Le modèle européen : point de convergence, source de divergences ?
Rédigé par Jeanne Saliou
-
19 October 2021Les lois de protection des données essaiment de par le monde, reprenant bien souvent le modèle du RGPD. Quelles sont les logiques de convergence à l’œuvre et jusqu’où peuvent-elles aller ?
- 1970-2021 : la protection des données essaime le monde
- Le modèle européen : point de convergence, source de divergences ?
- La protection des données et de la vie privée au prisme du relativisme culturel
L’élan législatif mondial en matière de protection des données est souvent attribué au renforcement du cadre européen de protection des données avec l’adoption en avril 2016 puis l’entrée en application en mai 2018 du Règlement général à la protection des données (RGPD). Certes, en comparaison de la directive 95/46/CE qui le précédait, le RGPD intègre plus largement dans son champ d’application territorial les responsables de traitement situés hors du territoire de l’Union européenne. Néanmoins, en 2012, alors que la Commission européenne publiait tout juste sa proposition de règlement, 81 Etats disposait déjà d’une loi de protection des données transversale, offrant une couverture générale de protection des données, parfois en complément de législations sectorielles spécifiques. En outre, sur 39 régimes de protection des données non-européens, trente-deux étaient très similaires à la directive sur la protection des données selon Graham Greenleaf, professeur à l’Université de Nouvelles-Galles du Sud. Sans remettre en cause l’influence du RGPD, ce constat resitue donc ce phénomène dans une dynamique plus longue d’influence de la norme européenne.
Si celle-ci s’est bien imposée comme standard de la protection des données dans le monde, il est nécessaire de questionner les logiques et le degré d’uniformisation en découlant, des poches de différences persistant, dans certains cas de manière tangible, dans d’autres cas beaucoup plus discrètement.
Le triomphe du modèle transversal européen : les voies de l’uniformisation
Le RGPD : un standard accepté
Le succès du modèle européen se traduit de multiples manières, à commencer par l’éviction des types alternatifs de normes et notamment du modèle étatsunien basé sur la régulation sectorielle, avec l’exemple du Health Insurance Portability and Accountability Act de 1996 quant aux soins de santé, et si possible volontaire. Sur l’ensemble du globe, 106 législations sont d’ores et déjà transversales, et non moins de 25 sont en cours d’adoption (cf. Article 1), signant une nette prédominance de ce format. Cette adhésion au modèle transversal se traduit non seulement par l’adoption de telles lois par des Etats qui ne disposaient pas de cadre légal de protection des données, mais également par le passage d’un modèle à l’autre dans certains Etats où les législations transversales viennent se superposer et compléter les dispositions sectorielles.
Cette dynamique est particulièrement tangible dans la région de l’Asie Pacifique où les Etats-Unis, par le biais de l’APEC (Asia-Pacific Economic Cooperation) et du CPTPP (Comprehensive and Progressive Trans-Pacific Partnership), ont d’abord poussé en faveur du maintien des transferts de données et la limitation des exigences de localisation des données, avant de sortir du CPTPP en 2017, sous la Présidence de Donald Trump. Dans le cadre de l’APEC, deux dispositifs incarnent ce modèle étatsunien d’autorégulation et de volontariat en matière de protection des données. Le Privacy Framework de 2005 n’est ni justiciable ni contraignant et les Cross-border Privacy Rules reposent intégralement sur le volontariat dans la reconnaissance par les pays et la certification des entreprises. Et pourtant, en parallèle de ces cadres régionaux, les textes transversaux essaiment. La Nouvelle-Zélande et le Canada ont d’ores et déjà adopté des législations s’alignant sur le modèle européen, avec respectivement le Privacy Act de 2020 et le Personal Information Protection and Electronic Document Act de 2000. Plus encore, de nombreux autres pays, tels que Singapour, puisent des inspirations dans le RGPD. A ce titre, Graham Greenleaf notait en 2019 l’intégration en Thaïlande au sein du Personal Data Protection Act de nombreuses spécificités du RGPD, telles que le droit à la portabilité et l’obligation de notifier les fuites de données personnelles. La Chine a également introduit en août 2021 dans sa Personal Information Protection Law une clause très similaire au principe d’adéquation limitant les transferts de données vers des pays moins protecteurs des données.
