut être effectuée, pour la plupart des États, par des moyens précisés dans la Charte de Protection de la Vie Privée de l'entité concernée. Toutefois, cette possibilité est réduite par l'imposition de conditions additionnelles qui rendent la simple notification par courriel – même si ce moyen de communication était le seul moyen de communication avec le consommateur – impossible. D’autres Etats, comme l’Ohio, ont prévu plus de souplesse et permettent la notification par courriel simple lorsque le moyen principal de communication avec la personne concernée est le courriel (par exemple, pour les consommateurs qui passent des commandes de biens et services en ligne). h. La notification aux tiers / droits des tiers Dans 25 États environ, la notification pourra être reportée si une autorité policière décide que la notification risque d'empêcher ou de menacer une enquête criminelle. D'autres États prévoient expressément un report si la sécurité des États‐Unis est en jeu. Dans une dizaine d'États, l'autorité policière doit demander le report de la notification. La plupart des États exigent également une notification soit au Procureur, soit à une autorité de protection des consommateurs, soit aux deux. i.
Dérogations Enfin, plusieurs États écartent l'application de leur loi si la personne responsable de la notification est déjà soumise à une obligation légale fédérale ou si elle est une entité réglementée (par exemple, des entités du secteur de la santé). CONCLUSION : UN BESOIN D’HARMONISATION ? Même si l’existence de ces lois sur les failles de sécurité représente une grande avancée, certains députés et sénateurs américains ont en raison de la grande complexité due à ces lois divergentes, proposé des lois fédérales qui viseraient à supplanter les lois étatiques. 20
De leurs côtés, les fédérations d'entreprises œuvrent afin que les obligations de notification restent raisonnables et ne soient obligatoires que lorsqu'il y a un risque pour le consommateur. Par exemple, selon ces fédérations, les notifications ne devraient pas être obligatoires si les données perdues ne sont pas récupérables par un tiers. Ces fédérations cherchent à éviter ainsi une multiplication des notifications qui seraient coûteuses et tellement banalisées que le consommateur n’y ferait plus attention. Surtout, les fédérations souhaitent que les obligations de notification restent un moyen de prévention de l'usurpation d'identité des personnes concernées. Toutefois, il n'est pas certain que de telles propositions de loi puissent être adoptées, et les différences entre les diverses lois risquent de continuer à gêner leur application. Pour autant, le gouvernement fédéral reste très impliqué. En 2006, la Federal Trade Commission a établi une Division de la protection et des données personnelles et de l’identité (Division of Privacy and Identity Protection) dont la mission est de mener des enquêtes en matière de failles de sécurité. Plus d'une vingtaine de sociétés ont déjà été assignées en raison de leur manquement à assurer la sécurité nécessaire des données des consommateurs. Et l’Europe ? La difficulté de comptabilisation, en Europe, du nombre de données ayant fait l’objet d’une faille de sécurité ou d’une perte résulte dans le fait qu’aucune loi n’impose à ce jour aux entreprises de notifier ou reporter aux autorités la faille de sécurité dont ils ont été victimes. Le Groupe de l’Article 29 21 , a émis une opinion le 10 février 2009 au sujet de la Directive 2002/58/EC (Directive dite « Vie privée et communications électroniques »). Selon le Groupe de l’Article 29, l’article 4 de cette directive devrait être modifié pour mettre à la charge des fournisseurs de services de communications électroniques accessibles au public des obligations de notification des failles de sécurité. Ces notifications, dont le contenu et les conditions restent à définir, seraient faites auprès des autorités nationales ainsi qu’auprès des individus concernés 22 . Une directive d’harmonisation, calquée sur la protection du consommateur ainsi que sur la facilité de son application, assurera sa pérennité et son efficacité. * * * 21 Le Groupe de l’article 29 a été établi en vertu de l'article 29 de la directive 95/46/CE. Il s'agit d'un organe consultatif européen indépendant sur la protection des données et de la vie privée.
