De l’«Habeas Corpus» de la Magna Carta à l’«Habeas Corpus Numérique» aux Etats-Unis
Rezumat
L’habeas corpus reste une institution fondamentale du droit de l’Angleterre. Aux Etats-Unis la Constitution et des lois fédérales traitent de l’habeas corpus sous les multiples aspects d’un droit au respect de la vie privée consacré sous le nom «right of privacy» par la Cour Suprême. Il n’existe ni une loi fédérale d’application générale sur la protection du droit à la vie privée, ni un règlement fédéral assurant la protection de ce droit. L’approche du droit fédéral est sectorielle. Les Agences fédérales et étatiques agissent séparément dans la collecte des données personnelles qui leur sont propres. Le Freedom of Information Act (1966) autorise la consultation de son dossier sans avoir à faire valoir une raison. La protection du droit à la vie privée est assurée par des actions en responsabilité civile.
Studiu publicat în volumul In Honorem Flavius Antoniu Baias. Aparența în drept, tomul I, Ed. Hamangiu, București, 2021, p. 688-707.
Créé par les Cours du Roi ou Cours de Common Law comme instrument entre les mains du roi et des cours du roi pour contraindre un prisonnier à témoigner dans un procès, l’ «habeas corpus» devint un moyen de protection des personnes contre les détentions arbitraires prises par le gouvernement du Roi d’Angleterre au détriment des «Comtes, Barons, Justiciers…» et de leurs cours. La victoire des Comtes, Barons… fut illustrée et consacrée par l’incorporation de cet instrument de protection de la liberté des personnes dans la clause 39 de la Magna Carta (1215): «aucun homme libre ne sera arrêté, ni emprisonné ou dépossédé de ses biens, (…) ou lésé de quelque manière que ce soit (…) sans un jugement légal de ses pairs ou les lois du pays». Il faudra attendre une loi du Parlement anglais en 1679, «Habeas Corpus Act», pour que cet instrument ou moyen de protection de la liberté physique des personnes devienne, entre les mains des tribunaux, une expression „constitutionnelle” de la protection de la liberté personnelle. L’‘habeas corpus’ reste aujourd’hui une institution fondamentale du droit de la common law de l’Angleterre comme des Etats-Unis. A titre d’illustrations, lorsque la Louisiane devint un territoire des Etats-Unis en 1800, le Congrès des Etats-Unis consentit, par deux ‘Acts of Congress’ de 1804 et en1805, à ce que ce nouveau territoire américain demeura sous le contrôle du ‘droit civil alors en vigueur’ à la condition que deux institutions fondamentales de la common law deviennent parties intégrantes du système juridique louisianais: à savoir le ‘jury’ et l’‘habeas corpus’.
Aux Etats-Unis tant la Constitution que des lois fédérales traitent le principe de l’habeas corpus sous la forme de multiples aspects d’un «right of privacy» ou «droit au respect de la vie privée», droit qui ne fut connu sous le nom de «right of privacy» que dans les années 1920 par la jurisprudence de la Cour Suprême.
§1. Sources et fondements du droit à la vie privée ou right of privacy
La Constitution de 1787 ne garantit pas, de façon expresse, un droit à la protection de la vie privée. Cependant plusieurs Amendements du «Bill of Rights» (les 10 premiers Amendements), reflètent les préoccupations de certains pères fondateurs qui étaient soucieux de contenir et limiter les pouvoirs du gouvernement fédéral dans certains domaines qui touchaient à la vie privée des citoyens des états. Ainsi, le 1er Amendement protège les libertés de religion, de parole, de réunion, d’association: le 3ème protège le propriétaire d’une maison contre l’obligation de loger des soldats chez lui; le 4ème protège tout individu et ses possessions contre des perquisitions et des saisies déraisonnables; le 5ème assure à toute personne le privilège de ne pas devoir faire des déclarations qui pourraient l’incriminer; il faut ajouter le 9ème Amendement qui permet une interprétation extensive du Bill of Rights puisqu’il y est dit que «l’énumération, dans la Constitution, de certains droits ne sera pas interprétée de façon à dénier ou diminuer d’autres droits retenus par le peuple».
C’est la Cour Suprême qui devait consacrer l’existence d’un droit à la protection de la vie privée dans l’arrêt Griswold c. Connecticut (1965): «nous traitons d’un droit à l’intimité plus ancien que le Bill of Rights – plus ancien que nos partis politiques (…). Le mariage est une union (…) qui fonde une intimité de nature sacrée». Ayant créé un «droit à la vie privée», la Cour Suprême s’érigera aussi et nécessairement en instrument de contrôle de la protection de ce droit.