Une autre manifestation de cet « effet Bruxelles » tient dans l’adhésion, non pas au champ d’application, mais au contenu de la norme européenne. Graham Greenleaf constatait en 2012 le haut taux de similarité de lois adoptées a posteriori avec la directive de 1995 de l’Union européenne. Ce constat peut s’étendre au RGPD depuis son adoption et exemplifie cette adhésion substantielle à la norme européenne. A titre d’exemple, la loi de 2019 de la République du Congo sur la protection des données personnelles synthétise le RGPD, mais aussi la directive européenne e-privacy de 2002. Un indice tout aussi fort de cette reconnaissance du modèle européen est le lancement par de nombreux pays de procédures de révision de leur cadre national pour s’adapter au RGPD. Le projet chilien de loi No. 11144-07 sur le traitement et la protection des données personnelles, en cours d’adoption depuis 2017, est par exemple très similaire au RGPD. Il en va de même pour les textes actuellement en cours en Biélorussie, en Serbie ou encore au Monténégro.
L’influence du cadre européen sur la scène internationale se traduit également dans sa relation à la Convention 108 du Conseil de l’Europe. Cette dernière, tout d’abord modifiée en 2001 pour s’aligner sur la directive de l’Union, a de nouveau été modernisée en 2018 et inclut certaines des dernières innovations du RGPD. Seul instrument international de protection des données contraignant, la Convention est ouverte à la ratification par des Etats extérieurs au Conseil de l’Europe. En 2021, le processus avait abouti dans 8 Etats : l’Argentine, Cap-Vert, le Maroc, l’Île Maurice, le Mexique, le Sénégal, la Tunisie et l’Uruguay ; et il était encore en cours pour le Burkina Faso. Comme le note Eduardo Bertoni, universitaire et ancien directeur de l’Agence argentine d’Accès à l’Information publique, loin de s’imposer en tant que norme internationale per se, la Convention 108 apparaît pour certains de ces pays comme un outil de conformité au RGPD permettant de renforcer le plaidoyer pour obtenir de la Commission européenne la reconnaissance du niveau adéquat de protection des données en vertu de l’article 45 du RGPD. Une des raisons selon lui est qu’« il y a suffisamment de lien entre la Convention 108 modernisée et le RGPD pour considérer que ces deux instruments sont très proches et que l’accession à la première devrait grandement peser dans l’adéquation au second ». Et de fait, le considérant 105 du RGPD le précise bien : l’accession à la Convention 108 sera « en particulier prise en compte » lors du processus de décision par les institutions européennes.
Un succès normatif construit et entretenu
Comment expliquer un tel succès normatif ? Il ne faut pas minimiser la qualité des principes européens de la protection des données, qui, en partant du point de vue des individus, de leurs droits et de concepts plastiques comme la proportionnalité, en font un cadre extrêmement robuste applicable de manière cohérente sur plus de 40 ans d’évolutions technologiques. Le cadre légal européen a également sans nul doute bénéficié de son antériorité, de la « force du nombre » et de l’attractivité de l’Union dans la région. Avant les autres continents, l’Europe a connu un essor de la protection des données, les Etats non-européens ayant adopté des lois avant 2000 étant peu nombreux (cf. Article 1). Les logiques désormais classiques d’européanisation du voisinage de l’Union sont également à l’œuvre : l’élargissement de l’Union européenne, avec les logiques d’harmonisation légale propres à cette organisation régionale hybride, ainsi que la perspective d’adhésion des Etats limitrophes, ont fortement participé au développement régional de lois similaires. En effet, Ian Manners, professeur à l’Université de Lund, identifiait dès 2002 les « droits de l’Homme » comme l’une des normes principales diffusées par l’Union européenne. Dans un contexte de coopération régionale de faible intensité en la matière et de développements nationaux plus lents sur les autres continents, le modèle européen est rapidement et assez logiquement devenu prédominant.