22 Opinion 1/2009 on the proposals amending Directive 2002/58/EC on privacy and electronic communications (e‐Privacy Directive) adopted on 10 February 2009. WP 159. 21
Chapitre III. Est‐ce qu’il existe un équivalent de la CNIL aux Etats‐Unis ? RESUME Compte tenu de l’importance historique et constitutionnelle de la protection des droits de l’individu face au gouvernement, la plupart des administrations américaines disposent d’un service interne dédié à la protection des données personnelles. Dans bien des cas, ces services peuvent ressembler à une CNIL interne à l’administration américaine. Dans le secteur privé, le rôle de gendarme des données personnelles est assuré par les agences sectorielles. Par exemple, la FCC assure le respect par les câblo‐opérateurs des dispositions relatives au traitement des données personnelles. Le Département de la Santé assure le respect des dispositions protégeant les données personnelles des malades. La FTC, quant à elle, a le mandat général de protéger les consommateurs contre les pratiques déloyales. La FTC utilise cette compétence générale pour sanctionner les détournements de données personnelles dans le secteur privé. Le rôle très actif et influent des associations pour la protection des données personnelles aux Etats‐
Unis mérite une attention particulière car ces organismes déposent des plaintes qui ont un retentissement à la fois politique et juridique non négligeable. I. LE CADRE LEGISLATIF: AFFIRMATION D'UN DROIT GENERAL A LA PROTECTION DE LA VIE PRIVEE Un socle constitutionnel qui protège la vie privée de l’individu en particulier à l’égard du gouvernement Aux Etats‐Unis, la protection des données à caractère personnel est le résultat de l'évolution de la législation sur la protection de la vie privée. Cette protection, qui représente un volet de la protection des consommateurs, trouve son origine dans la Déclaration des Droits (Bill of Rights) de la Constitution. Les dix premiers amendements affirment des droits des citoyens, sous la forme d'une limitation explicite des pouvoirs de l'État, notamment en matière judiciaire. Il ne s'agit pas de droits positifs que l'État doit garantir au citoyen, mais d'actions dont il doit s'abstenir à son égard. Le IXe amendement prévoit d’ailleurs que « l'énumération des droits dans les amendements précédents ne doit pas être interprétée comme niant l'existence d'autres droits ». Au sein de la Constitution américaine, le droit à la vie privée est appréhendé notamment comme un droit de liberté face à la surveillance du gouvernement particulièrement dans des endroits qu’une personne peut considérer comme privés. Ce droit, reconnu expressément par la Cour Suprême dès 1897 (Union Pacific Railway 22
Co. v. Botsford) 23 , est inhérent à plusieurs amendements tels que le IIIème amendement qui protège le domicile personnel du citoyen contre l’occupation par des troupes de l’Etat, le IVème amendement qui protège le citoyen contre les arrestations et perquisitions sans mandat ou encore, le Vème amendement qui précise notamment que « nul ne pourra, dans une affaire criminelle, être obligé de témoigner contre lui‐même, ni être privé de sa vie, de sa liberté ou de ses biens sans procédure légale régulière » et qui fonde ainsi le droit à la protection des données personnelles à l’égard du gouvernement. Une loi de 1966 sur la liberté d'information (Freedom of Information Act ‐ FOIA) oblige l'administration à transmettre ses documents à quiconque en fait la demande, quelle que soit sa nationalité. Cette liberté d'accès ne peut être restreinte qu’à titre exceptionnel, et notamment sur le fondement du respect de la vie privée. Cette loi est complétée par le Privacy Act de 1974 et le E‐