Le Congrès a adopté plusieurs textes de lois en matière de protection de la vie privée. Il faut citer:
1) Le Wiretap Act of 1968; 2) Le très important «Privacy Act» de 1974. Il règlemente la collecte et l’utilisation des données par les agences fédérales et donne à toute personne concernée le droit d’avoir accès à son dossier et le droit de rectifier les informations qui y sont contenues. Cet ‘Act’ ne s’applique qu‘aux agences fédérales gouvernementales et ne concerne pas du tout les organisations et établissements d’affaires ou les sociétés de commercialisation de produits; 3) Le «Family Educational Rights and Privacy Act» (FERPA ou Buckley Amendment) en 1974 également. Cette loi fédérale règlemente l’accès aux dossiers d’étudiants et uniquement ce qui concerne l’éducation; sont exclues de ces dossiers toute mention d’infractions pénales commises par l’étudiant sur le campus comme toute mention sur la santé, physique ou mentale, de l’étudiant; 4) En 1984, le Congrès adoptait le «Cable Communications Policy Act» (CCPA): cette loi fédérale impose aux exploitants de communications par câble d’informer leurs abonnés de la nature des informations personnelles collectées à leur sujet et de l’utilisation faite de ces informations. La loi interdit toute diffusion d’informations sur les préférences et choix de programmes de leurs abonnés. Un abonné peut intenter une action en justice contre l’exploitant. Cette loi, toutefois, ne s’applique qu’aux exploitants par câble et elle prévoit une exception relativement large et vague qui permet la diffusion d’informations personnelles dans le cadre d’une ‘activité d’affaire légitime’; 5) L’ «Electronic Communications Privacy Act» (ECPA) fut adopté en 1986. Cette loi fait application de la loi de 1968 ‘wiretap‘ à de nouvelles techniques de communications orales et visuelles en y incluant, le téléphone portable, le courrier électronique, les communications vidéographiques. L’objectif principal de cette loi est d’assurer la règlementation de la surveillance. Un jugement d’une cour fédérale, en 2001, (In re DoubleClick,Inc. Privacy Litigation) a démontré que cette loi avait été ‘dépassée’ par l’ingéniosité des entreprises privées et la circulation des informations dans l’espace cybernétique; 6) En 1988 adoption du «Video Privacy Protection Act» (VPPA) aussi connue sous le nom du juge Robert Bork, the Bork Bill. Cette loi interdit aux fournisseurs de cassettes vidéo de dévoiler les titres des vidéos qu’une personne achète ou loue. En cas de violation de la loi, une action peut être intentée contre le fournisseur. Toutefois, le champ d’application de cette loi est limité aux magasins spécialisés dans la vente ou la location de cassettes vidéo; ne sont pas touchés par cette loi, les librairies, les magasins de journaux qui vendent des vidéos; 7) Le «Telephone Consumer Protection Act» (TCPA) fut adopté en 1991 et permet à une personne importunée par des coups de téléphone de diffuseurs de produits de les poursuivre et de demander des dommages et intérêts d’un montant de 500 dollars par coup de téléphone après les avoir sommés une fois de ne pas appeler; 8) En 1994, le Congrès adoptait le «Driver’s Privacy Protection Act» (DPPA). Cette loi interdit aux états de révéler des données à caractère personnel sur tout titulaire d’un permis de conduire sans l’autorisation préalable du détenteur d’un permis. Cette loi ne s’applique aux états qu’en ce qui concerne les dossiers tenus par le service des véhicules et permis de conduire. Les autres départements du gouvernement d’un état ne sont pas touchés par cette loi; 9) En 1996, le Congrès adoptait la loi sur le régime de l’assurance médicale «Health Insurance Portability and Accountability Act» (HIPAA). L’objectif de la loi était de standardiser et uniformiser la collecte des informations médicales pour qu’elles puissent être mieux transférées entre bases de données. Pour assurer la mise en vigueur effective de cette loi, le Congrès créait le Department of Health and Human Services ou DHHS, chargé de réglementer et d’assurer le caractère confidentiel et privé des dossiers médicaux. Toute tentative de «commercialiser» les informations confidentielles contenues dans ces dossiers requiert une autorisation. Des critiques très sévères ont été faites à l’encontre de cette loi; 10) La première loi fédérale à se préoccuper de protéger le droit à la vie privée dans l’espace cybernétique est la loi sur la protection des enfants, le «Children’s Online Privacy Protection Act» (COPPA) de 1998. Cette loi réglemente la collecte, sur Internet, de toute information personnelle sur les enfants. Le champ d’application de cette loi est limité: ainsi elle ne vise que les enfants de moins de 13 