1970-2021 : la protection des données essaime le monde

La protection des données a connu ces dernières années un essor législatif considérable à travers le monde. En l’espace d’une décennie, le nombre de législations nationales transversales – s’appliquant à l’ensemble des secteurs d’activités tel que le Règlement général sur la protection des données (RGPD) dans l’Union européenne – a pratiquement doublé, passant de 56 pays couverts en 2009 à 106 en 2020. Ce nombre devrait continuer à augmenter, 25 Etats ayant des projets de loi en cours d’adoption. Et cela, sans compter les Etats ayant des dispositions relatives à la protection des données au sein de législations sectorielles – limitées à un secteur d’activités donnés (ou ayant des législations spécifiques) portant sur une catégorie restreinte de la population – comme aux Etats-Unis le Health Insurance Portability and Accountability Act de 1996 pour le secteur de la santé et le Children’s Online Privacy Protection Act de 1998 concernant la vie privée des mineurs.

 

A l’heure du développement de l’économie de la donnée, cette multiplication des cadres légaux applicables est porteuse de nombreuses conséquences, à la fois pour les individus – qui y gagnent des droits et une meilleure protection – et pour les entités privées. Ces dernières sont en effet tributaires des accords internationaux lorsque leurs activités impliquent des transferts transnationaux de données. L’Union européenne peut émettre une décision d’adéquation au RGPD de certains pays hors UE, afin qu’ils ne nécessitent plus d’autorisations spécifiques pour les transferts. Comme l’illustrent les difficultés engendrées par l’invalidation du Privacy Shield par la Cour de Justice dans l’affaire Schrems II, la convergence des législations sur la protection des données est un enjeu majeur des échanges économiques.

Dès lors, on peut s’interroger sur les tendances qui se dessinent dans le paysage international de la protection des données. S’achemine-t-on vers une uniformisation des cadres légaux à l’échelle mondiale ? Si tel est le cas, s’agit-il d’une harmonisation complète, des textes et de leur mise en œuvre, ou seulement une harmonisation de façade ? 

Pour mieux cerner les évolutions mondiales de la protection des données sur le long-terme, et donc anticiper les potentiels écueils en matière de coopération, le LINC propose de revenir sur le développement historique et géographique de la protection des données, avant d’étudier d’autres aspects et enjeux de cet essor législatif. 

Le développement de la protection des données dans le monde 

De Big Brother au capitalisme de surveillance

Un rapide coup d’œil au paysage législatif de la protection des données met en lumière une évolution générale des préoccupations à partir des années 1990, de législations centrées sur les acteurs publics à la régulation de l’usage des données par les acteurs privés. Que ce soit dans le cadre de la Loi Informatique et Libertés du 6 janvier 1978 en France, ou du Règlement israélien sur les conditions de possession de données par les entités publiques de 1986, l’attention se porta essentiellement dans les années 1970 et 1980 sur les registres d’Etat et autres bases de données publiques. Et pour cause, après l’utilisation faite lors de la Seconde Guerre Mondiale des registres nationaux à des fins de déportation en France notamment, les fichiers nationaux ont mauvaise presse et la confiance en l’Etat est plus qu’érodée. La perspective de création de fichiers numérisés et de leur interconnexion inquiétait. D’autant plus que, dans ces années, comme l’ont souligné Peter Swire et Robert Litan, Internet était encore un système expérimental surtout utilisé par certaines agences gouvernementales et le monde de la recherche. 