Government Act de 2002, qui établissent une obligation de protection de la vie privée qui s’applique au secteur public au niveau fédéral. Les présidents successifs y ont ajouté des règles de respect de la confidentialité des informations relatives aux individus au sein de l'Exécutif. La jurisprudence a permis le développement de recours pour défendre cette confidentialité. Une protection fragmentée et sectorielle des données personnelles à l’égard du secteur privé En ce qui concerne le secteur privé, chaque Etat édicte ses propres lois concernant la protection des données personnelles en matière financière 24 , de credit reporting 25 , de télémarketing, de protection de l’enfance sur Internet 26 ou encore dans le domaine de la santé 27 . II. LA PROTECTION DES DONNEES PERSONNELLES AU SEIN DU GOUVERNEMENT : LE ROLE PREPONDERANT DU CHIEF PRIVACY OFFICER (CPO) Le gouvernement américain assure une politique de protection des données personnelles par le biais de l’Office of Management and Budget (OMB), qui est un bureau au sein de la Maison Blanche placé sous l’autorité directe du Président des Etats‐Unis. Ses prérogatives sont les suivantes : •
Fixer des lignes directrices et édicter des règles et recommandations à destination des agences fédérales visant à assurer le respect du Privacy Act de 1974, loi fédérale contraignant les autorités gouvernementales à mettre en place des systèmes de sécurité aux fins de prévenir toute divulgation non autorisée de données personnelles ; •
Fournir une assistance continue aux agences fédérales dans le cadre de la mise en œuvre du Privacy Act ; 23 La Cour Suprême affirme expressément que le droit à la vie privée est protégé par la Constitution américaine dans l’affaire Griswald v. Connecticut en 1965. 24 On peut citer notamment le Gramm‐Leach‐Bliely Act de 1999 qui s’applique aux établissements financiers ou encore le Sarbanes‐Oxley Act de 2002. 25 Par exemple le Fair Credit Reporting Act, 15 U.S.C. §1681, et. Seq. 26 Notamment le Children’s Online Privacy Protection Act de 1998 27 Notamment le Health Insurance and Profitability Act de 1996 (HIPPA), 42 U.S.C. §1320, et.seq. 23
•
Développer et mettre en œuvre des politiques fédérales relatives à la protection des données personnelles (en limitant notamment l’utilisation et la divulgation d’informations personnelles par les agences fédérales) ; et •
Contrôler et commenter les requêtes des agences fédérales visant à collecter des informations auprès du public. Depuis 2005, sur les recommandations de l’OMB et compte tenu du volume très important d’informations personnelles collectées par les agences fédérales, chacune de ces agences est désormais obligée de désigner un représentant permanent appelé Chief Privacy Officer (CPO), qui est responsable de la politique de protection de la vie privée et des données personnelles au sein de l’agence. Le CPO est notamment chargé de : •
Mettre en œuvre la politique en matière de protection des données personnelles ; •
Contrôler la conformité de la collecte et du stockage des informations de l’agence par rapport aux lois et politiques applicables ; •
Fournir des conseils adaptés à son agence ; •
Présenter les requêtes visant à la collecte d’informations auprès du public devant l’OMB ; •
Discuter avec l’OMB des problèmes liés à la protection des données afin de trouver des solutions adaptées. A titre d’exemple, on peut constater le niveau de détail des Privacy Policies appliquées au sein du gouvernement fédéral en examinant par exemple le règlement interne du Département de l’Etat (cf. annexe 3). Ces règlements internes sont similaires à bien des égards à la loi n°78‐17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés. De plus, il convient de mentionner que la capacité du gouvernement fédéral américain à gérer de manière sécuritaire la masse de renseignements qu’il détient est au cœur de ses préoccupations depuis de nombreuses années. Par exemple, chaque site internet gouvernemental a développé une rubrique consacrée à la protection de la vie privée, permettant aux individus de connaître la procédure à suivre dans le cas d’une perte de données le concernant et de connaître les mesures prises par le ministère pour réglementer l’usage des données personnelles (cf. annexe 4). III. LA PROTECTION DES DONNEES PERSONNELLES DANS LE SECTEUR PRIVE : LE ROLE DES AGENCES SECTORIELLES Comme rappelé préalablement, les Etats‐Unis ne disposent pas d'un corps unique de lois protégeant les données personnelles mais fonctionnent de manière sectorielle (bancaire, médical, télécommunications, etc.). Les agences fédérales sont chargées d'appliquer les lois fédérales s'inscrivant dans leur champ de compétences et veillent ainsi, sous l'égide du CPO de chaque agence, au respect de la protection des données personnelles collectées. A titre d’exemple, on peut citer la 24