ans; elle ne s’applique qu’aux sites pour enfants. La Federal Trade Commission vient de publier dans le Federal Register du 17 janvier 2013 une longue liste d’amendements aux règles qui avaient été adoptées en application du Children’s Online Privacy Act. Ces amendements modifient un certain nombre de définitions comme celles qui décrivent la ‘collecte et la collection’ d’informations ou la nature des informations personnelles collectées, comme des photographies, des vidéos, la localisation géographique de l’enfant. Surtout la FTC renforce le contrôle des parents sur les informations qu’un opérateur internet a collectées sur leur enfant en faisant une obligation à l’opérateur d’obtenir le consentement ‘vérifiable’ des parents; 11) La loi «Gramm-Leach-Bliley» (GLB) de 1999 permet aux institutions financières de partager, avec leurs filiales, des «informations personnelles non publiques». Toutefois, les clients ou personnes intéressées peuvent demander d’être exclus du champ d’application de cette loi et refuser ainsi que des informations les concernant soient révélées à une filiale. Il n’en reste pas moins que, vu la taille de nombreuses entreprises américaines, leurs multiples diversifications et ramifications nationales et internationales, le ‘partage’ des informations personnelles est courant et continu [Experian, un des trois grands établissements financiers de surveillance des opérations de crédit aux particuliers, a été acquis par Great Universal Stores, société anglaise, qui a aussi acquis Metromail, Inc, une société de ‘marketing’. Le droit qu’à une personne de croire et d’interdire que des informations personnelles la concernant ne soient pas ‘partagées’ est un leurre].
En conclusion, il n’existe ni une seule loi fédérale d’application générale en matière de protection du droit à la vie privée, ni non plus un seul règlement fédéral assurant la protection de ce droit. L’approche du droit fédéral est en effet ‘sectorielle’. En fait, ces lois fédérales ‘sectorielles’ sont loin de pouvoir atteindre leur but car, d’une part, elles n’offrent pas aux particuliers des moyens efficaces de contrôler les informations personnelles qu’ils sont contraints de donner, ici et là, dans leur vie quotidienne et, d’autre part, ces lois n’ont pas mis en place des moyens de surveillance et de contrôle secondaires ou, par défaut, des détenteurs de ces informations. En outre, une exécution efficace de nombre de ces lois est difficile à obtenir. Il est quasiment impossible à un particulier de découvrir si une information le concernant a été communiquée et partagée. Bien que les preuves soient nombreuses que des informations personnelles ont été disséminées, un particulier ne pourra pas vraiment remonter jusqu’à la source. Le commerce des informations personnelles est un commerce ‘clandestin’ quasi imperméable à toute enquête par un particulier.
Quant aux états de l’Union, une majorité d’entre eux ont adopté des lois ou déposé des projets de lois qui, soit visent à imposer aux agences gouvernementales étatiques et aux sociétés commerciales locales d’informer rapidement toute personne de toute violation de leur droit à la vie privée, soit de mettre en place des programmes de sécurité pour assurer la confidentialité des informations et des données personnelles. En 2009, quarante-cinq états et le District de Columbia adoptaient des lois qui imposaient l’obligation d’avertir la personne concernée de toute violation de son droit à la vie privée.
§2. Données protégées
Aujourd’hui, les agences gouvernementales fédérales, étatiques et locales (comtés, municipalités) ont accès à un large éventail d’informations personnelles. En particulier, les dossiers tenus par les états contiennent des informations personnelles qui couvrent la vie entière d’un particulier puisqu’elles vont de sa naissance jusqu’à sa mort: un acte de naissance donne le nom, les prénoms, le lieu et la date de naissance, les noms et âges des parents (ou du parent), le nom de jeune fille de la mère. Ce nom de jeune fille de la mère est très souvent utilisé dans «le commerce» comme «mot de passe» pour avoir accès à d’autres données confidentielles. Peu de temps après la naissance, le gouvernement fédéral attribue un numéro de sécurité sociale (SSN) à toute personne née vivante. Ce numéro de «SSN» sera essentiel à l’identification de la personne au cours de sa vie. Il permet de regrouper, sur ce seul numéro, toute sorte d’informations confidentielles concernant la personne qui porte ce numéro. Les états tiennent à jour d’autres informations sur la personne, comme des informations sur le mariage, le divorce, la mort… Il est fait référence à toutes ces informations ‘personnelles’ sous le titre de «vital records».
