Paul-André Comeau, Professeur invité
École nationale d'administration publique
paul-andre.comeau@enap.ca

La protection des renseignements personnels ou des données nominatives désigne à la fois les régimes juridiques et les mécanismes imaginés pour assurer le respect d'une dimension des droits de la personne[1] (Oble-Laffaire, 2005) ou pour favoriser la libre circulation des biens, des produits et de l'information (Simitis, 1995, p. 446-447; Poullet et autres, 2009).

L'apparition des lois et des mesures en vue de concrétiser la protection des renseignements personnels découle d'un double mouvement au sein de quelques États occidentaux et de certaines organisations internationales. Les États-Unis ont ouvert la marche en adoptant, en 1974, la Privacy Act (USA, 1974). Cette intervention législative s'est inscrite en réaction à l'intrusion de plus en plus prononcée de l'État dans de nombreuses sphères de la vie quotidienne[2]. Au même moment, la montée en puissance des premiers superordinateurs a inspiré un sentiment de crainte devant la menace appréhendée d'un contrôle absolu des personnes – lieu de l'évocation de Big Brother. D'abord engagé dans le land de Hesse, en Allemagne de l'Ouest, l'objectif de la protection des renseignements personnels s'est concrétisé par l'adoption des premières législations en la matière en Europe occidentale, au Canada et au Québec (Flaherty, 1989).

De façon plus ou moins concomitante, deux organisations internationales, l'OCDE et le Conseil de l'Europe, ont étudié cette question et mis au point des documents fondamentaux qui exercent une influence majeure dans ce domaine. À Paris, l'OCDE a élaboré des lignes directrices pour réglementer la circulation transfrontière des renseignements personnels (OCDE, 1980). À Strasbourg, presque tous les pays membres du Conseil de l'Europe ont ratifié une convention qui établit les principes de base en matière de production, de traitement et d'utilisation des renseignements personnels et qui est assortie d'un caractère contraignant pour ses signataires (Conseil de l'Europe, 1981). En 1995, l'Union européenne a élargi la portée des lois de ses États membres en soumettant, à l'aide de directives, le transfert de renseignements personnels, de et vers l'Europe, à des dispositions contraignantes (Union européenne, 1995) : c'était engager l'internationalisation de la protection des renseignements personnels.

Le démantèlement du mur de Berlin et l'implosion de l'URSS ont hissé la protection des renseignements personnels au rang d'instrument nécessaire à la concrétisation de l'État de droit. Dérivée des critères de Copenhague, mis en place par l'Union européenne comme condition à l'admission des anciennes démocraties populaires, l'adoption d'un régime de protection des renseignements personnels s'étend maintenant à près de 90 États, sans oublier de très nombreux États fédérés et même des gouvernements municipaux.

La notion de renseignements personnels est relativement simple. Elle désigne l'ensemble des mots, données, symboles et autres éléments qui permettent d'identifier une personne et de la distinguer de toute autre. Ainsi, les multiples identifiants, en matière de sécurité sociale notamment, constituent autant de renseignements personnels, tout comme les photographies, pour ne citer que ces deux exemples. Certaines législations singularisent les renseignements sensibles (affiliation religieuse, fiche de santé, appartenance syndicale, conviction idéologique, etc.) et édictent une série de précautions particulières à mettre en place à leur égard.

Dans un premier temps, certaines législations ne visaient que le secteur public. Assez rapidement, elles ont aussi couvert le secteur privé, devenu lui aussi un important producteur, utilisateur et détenteur de renseignements personnels.

Ces lois visent à assurer, aux différentes phases du cycle de vie d'un renseignement personnel, un traitement particulier. Elles régissent la production, la collecte, l'utilisation, la conservation, la circulation et éventuellement la destruction des renseignements personnels. Au cœur de ces modalités s'inscrit le principe de finalité qui soumet la détention de renseignements personnels à l'énoncé d'un objectif très précis et de celui-là seulement. Le régime de protection garantit aussi au citoyen un droit de regard sur les renseignements colligés et détenus à son sujet, en lui assurant notamment un droit d'accès et éventuellement de correction des données incomplètes ou erronées.

L'adoption de ces lois s'est accompagnée, dans presque tous les pays, exception faite notamment des États-Unis, d'organismes de surveillance et de contrôle (Holder et Grimes, 2007). Ces agences ou entités autonomes répondent aux mêmes objectifs : veiller au respect des principes édictés par le législateur et permettre aux citoyens d'exercer un droit de regard sur leurs renseignements personnels. Ces organismes interviennent aussi bien en amont qu'en aval du traitement de ces données (McCullagh, 2009). Ils peuvent exercer des fonctions consultatives ou être dotés de pouvoirs contraignants. C'est ici que le Québec a, en 1982, innové à un double titre en jumelant ses régimes de protection des renseignements personnels et d'accès à l'information et en les plaçant sous la surveillance d'un seul et même organe de contrôle. Ce précédent a fait école et plusieurs États ont repris ce modèle à leur compte (Comeau et Couture, 2003).

Les régimes de protection des renseignements personnels font actuellement face à deux ordres de problème. Un premier étant que les motifs de sécurité l'emportent souvent au détriment du respect des droits individuels. Les événements du 11 septembre 2001 (Nelson, 2004) ont entraîné, d'abord de la part des États-Unis, une série de réactions qui se traduisent par une érosion des droits reconnus aux citoyens dans ce domaine (Martin et Rabina, 2009). Ce mouvement, qui a gagné la plupart des États, coïncide avec la transformation fulgurante des technologies de l'information (Francou, Nepote et Kaplan, 2010), le second volet du problème. Au-delà des instruments et des outils, il faut maintenant prendre en considération des arrangements technologiques qui se jouent des frontières (Gunasekara, 2007). La délocalisation du traitement des données et l'intégration en ligne de plusieurs composantes pour effectuer des opérations multiples et complexes (notion approximative de cloud computing) soulèvent aujourd'hui des interrogations inédites et majeures (Poullet et autres, 2010). Ces progrès mettent à mal les réflexes traditionnels des citoyens en matière de renseignements personnels. La multiplication des réseaux sociaux, de type Facebook, modifie considérablement la notion même de vie privée.