loi américaine sur les télécommunications qui limite l’utilisation par les câblo‐opérateurs des données personnelles relatives à leurs abonnés. C’est la FCC qui assure le respect de ces dispositions. De manière similaire, la loi américaine prévoit une protection très stricte des données personnelles relatives aux malades par tous les acteurs du secteur de la santé. C’est le Département de la Santé qui assure le respect de ces dispositions. La Federal Trade Commission (FTC) dispose d’une compétence plus large. Cette agence est chargée de protéger le consommateur contre toute pratique déloyale. La FTC s’appuie sur cette compétence pour sanctionner le détournement de données personnelles par les entreprises. Elle poursuit non seulement les agissements fautifs 28 mais agit également à titre préventif en émettant des recommandations et des lignes directrices à destination des sociétés visées par lesdites lois. A l’image de la CNIL, la FTC a publié un guide pratique pour les sociétés 29 (cf. annexe 5) illustrant les obligations en matière de protection des données personnelles dont ces dernières sont redevables, construit autour de cinq grands axes : (1) identification des données personnelles collectées au sein de l’entreprise ; (2) conservation des données personnelles nécessaires à la conduite de l’activité de la société ; (3) protection des données personnelles conservées ; (4) destruction les données personnelles dont la collecte ou la conservation ne sont plus nécessaires et (5) création d’un plan visant à répondre aux éventuels « security breaches ». Cette démarche s’inscrit dans une politique plus générale de la FTC de prévention des atteintes aux données personnelles 30 . IV. CERTAINES AUTORITES LOCALES DISPOSENT DE POUVOIRS EN MATIERE DE PROTECTION DES DONNEES PERSONNELLES S’agissant de la protection des données personnelles, chaque Etat fédéré dispose de ses propres règles et de ses propres acteurs chargés de leur mise en œuvre. A titre d’exemple, l’Etat du Massachusetts (cf. annexe 6) a établi des standards de protection en matière de données personnelles, en exigeant notamment de la part des responsables des fichiers nominatifs, des garanties administratives, techniques et physiques pour la protection des données personnelles collectées. La loi impose ainsi aux responsables de fichiers de « développer, mettre en œuvre, maintenir et surveiller (le fonctionnement d’) un programme de sécurité écrit et détaillé » en ligne avec les standards de l’industrie et compatible avec les mesures de protection des données personnelles prises conformément à la réglementation étatique ou fédérale auquel le responsable de fichiers peut être tenu. Aux fins d’évaluation de la conformité dudit programme à cette réglementation, il est tenu compte de (i) la taille et de l’activité de la société, (ii) des ressources disponibles, (iii) du volume de données collectées et (iv) du besoin des consommateurs et salariés en termes de sécurité et de confidentialité des informations collectées. 28 FTC File No. 0723067 – FTC v. Navone – Manquement à l’obligation de mise en place de mesures de sécurité permettant une protection appropriée des données personnelles collectées. 29 www.ftc.gov/infosecurity/ 30 La FTC est ainsi souvent amenée à s’intéresser à certaines pratiques touchant au secteur informatique (filtres anti‐spam, etc.), qui, par essence, peuvent être de nature à porter atteinte à la vie privée. 25