Les états collectent aussi des informations confidentielles sur toute personne qui entre en contact (volontaire ou forcé) avec toute agence, tout bureau de l’état: un accident de voiture, une infraction au Code de la route… En fait certaines de ces informations sont publiées dans les journaux. Une inscription sur les registres électoraux fait que l’état obtient des informations sur l’appartenance politique de l’électeur, son âge, lieu de naissance, adresse postale, adresse électronique et, parfois, numéro de sécurité sociale. Certains états donnent un accès libre à ces informations.
La profession comme le lieu de l’emploi d’une personne vont aussi être la source d’un grand nombre d’informations personnelles qui seront communiquées à des écoles professionnelles, des employeurs, des associations professionnelles comme c’est le cas des médecins, avocats, ingénieurs, infirmiers, enseignants… En outre si un employé est blessé sur son lieu de travail, son dossier d’assurance médicale révèlera un grand nombre d’informations personnelles comme le numéro de SSN. Si une personne est employée par l’Etat, si elle est ‘fonctionnaire’, le public aura accès à une longue liste d’informations personnelles, comme des numéros de téléphone, le montant du salaire, le nombre de jours de congé maladie, le numéro de SSN, et parfois des messages électroniques.
Être propriétaire de son domicile ou d’un bien foncier est aussi une information à laquelle tout le monde a accès. Le montant des impôts fonciers payés sera connu; une description détaillée de la maison et sa valeur seront accessibles à tous; si une personne est propriétaire d’un bateau, les détails sur le bateau seront à la portée de tous… Tous les magasins, les sociétés de traitement de cartes de crédit, les Universités et autres établissements d’enseignement, les banques ont tous et toutes accès à des quantités considérables d’informations confidentielles qu’ils/elles accumulent et gèrent dans leurs banques de données et cela très souvent sans les mesures de sécurité requises pour protéger ces informations. Les exemples d’établissements, de sociétés qui ont divulgué des informations confidentielles en violation du droit à la vie privée des personnes, compromettant ainsi le bien-être et la sécurité financière de leurs clients, se comptent par milliers.
La mise en place d’un vaste système national de conservation, et de circulation, des dossiers médicaux de tous les assurés a pour conséquence que ces dossiers et les informations personnelles qu’ils contiennent seront communiqués à bien d’autres que le patient et son médecin et qu’ils pourront être lus non seulement par le personnel médical mais aussi par les départements des gouvernements étatiques comme locaux et surtout le gouvernement central, sans oublier les universités, les chercheurs, les vendeurs de toute sorte et toujours soi-disant dans l’intérêt du patient. Un certain nombre de sociétés de traitement d’informations font une sélection des informations dont elles ont besoin dans les dossiers ouverts dans les pharmacies pour aider les sociétés d’assurance médicale à mieux gérer leurs ressources financières. Certaines de ces sociétés de traitement d’informations sont maintenant habilitées à établir des statistiques, faire des profils, construire des modèles pour calculer les risques que représentent certains types de patients, alors même qu’elles ne disposent pas des dossiers détenus par les médecins et qu’elles ne savent pas pourquoi tel médicament ou tel autre a été prescrit par un médecin.
Les déclarations d’impôts et toutes autres déclarations fiscales sont transmises au Service Fédéral de l’Impôt (IRS) où elles sont maintenant soumises à certains risques de piraterie. Même si les déclarations d’impôts font l’objet de mesures de sécurité complexes et sophistiquées et que les agents du Département du Revenu sont susceptibles d’être poursuivis au pénal pour des infractions à leur devoir du secret professionnel, les communications électroniques des déclarations d’impôts sont accessibles aux institutions financières de crédit et d’investissement. Lorsqu’un particulier veut soumettre une demande de prêt, prêt avec hypothèque par exemple, cet emprunteur va devoir révéler des informations détaillées sur sa situation financière, remettre un ‘crédit report’, un rapport sur sa solvabilité avec tous les numéros de comptes en banque qu’il a ouvert y compris ses cartes de crédit; il devra y joindre ses déclarations d’impôts des deux ou trois années précédentes, un certificat d’emploi. Cet emprunteur aura alors divulgué, très librement, toutes les informations dont un pirate de l’informatique a besoin pour voler et assumer l’identité de l’emprunteur. Un courtier en données collecte un grand nombre d’informations personnelles sur de nombreux individus sans leur consentement et sans même qu’ils le sachent. Si ces informations tombent dans des mains malveillantes, la victime pourra avoir d’énormes difficultés pour retrouver son identité, ouvrir un compte en banque, trouver un emploi… Quelques chiffres: entre janvier 2005 et janvier 2012, 345 millions de dossiers personnels ont été compromis; entre février 2005 et décembre 2006, cent millions de dossiers ont été perdus ou ouverts par des tiers; en 2006, les informations confidentielles de vingt-six millions d’anciens combattants furent compromises à la suite du vol d’un lecteur de disque dur au domicile d’un fonctionnaire du Ministère des Anciens Combattants (V A); en 2008, la chaine de magasins à grande surface Hannaford, annonçait que les cartes de débit et de crédit de quatre millions de ses clients avaient été ‘piratées’; enfin en 2009 les dossiers médicaux de cinq cent mille résidents de l’Etat du Connecticut et un million cinq cent mille dossiers médicaux de résidents des Etats de l’Arizona, du New Jersey et de New York furent compromis.