Néanmoins, son hégémonie sur la scène mondiale ne s’est pas construite, ni n’a perduré, sans une certaine dose de proactivité de la part de l’Union européenne. Ian Manners décrivait ainsi une pluralité de mécanismes de diffusion des normes européennes, que l’on retrouve ici à l’œuvre, allant de la production d’informations à une diffusion beaucoup plus explicite et institutionnalisée.
La puissance de marché de l’organisation, ainsi que sa forte contribution en matière d’aide au développement dans certaines régions, ont constitué de fortes incitations au suivi du modèle, parfois renforcées d’injonctions et institutionnalisées. C’est ainsi qu’en 2006, l’Union européenne a inscrit l’établissement de cadres nationaux locaux de protection des données comme obligation contractuelle dans le Chapitre 6 de l’Accord de Partenariat économique CARIFORUM – UE de 2008. Plus largement, le principe d’adéquation est un exemple phare de cet activisme européen, dont le succès s’est traduit dans le cadre des relations avec le Japon par la mise à jour du cadre législatif de celui-ci en vue d’une décision favorable.
Ce savoir-faire de la diffusion normative se décline sous d’autres formes, et notamment via le développement d’organisations de coopération dédiées à la protection des données. Ces coopérations, regroupant une ou plusieurs anciennes métropoles et des Etats qui y étaient liées, sont basées sur des liens culturels développés pour nombre d’entre eux à l’ère coloniale, et dans le prolongement de l’exportation et implantation de systèmes juridiques similaires au cadre européen. A ce titre, pour Alex Makulilo , professeur à la faculté de droit de l’Université ouverte de Tanzanie, le concept de privacy se développe en Afrique à la fin de la période coloniale avec la transposition de constitutions contenant ce droit à la vie privée, et ce même si les constitutions ne traduisent alors pas la réalité des valeurs collectives de l’époque. Une étude de Privacy International fait un constat similaire à l’échelle du continent asiatique en matière de protection des données : les pays présentant des approches semblables partagent bien plus souvent un passé colonial qu’une proximité géographique ou des traditions. Le régime européen de protection des données était donc d’autant plus transposable que son caractère hybride, à l’intersection entre les traditions de droit romain et de common law, facilitait son intégration dans des systèmes juridiques variés dans la continuité de ces transferts.
Par ailleurs, loin de se résumer à des flux Nord-Sud, ces organisations sont des forums d’échange pour les Etats qui y participent volontairement. Néanmoins, qu’il s’agisse de l’Association francophone des autorités de protection des données personnelles (AFAPDP) créée en 2007, du Réseau Ibéroaméricain de Protection des Données (2003), ou du Common Thread Network (2013) dépendant du Commonwealth, ces organisations permettent aux anciennes métropoles de diffuser le modèle européen par des transferts de compétences. De l’appui à la rédaction des projets de loi à la formation des agents, les modes d’action sont multiples et s’inscrivent dans le temps long. A titre d’exemple, l’AFAPDP a appuyé Madagascar dans la rédaction de sa loi n°2014-038 sur la protection des données à caractère personnel, notamment en révisant le projet de loi et en échangeant des informations avec le Ministère de la Justice malagasy.
Permanence de différences et potentielles divergences : une convergence précaire
Malgré les fortes logiques de convergence qui animent le secteur de la protection des données, cette dynamique est précaire, et d’une certaine manière, de façade. Outre les Etats n’ayant pas pour l’heure adopté ce modèle transversal, des différences entre les normes nationales de protection des données et le cadre européen persistent, même lorsque celui-ci est intégré. D’une part, elle peut ne l’être que partiellement, et d’autre part, l’intégration totale n’implique pas pour autant une mise en œuvre identique.