En riposte aux dernières initiatives de l'acteur fondamental qu'est devenu Google, une dizaine de commissaires à la protection des renseignements personnels ont publié, au printemps 2010, une mise en garde commune qui a retenu l'attention de tous les médias de la planète (Commissariat à la protection de la vie privée du Canada, 2010). Cette démarche conjointe s'inscrit dans le sillage des travaux lancés, il y a plus de 30 ans, par les titulaires de ces fonctions (31^e Conférence internationale des commissaires à la protection des données et à la vie privée, 2009).

Bibliographie

31^e Conférence internationale des commissaires à la protection des données et à la vie privée (2009). Proposition de résolution concernant le renforcement de la coopération internationale en matière de protection des données et de la vie privée, www.privacyconference2009.org/home/index-idfr-idweb.html (page consultée en mai 2010).

Comeau, P.-A. et M. Couture (2003). « Accès à l'information et protection des renseignements personnels : le précédent québécois », Administration publique du Canada, vol. 46, n^o 3, p. 364-389.

Commissariat à la protection de la vie privée du Canada (2010). Lettre à M. Eric Schmidt, Président du Conseil d'administration et chef de la direction Google Inc., www.priv.gc.ca/media/nr-c/2010/let_100420_f.cfm (page consultée en mai 2010).

Commission européenne (2010). Groupe de travail sur la protection des données. Art. 29, http://ec.europa.eu/justice_home/fsj/privacy/workinggroup/index_fr.htm (page consultée en mai 2010).

Conseil de l'Europe (1981). Convention pour la protection des données à caractère personnel, Strasbourg, STE n^o 108.

Cooley, T.M. (1888). A Treatise on the Law of Torts, or, the Wrongs which Arise Independent of Contract, 2^e éd., Chicago, Callaghan.

Department of Justice (1974). Privacy Act of 1974, 5 U.S.C. 552(a), www.justice.gov/opcl/privstat.htm (page consultée en mai 2010).

Electronic Privacy Information Center (s.d.). Site Internet, www.epic.org (page consultée en mai 2010).

Flaherty, D. H. (1989). Protecting Privacy in Surveillance Societies: The Federal Republic of Germany, Sweden, France, Canada, and the United States, Chapel Hill, University of North Carolina Press.

Francou, R., C. Nepote et D. Kaplan (2010). Informatique, libertés, identités, Paris, FYP Éditions.

Gunasekara, G. (2007). « The “Final” Privacy Frontier? Regulating Trans-Border Data Flows », International Journal of Law and Information Technology, vol. 17, n^o 2, p. 1-33.

Holder, J. T. et D. E. Grimes (2007). « Government Regulated Data Privacy: The Challenge for Global Outsourcers », Georgetown Journal of International Law, vol. 38, n^o 3, p. 695-711.

Martin, S. et D. Rabina (2009). « National Security, Individual Privacy and Public Access to Government-Held Information: The Need for Changing Perspectives in a Global Environment », Information and Communications Technology Law, vol. 18, n^o 1, p. 13-18.

McCullagh, K. (2009). « Protecting “Privacy” Through Control of “Personal” Data Processing: A Flawed Approach », International Review of Law, Computers and Technology, vol. 23, n^o 2, p. 13-24.

Nelson, L. (2004). « Privacy and Technology: Reconsidering a Crucial Public Policy Debate in the Post-September 11 Era », Public Administration Review, vol. 64, n^o 3, p. 259-269.

Oble-Laffaire, M. L. (2005). Protection des données à caractère personnel, Paris, Éditions d'Organisation.

OCDE (2000). Générateur de l'OCDE de déclaration de protection de la vie privée, www.oecd.org/document/42/0,3343,fr_2649_34255_28879786_1_1_1_1,00.html (page consultée en mai 2010).

OCDE (1980). Lignes directrices de l'OCDE sur la protection de la vie privée et les flux transfrontières de données de caractère personnel, Paris, OCDE.

Poullet, Y. et autres (2010). Cloud Computing and its Implications on Data Protection, Namur, CRID.

Poullet, Y. et autres (2009). L'opposition entre la protection de la vie privée et les intérêts économiques : dans quelle pièce joue-t-on?, Dordrecht, Ed. Springer.

Privacy International (s.d.). Site Internet, www.privacyinternational.org (page consultée en mai 2010).

Simitis, S. (1995). « From the Market to the Polls: The EU Directive on the Protection of Personal Data », Iowa Law Review, vol. 80, n^o 3, p. 445-470.

Tabatoni, P. (dir.) (2000). La protection de la vie privée dans la société d'information, tome 2 : L'impact des systèmes électroniques d'information, Paris, Presses universitaires de France.

Union européenne (1995). Directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, http://eur-lex.europa.eu/smartapi/cgi/sga_doc?smartapi!celexapi!prod!CELEXnumdoc&lg=FR&numdoc=31995L0046&model=guichett (page consultée en mai 2010).

Warren, S. D. et L. D. Brandeis (1890). « The Right to Privacy », Harvard Law Review, vol. 4, n^o 5, p. 193.