§3. Encadrement du traitement des données
Dans les années 1960 l’idée de créer un centre national des données fut lancée et débattue mais la réaction de l’opinion publique fut inspirée par la méfiance, le doute voire même l’hostilité. Aussi le gouvernement renonça-t-il à aller à l’encontre de l’opinion avec cette conséquence qu’aucun centre de collecte et de gestion des données ne fut créé au niveau fédéral. C’est le secteur privé qui allait prendre la relève. En l’absence d’un centre fédéral central et unique, les agences gouvernementales fédérales et étatiques agissent séparément et indépendamment les unes des autres dans la collecte et le classement des données personnelles qui leur sont propres.
3.1. Agences Fédérales: des exemples
Au niveau fédéral, c’est le «Privacy Act» de 1974 qui est la principale loi réglementant le programme fédéral de contrôle à l’accès aux informations personnelles privées et confidentielles. A cette loi, il faut ajouter le «Computer Matching and Privacy Protection Act» de 1988 et la Section (208) du «E-Government Act» de 2002.
Le «Privacy Act» pose des règles sur la collecte, l’utilisation et la dissémination des informations sur un particulier. Les agences fédérales sont tenues de respecter ces règles. Les informations obtenues par une agence fédérale sont protégées par le Privacy Act uniquement, ou exclusivement, quand elles sont recouvrées par, soit l‘utilisation du nom de la personne en cause soit par un identifiant personnel à la personne en cause. Cette même loi interdit, d’un côté, de révéler tout élément d’information contenu dans un dossier soit à toute personne soit à toute agence sans le consentement écrit de la personne dont le nom permet d’identifier ‘son’ dossier. D’un autre côté, cette loi autorise la révélation d’un élément d’information personnelle lorsqu’il est possible de faire application d’une des ‘douze exceptions’ prévues par cette loi.
Le Privacy Act permet à toute personne d’avoir accès à son propre dossier et, pour cela, la loi fait une obligation aux agences fédérales de maintenir les dossiers à jour, de façon précise, complète et appropriée. Un particulier a le droit de demander que des corrections soient apportées à son dossier s’il l’estime nécessaire. Le Privacy Act prévoit plusieurs voies de recours qui permettent à un particulier d’exercer les droits que lui donnent cette loi. Il peut intenter une action en justice contre l’agence qui a failli aux obligations que lui impose la loi; il peut aussi intenter une action lorsqu’il estime avoir subi un préjudice qu’il estime être en mesure de prouver. Le tribunal peut ordonner à l’agence de corriger le dossier du demandeur, ou ordonner à l’agence de remettre son dossier au demandeur; le tribunal peut en outre condamner l’agence à payer des dommages-intérêts de 1000 dollars ou plus selon que l’agence a agi de mauvaise foi ou non. Le tribunal peut aussi accorder au demandeur ses honoraires d’avocat et autres dépens.