A partir des années 1990, le développement de la société de l’information et d’Internet entraîna un changement de priorité tangible : la régulation des bases de données privée se faisant jusque-là à la marge devint la source principale de législation. A cette période, les ordinateurs personnels et Internet se diffusèrent. De 213 ordinateurs enregistrés sur Internet en 1981, le nombre d’utilisateurs dans le monde atteignit les 300 millions en 2001 selon Barry Sandywell, professeur à l’Université de York . Si pour les particuliers, le développement des usages fut hétérogène à l’échelle mondiale, les entreprises et notamment les plus grandes les adoptèrent rapidement. Dès lors ce n’était plus tant la concentration de l’information dans des registres uniques, mais sa dissémination qui inquiéta, la dissolution entre l’espace public et le privé et les potentielles intrusions et fuites qui en dérivèrent. Comme le soulignait Barry Sandywell, les risques liés à la technologie se sont « démocratisés » en même temps que cette dernière. Tout un chacun était désormais susceptible d’être victime d’un virus ou d’une fraude en ligne, ou encore de spam électronique et avec la multiplication des bases de données privées, la possibilité de voir ses données faire l’objet d’une fuite dans le cadre d’une cyberattaque augmente également. Les fichiers détenus par des entités privées ne furent néanmoins pas ignorés des législateurs de l’époque. De 1971 à 1974, un comité fut chargé en Norvège d’étudier les usages des données dans le secteur privé et notamment par les agences de notation de crédit, en parallèle de celui analysant de 1972 à 1975 les registres publics. Le Personal Data Registers Act adopté en 1978 couvrit ainsi à la fois le secteur public et le secteur privé. De même en France, la Loi Informatique et Libertés étendit dès 1978 les garanties apportées à la gestion des registres publics à ceux du secteur privé.

La prise en compte croissante du secteur privé s’est matérialisée par l’intégration, dans les lois régissant certains secteurs d’activité, de dispositions relatives à la protection des données. La loi sur les institutions bancaires et financières de 1999 au Cambodge illustre notamment ces ajouts, représentant souvent des développements des impératifs de préservation du secret professionnel. Elle établit une interdiction générale de divulgation des informations personnelles des clients, hors demandes émanant de certaines autorités.

Les secteurs concernés furent, et continuent d’être, généralement les mêmes d’un pays et d’un continent à l’autre : santé, sécurité, banque et finance, télécommunications… Et avec le développement des technologies, de nouveaux usages à réguler émergèrent tels que le commerce électronique et les signatures électroniques. 

A l’heure actuelle, un revirement est observable. Le secteur privé est systématiquement intégré dans les lois alors que la régulation du secteur public se fait plus fluctuante. Dès 2012, Graham Greenleaf identifiait un groupe d’Etats asiatiques exemptant le secteur public des obligations de protection. Au rang de ce groupe, il comptait la Malaisie, le Vietnam, l’Inde, le Qatar, ainsi que Dubaï. La Chine a également confirmé sa place en son sein avec l’adoption en août 2021 de la Personal Information Protection Law, les activités étatiques étant exclues du champ d’application. 

Un développement relativement homogène à l’échelle continentale

Les lois de protection des données, et notamment celles transversales, essaiment de par le monde à un rythme accéléré ces dernières années. Ce développement ne suit que très peu des logiques continentales. Si l’Europe, notamment sous les effets de l’intégration communautaire, fut à l’avant-garde avec un très grand nombre de lois transversales adoptées avant 2000 et avec l’adoption de la directive 95/46/CE sur la protection des données, il n’existe que de faibles tendances similaires à l’échelle des autres continents. Pour le reste du globe, il convient de noter que rares sont les Etats non européens à avoir adopté de telles législations avant les années 2000. A titre d’exemples de législations nationales, on pourra citer la loi péruvienne de 1994 sur l’habeas data, ou encore celle coréenne sur la protection des informations personnelles gérées par les Agences publiques datant de la même année. A cette période, les standards internationaux sont également peu nombreux, non contraignants ou à la ratification optionnelle, et portés par des organisations telles que l’OCDE et le Conseil de l’Europe, ayant une forte dimension européenne. A une échelle sous-continentale, l’Afrique occidentale et subsaharienne ont connu un fort essor dans la dernière décennie, avec l’adoption de lois transversales en Guinée en 2016 et en République du Congo et au Nigéria en 2019. Enfin, l’Asie semble être en pleine mutation avec un grand nombre de lois en cours d’adoption. Des projets de loi sont en cours notamment au Pakistan et en Indonésie.

 

Des logiques et motifs variés de création de lois de protection des données

L’apparition de lois sectorielles et transversales à des périodes différentes entre les pays doit bien plutôt s’analyser aux échelles nationales et internationales. Passées les années 1980, les raisons se multiplient et se superposent sans logique chronologique particulière, un nombre croissant d’Etats se tournant vers le modèle européen de lois transversales.