Les responsables de ces fichiers ont également l’obligation de vérifier que les prestataires auxquels ces derniers ont recours et à qui sont transmises ces données sont capables d’en assurer la protection. De ce fait, les responsables de fichiers ne pourront retenir que les prestataires à même d’assurer la sauvegarde des données personnelles transférées. Au niveau de chaque Etat, c’est l’Attorney General et les bureaux de protection des consommateurs qui ont la compétence pour garantir le respect de ces dispositions. V. LE CONGRES S’INTERESSE DE PLUS EN PLUS A LA PROTECTION DES DONNEES PERSONNELLES Au sein du système de « checks and balances » américain, le Congrès détient le pouvoir d’arrêter le budget et de contrôler l’utilisation des fonds affectés à chaque poste de dépense fédéral. A ce titre, les différentes commissions du Congrès surveillent l’activité des agences fédérales et notamment la façon dont sont gérées les données personnelles en leur sein. En cas de rapport négatif d’une commission, l’agence contrôlée peut se voir retirer les fonds qui lui ont été attribués. Le Government Accountability Office (GAO), organe indépendant et non partisan, est chargé par le Congrès de conduire des enquêtes au sein des agences, d’émettre des opinions juridiques et de formuler des recommandations. En 2007, le GAO s’est penché notamment sur la protection des données privées par rapport aux technologies utilisées dans le domaine de la santé 31 , ou encore sur les améliorations à apporter au FOIA 32 et le Privacy Office du Department of Homeland Security 33 . Par ailleurs, de nombreuses auditions et Questions for the Record (GFRs) ont trait directement à la protection de la vie privée ou des données personnelles, s’agissant du secteur privé ou du secteur public. Récemment, les membres du Congrès américain se sont intéressés à la publicité comportementale sur Internet. En septembre 2008, plusieurs acteurs clés du secteur des télécommunications et des médias, et notamment AT&T, Time Warner Cable et Verizon Communications, ont été auditionnés sur la nécessité d’un consentement préalable de l’internaute en matière de publicité ciblée sur Internet. VI. LES ASSOCIATIONS DE PROTECTION DES DONNEES PERSONNELLES ET DES LIBERTES CIVILES JOUENT UN ROLE PARTICULIEREMENT IMPORTANT AUX ETATS‐UNIS Bien qu’en dehors du cadre institutionnel, les associations de consommateurs comptent parmi les acteurs influents en matière de protection de la vie privée et des données personnelles aux Etats‐
Unis. Ces associations font partie intégrante du processus démocratique et sont souvent consultées par les agences. Illustration particulière de la force de proposition des associations, l’association EPIC (Electronic Privacy Information Center) a proposé à la FTC en octobre 2008 une série de mesures tendant à renforcer la réglementation encadrant la technologie RFID. L’EPIC a notamment proposé 31 32 33 www.gao.gov/new.items/d07400t.pdf www.gao.gov/new.items/d07491t.pdf www.gao.gov/docsearch/abstract.php?rptno=GAO‐07‐522 26
que les opérateurs rendent les tags et lecteurs RFID visibles pour les clients, et ces derniers soient alertés par le biais d'un son, d'une lumière ou d'un signal quand l'information est en cours de lecture. Particulièrement actives en matière de protection des données personnelles aussi bien concernant le secteur public que privé, les associations adoptent parfois une approche plus offensive. En janvier 2009, peu de temps après la publication des lignes directrices révisées de la MMA (Mobile Marketing Association), les associations CDD (Center for Digital Democracy) et U.S. PIRG (U.S. Public Interest Research Group) ont déposé une plainte à la FTC pour pratiques de marketing mobile injustes et trompeuses. La plainte portait notamment sur des questions de protection des données personnelles. Plus récemment, début mars 2009, l’association EPIC (Electronic Privacy Information Center) a déposé une plainte à la FTC contre Google, mettant en cause la sécurité de ses services de cloud computing, en particulier Google Docs, à la suite d’un disfonctionnement du service ayant exposé certains documents privés stockés. * * * 27
Liste des annexes LOI APPLICABLE EN MATIERE DE FAILLES DE SECURITE DANS L’ETAT DE L’OHIO 1
SCHEMA DES ENTITES EN CHARGE DE LA PROTECTION DES DONNEES PERSONNELLES AUX ETATS‐UNIS 2
PRIVACY IMPACT ASSESSMENT – GUIDE AND TEMPLATE 3
INTRANET PRIVACY PAGE OF THE STATE DEPARTEMENT 4
FTC : PROTECTION PERSONAL INFORMATION – A GUIDE FOR BUSINESS 5
MASSACHUSETTS : STANDARDS FOR THE PROTECTION OF PERSONAL INFORMATION OF RESIDENTS OF THE COMMONWEALTH 6
28