Fort important aussi est le «Federal Information Security Management Act» (FISMA) de 2002 et le Titre III du «E-Government Act» de 2002 également. Ces lois font obligation aux agences fédérales d’assurer la protection des informations personnelles par des mesures de sécurité efficaces des systèmes d’information propres à chaque agence. Ces agences sont tenues de mettre au point et tenir à jour un programme de sécurité qui assure la protection des informations; ce programme doit être conçu pour être à la mesure du risque et de la gravité du préjudice qui pourrait résulter de l’accès non autorisé, de l’utilisation, de la diffusion de l’information collectée et classée par un fonctionnaire de l’agence ou un membre du personnel d’une entreprise engagée par l’agence Le «National Institute of Standards and Technology» (NIST) est chargé de mettre au point des directives, des normes et des critères pour assurer la sécurité de toutes les opérations de collecte, classement, traitement d’informations personnelles par les agences fédérales, sauf ce qui toucherait aux systèmes de la sureté nationale. Les directeurs des agences sont responsables de la mise en vigueur des instructions, directives et mesures posées par FISMA et sa direction. La mise en vigueur de FISMA est assurée par l’ «Office of Management and Budget» (OMB).
En réponse aux recommandations qui lui avaient été adressées par le Groupe Présidentiel d’Intervention sur le Vol de l’Identité, l’ «Office of Management and Budget» publia, en mai 2007, des directives à l’adresse des agences gouvernementales fédérales sur la ‘Protection Contre et en Réponse aux Violations de l’Information Personnelle Identifiable’. Toutes les agences fédérales furent requises de mettre en place des mesures d’alerte de violation ou de tentative de violation de toute information personnelle identifiable tant dans leurs systèmes électroniques et logiciels que dans la gestion de leurs documents sur papier. Les agences furent aussi requises d’adopter des mesures qui devaient permettre d’assigner des responsabilités bien définies aux personnes qui seraient autorisées à avoir accès aux informations personnelles identifiables. En outre, une agence gouvernementale est tenue de rendre compte de tout incident relatif à l’accès à une information personnelle dans l’heure de la découverte de l’incident. Pour ce faire, toute agence est tenue d’avoir sur place une équipe chargée de réagir dans les plus brefs délais et d’évaluer l’importance du préjudice qui aura pu être causé par l’atteinte à la protection de la vie privée de la personne en cause. Les chefs de départements, de sections sont passibles de mesures disciplinaires (blâme, suspension, renvoi) s’ils manquent à leurs obligations.
La loi «Veterans Affairs Information Security Act» de 2006, impose au Ministère des Anciens Combattants, la Veterans Administration (VA), de mettre en place des mesures et procédures très strictes et très détaillées pour assurer la sécurité, sous toutes ses formes, de toutes les informations personnelles collectées par cette Administration. Le Secrétaire d’Etat chargé de cette Administration est requis de se conformer à toutes les mesures posées par FISMA (ci-dessus) ainsi que celles qui sont adoptées par NIST et OMB (ci-dessus). Si une ‘atteinte malveillante’ à l’encontre d’un dossier est détectée, le Secrétaire d’Etat du VA est requis de faire appel soit à une entité extérieure au VA soit à l’‘Inspector General’ du VA pour faire immédiatement une enquête sur la nature du risque créé, son envergure, son importance et, surtout, sur les conséquences que pourrait avoir, pour la victime, un usage illégal de ses informations personnelles qui auraient pu être volées. Si le risque est estimé être sérieux, le Secrétaire d’Etat est tenu de tout faire pour entourer la victime de mesures de protection de son état de solvabilité (credit). Lorsque le VA fait appel à des entreprises privées, les contrats avec ces entreprises doivent inclure des mesures qui garantissent la sécurité comme l’inviolabilité de tout ce qui pourrait être perçu comme étant une information privée personnelle. Si, du fait de la nature des services qu’elle doit fournir, l’entreprise privée a accès à des informations personnelles, elle sera tenue d’informer immédiatement le Secrétaire d’Etat du risque qu’elle a pu causer du fait d’une erreur qui aurait pu être commise par un de ses employés. Le contrat doit avoir prévu le paiement de dommages-intérêts par l’entreprise au Secrétaire d’Etat et le montant de ces dommages-intérêts devra servir à assurer la protection de la situation financière et solvabilité de la victime.