S’il n’y a pas de schéma type du processus d’adoption des lois de protection des données, certains motifs sont récurrents. D’une part, la légifération est à mettre en lien avec l’arrivée des technologies et le développement de leur usage dans chaque pays, ou du moins, avec la prise de conscience par les gouvernements des impacts de ces technologies. D’autre part, elle semble obéir également à des développements communs à l’échelle du globe, à l’instar des scandales et craintes quant aux fichiers d’Etat, ou du développement des transactions électroniques.  

Parmi les causes d’adoption, les nécessités économiques semblent prendre le pas ces dernières années du fait des exigences liées aux transferts de données internationales. Ces considérations ne sont pas nouvelles. Elles émergèrent dès les années 1990, et notamment avec la directive 95/46/CE de l’Union européenne établissant l’impératif d’adéquation des normes de protection dans le cadre des transferts de données hors de l’Union. L’objectif de facilitation de la circulation des données en Europe y était inscrit en bonne place, à l’article premier, paragraphe 2 de la directive, aux côtés de l’enjeu de protection des personnes à l’égard des traitements de leurs données. L’adoption de cette directive intervint elle-même dans un moment de tension quant aux transferts de données intra-Union européenne, après le refus de la CNIL d’autoriser en 1989 le transfert de données de la filiale française de Fiat vers sa maison mère en l’absence de protection équivalente en Italie. Avec le développement de l’économie de la donnée, ces considérations économiques revêtent une importance croissante et favorisent des changements de position des entreprises quant aux projets législatifs. Pour Peter Swire (entretien avec le LINC, 17 juin 2021), professeur au Georgia Institute of Technology, tout comme le cas Fiat en Europe incita les acteurs économiques à favoriser un cadre européen et non plus national de protection des données, les récentes évolutions au niveau de certains Etats fédérés des Etas Unis pourraient conduire le secteur privé à réviser sa position sur une loi fédérale. L’adoption en 2018 du California Consumer Privacy Act a signé le début d’un morcellement du paysage législatif étatsunien en matière de protection des données. Depuis, il a été suivi du Colorado Privacy Act et du Consumer Data Protection Act de l’Etat de Virginie, et d’autres textes devraient probablement suivre. L’obligation de se conformer à un ensemble disparate de réglementations, au sein même du pays, augmentera donc le coût de la conformité pour les entreprises et favorisera a priori l’émergence d’une loi au niveau fédéral. 

Toutefois, avant et en parallèle de cet essor des enjeux économiques, les motifs d’adoption puisent dans les contextes politiques et légaux nationaux. Certains pays, tels que le Mexique, se trouvèrent freinés un certain temps par l’absence de compétences législatives en la matière ou inversement dans l’obligation légale de transposer des dispositions constitutionnelles prévues antérieurement. Ainsi, la loi argentine de 2000 est née de l’impératif de mise en œuvre de l’article 43 consacrant le principe de l’habeas data, introduit dans la réforme de la Constitution Nationale de 1994. Dans d’autres pays, les gouvernements souhaitent redorer leur image sur la scène internationale, comme par exemple la Tunisie (voir encadré). 

Ainsi, derrière l’essor législatif international se trouve à l’œuvre de multiples dynamiques qui se recoupent et se superposent selon les Etats. Cette diversité au cœur d’une tendance internationale partagée interroge sur la convergence du contenu de ces lois, ainsi que sur le rôle du RGPD dans ce cadre, mais également sur l’unicité de la notion de protection des données dans les sociétés. 

¹    Swire, P. et Litan, R. (1998). None of Your Business: World Data Flows, Electronic Commerce & the European Privacy Directive, chap. 3 (Brookings). http://jolt.law.harvard.edu/articles/pdf/v12/12HarvJLTech683.pdf

²  Sandywell, B. (2006). « Monsters in cyberspace, cyberphobia and cultural panic in the information age ». Information, Community and Society. Issue 9 :1, pp39-61. 

³ Greenleaf, G. (2012), « Global Data Privacy Laws: 89 Countries, and Accelerating ». Privacy Laws & Business International Report, Issue 115, Special Supplement, February 2012, Queen Mary School of Law Legal Studies Research Paper No. 98/2012

Illustration : Giuseppe Rosaccio, Public domain, via Wikimedia Commons