L’intégration partielle
La variété des modalités de reconnaissance du modèle européen comme standard international se traduit par divers degrés d’intégration dudit modèle. Ainsi, si le modèle transversal est largement adopté, le contenu des textes européens l’est dans une moindre mesure : des choix des dispositions du RGPD à la carte se développent, notamment en Asie. Des travaux de recensement de ces pratiques sont en cours mais les travaux préparatoires de Graham Greenleaf soulignent la diversité des pratiques. En étudiant la reprise de ce qu’il appelle les « principes de troisième génération », on observe que seuls sept Etats ont repris ou envisagent de reprendre le droit à la portabilité : la Chine, l’Inde, l’Indonésie, le Pakistan, les Philippines, Singapour et la Thaïlande. L’obligation de représentation des responsables de traitement et sous-traitants basés hors du territoire n’a elle été inclue ou envisagée que par la Chine, la Corée du Sud et la Thaïlande. Se dessinent ici les contours de l’hétérogénéité et la fragmentation des cadres légaux en Asie, que Clarisse Girot, directrice du bureau Asie du Future of Privacy Forum, identifiait comme une des caractéristiques principales des récents développements en matière de protection des données dans la région.
Ces stratégies de « pick-and-choose » ne sont pas limitées au continent asiatique, et ne sont ni récentes, ni liées spécifiquement au RGPD. Comme le soulignait Chawki Gaddes, Président de l’INPDP (Institut national de protection des données), lors d’un entretien avec le LINC le 8 juin 2021, la création du cadre légal tunisien de protection des données, sur le modèle de la Loi informatique et libertés française, ne s’est pas fait sans une « tunisification » de celle-ci avec notamment l’introduction d’une dispense des personnes publiques pour les obligations de traitement.
Une intégration totale à la mise en œuvre complexe et parfois divergente
Par ailleurs, si certains pays vont jusqu’à reprendre la lettre même du RGPD, l’intégration littérale d’un texte de loi ne suffit à assurer une parfaite cohérence des systèmes de protection des données.
« Un texte ne fait pas le printemps, même s’il est arabe. »
La mise en œuvre peut s’avérer très complexe pour des pays qui intègrent en quelques années des décennies de construction normative européenne. Pour ces Etats, le RGPD est un standard « disproportionné » (Clarisse Girot, entretien avec le LINC, 19 mai 2021) imposant de nombreuses obligations administratives : études d’impact, portabilité, certification, codes de conduite… que ni les entreprises, ni les autorités, n’ont les moyens de mettre en œuvre.
De surcroît, quand bien même il n’y a parfois que peu de disparités dans le design des textes législatifs, les particularismes nationaux ou régionaux s’expriment dans l’interprétation des termes. En effet, un des enjeux juridiques majeurs est l’interprétation des normes, que ce soit par les Cours, par les autorités dédiées, ou encore dans les actes dérivés. Ainsi, des concepts issus du RGPD peuvent se traduire de différentes manières selon les approches. Qu’il s’agisse de la notion d’intérêt légitime, ou encore, des exceptions contenues, les impacts sont colossaux.
Des divergences en devenir ?
Enfin, l’acceptation du RGPD comme standard international ne saurait être tenue pour acquise, et garantir une uniformisation sur le long terme. Les logiques d’adoption de lois en Asie et les objectifs qui les sous-tendent soulignent la précarité de ce statut. Dans un entretien avec le LINC le 19 mai, Clarisse Girot attirait l’attention sur le fait qu’avec la croissance de la population et donc des nombreux marchés asiatiques, le commerce avec l’Europe perdait en importance et qu’ainsi la nécessité d’accepter le cadre normatif européen et d’y arrimer les cadres légaux nationaux allait probablement décroître. Le recentrement sur le commerce intra-Asie, la décorrélation progressive des marchés asiatique et européen, pourraient donc favoriser le développement d’une nouvelle approche de la protection des données, en marge de celle développée initialement en Occident. Clarisse Girot soulignait par ailleurs, dans une interview pour le Future of Privacy Forum, que cette approche sera probablement composite, mêlant droit fondamental, protection des consommateurs et commerce.
Paradoxalement, cette précarité de l’adhésion au modèle européen fait ressortir la force de celui-ci. Adopté non du simple fait de la force d’influence de l’Union européenne, mais comme meilleure norme per se pour l’heure, il constitue un véritable standard à l’aune duquel sont mesurées les lois adoptées.