3.2. Le secteur privé: des exemples
3.2.1. Etablissements financiers de surveillance des opérations de crédit ou «consumer reporting agencies» (CRAs)
Le «Fair Credit Reporting Act» (FCRA) de 1970 fut adopté dans le but de protéger le consommateur et dans la perspective de remédier aux abus commis dans les rapports ou comptes rendus établis par ces établissements sur les opérations financières de crédit faites par des consommateurs. Cette loi reposait sur la notion de ‘mesures raisonnables’ qu’il convenait de mettre en place pour assurer la préparation exacte des opérations de crédit et la correction des erreurs qui auraient pu y être faites. La mise en vigueur de ces mesures restait la seule responsabilité des établissements de crédit. En 1996 et 2003 des amendements à la loi de 1970 allaient accentuer l’aspect unilatéral et partisan de cette loi et remettre encore entre les mains de ces établissements la responsabilité de la mise en vigueur de ces amendements. Cette loi et ses amendements portent, en réalité, un faux nom et sont des artifices qui trompent le consommateur sur la raison d’être de leur existence. Les activités soi-disant de «credit reporting» auxquelles se livrent ces établissements vont, en réalité, bien au-delà de simples comptes rendus ou états d’opérations de crédit. L’indifférence du Congrès au fait que le consommateur est entre les mains de ces établissements a permis à ces derniers de collecter beaucoup plus d’informations privées et confidentielles sur un consommateur anxieux d’obtenir une conclusion favorable à sa transaction financière ou commerciale. Ces établissements ont accès aux communications téléphoniques, aux déclarations d’impôts, aux dossiers scolaires et universitaires, aux opérations financières et d’investissements… Toutes ces ‘informations’ sont analysées et coordonnées dans un ‘rapport d’enquête sur le consommateur’ qui est classé dans un fichier central et qui est mis à jour par des employés d’un vaste réseau d’employeurs ‘extérieurs’ recrutés pour ce travail. Ni le consommateur, ni le grand public en général, ne sont informés de ce qui se passe dans leurs dos! Certaines dispositions du FCRA vont jusqu’à assurer à ces établissements, soi-disant, de surveillance des opérations de crédit, une immunité contre les poursuites en justice, que ce soit pour ‘diffamation’, ‘pour intrusion dans la vie privée’, ‘pour faute ou négligence’ (FCRA, 15 USC # 1681 h.e.). Le fait que le Congrès ait inclus un article dans la loi GLBA (ci-dessus) pour assurer que tout établissement financier respecte le droit à la vie privée de ses consommateurs et clients et assure la confidentialité et la sécurité de toute information confidentielle est resté, dans une large mesure, lettre morte et, ce, toujours pour des raisons justifiées par un quelconque ‘secret des affaires’. Il n’est pas étonnant que le ‘marché’ des données et informations personnelles soit relativement florissant entre les établissements commerciaux et financiers de toute sorte, avec le risque que certaines personnes malveillantes deviennent les destinataires ‘illégaux’ de ces données et informations. Parmi ces personnes étrangères au circuit ‘légitime’ de la circulation de ces données, il en est une qui joue un rôle fort important au niveau du recrutement d’employés de sociétés : le directeur des ressources humaines ou Director of HR.
3.2.2. Employeurs et HR
Le FCRA de 1970 permet aux établissements ou agences responsables non seulement d’établir des comptes rendus et rapports sur le ‘credit’ des particuliers mais aussi d’inclure dans leurs rapports des observations sur la ‘renommée, la réputation’ de ces particuliers. Les évènements dramatiques du 9 septembre 2001 qui ont justifié une surveillance ‘intérieure’ accentuée des activités des particuliers par de nombreuses agences gouvernementales, ont indirectement justifié également une intrusion plus diversifiée des établissements de surveillance des opérations financières et de crédit, ou Credit Reporting Agencies – CRAs, dans toutes les transactions d’affaires que les particuliers allaient négocier au lendemain de cette date. Ces établissements allaient profiter de cette ‘niche’ que venait de leur ouvrir le gouvernement soucieux d’assurer la ‘sécurité intérieure’ du pays. Sous le couvert de mots aussi vague que ‘réputation, renommée’ ces établissements peuvent obtenir des renseignements sur toute personne en contactant la famille, les amis, les voisins, les collaborateurs de cette personne. Comme le dit la loi elle-même: «un mécanisme élaboré et méticuleux a été mis en place pour ‘enquêter’ et évaluer la solvabilité, la capacité de gérer un crédit, la renommée et, en général, la réputation des consommateurs» [FCRA, 15 USC #1681(a)(2)]. Un grand nombre de ces établissements qui collectent des informations personnelles et, soi-disant, confidentielles, ont été accusés de ne pas veiller à assurer la véracité des informations collectées ou de ne faire les corrections nécessaires en temps voulu et, surtout, de communiquer et vendre ces informations souvent inexactes. Les menaces d’amendes n’ont pas l’effet voulu et le marché qui est ouvert à ceux qui recherchent ces informations à l’aide de moyens technologiques très sophistiqués est beaucoup trop vaste et complexe pour pouvoir trouver le ‘coupable’ d’avoir vendu des informations. Aussi, les directeurs des départements des Ressources Humaines de sociétés, d’entreprises peuvent-ils avoir accès non seulement à de nombreux renseignements sur la situation financière d’un candidat à un emploi mais aussi de nombreuses informations très personnelles, pour ne pas dire ‘intimes’, sur la vie, les activités, les motivations, le comportement du candidat. Si ce candidat met en cause le ‘rapport’ et la véracité de certaines informations qui lui sont divulguées au cours d’un entretien, il lui sera remis le numéro de téléphone de l’établissement ou de l’agence qui a ‘rapporté’ l’information. Un encouragement à appeler est que le coup de téléphone est ‘gratuit’. Mais, chose peu connue, la loi FCRA permet à l’établissement en cause de «nier la responsabilité d’avoir pris la décision d’agir à l’encontre des intérêts du consommateur en incluant l’information dans son rapport et il lui est permis d’ajouter qu’il lui est impossible, par ailleurs, de donner des raisons précises qui expliqueraient pourquoi cette décision contraire aux intérêts du consommateur a été prise». Les rapports préparés par ces ‘CRAs’ sont donc loin de relater des ‘faits’ uniquement, ils sont loin d’être objectifs dans leur contenu. Ils sont, en fait, des rapports qui contiennent un profil psychologique, social, économique du consommateur avec des commentaires établis de façon subjective par l’agence de crédit. Un directeur des RH aura donc à sa disposition un rapport établi à titre «préliminaire» à un entretien avec un candidat à un emploi et, peut-être, un ‘diagnostic’ fait par une tierce personne (financièrement intéressée!) sur ce candidat, lequel, très vraisemblablement, ne se doutera de rien au premier abord. La seule satisfaction, ex post facto, que pourra éprouver le candidat sera d’apprendre que ces ‘rapports’ des CRAs ne sont pas admis comme moyens de preuve dans les procès, d’autant plus que les statistiques révèlent que 40% des informations collectées sont erronées! Et pourtant, comme il est dit plus haut, la loi FCRA exonère tout établissement ou agence de toute responsabilité. Les CRAs jouissent d’une ‘immunité’ contre toute poursuite judiciaire par un consommateur pour ‘diffamation’ ou ‘intrusion dans sa vie privée’[FCRA, 15 USC #1681 h(e)].
3.2.3. Facultés de Droit et données personnelles des candidats
Un formulaire d’inscription à une Faculté de Droit contient, en général, des clauses et questions, auxquelles un candidat est tenu de répondre, qui portent sur de nombreuses données personnelles et présumées confidentielles. Une explication du contenu du formulaire est donnée d dans des codes professionnels qui imposent des normes relativement strictes aux examinateurs, professionnels des barreaux, dans leur évaluation des dossiers des candidats au barreau. Ces normes des organismes professionnels sont souvent incorporées dans les dossiers de demande d’inscription des candidats aux Facultés de Droit. Ces dernières estiment qu’il est de leur devoir de n’admettre que des candidats qui remplissent les conditions de réputation, de renommée, d’intégrité, d’absence de dossier criminel imposées ‘ultérieurement’ par les organismes de contrôle des Barreaux. Toutes les informations personnelles collectées par les services d’admission des Facultés de Droit sont, bien sûr, transmises à ces organismes de contrôle des Barreaux. Ces organismes locaux au niveau des états sont coiffés par un organisme national, la ‘National Conference of Bar Examiners’ ou NCBE. Cet organisme national est considéré comme un spécialiste de l’évaluation, en dernier appel, des qualités et qualifications des ‘personnes’ candidates non seulement à un Barreau mais aussi, en fait, à des études de droit (que la personne en question veuille devenir avocat/e ou pas). En fait le NCBE agit comme le fait tout CRA, avec toutefois cette particularité que le NCBE est un CRA ‘spécialisé’ dans l’évaluation de la renommée, l’aptitude, les qualités morales et intellectuelles des candidats à un Barreau. Les rapports personnels établis par le NCBE contiennent une clause qui stipule qu’un candidat au Barreau ‘renonce’ au droit d’intenter une action en diffamation, ou une action pour intrusion dans sa vie privée, ou une action pour l’avoir privé du droit d’avoir accès à un emploi contre le NCBE. Une fois constitué, un dossier l’est pour toujours. Il sera communiqué aux juridictions devant lesquelles le candidat exercera sa profession.
§4. Droit à la vie privée et autorités/moyens de contrôle
Dans l’état actuel des choses, les différents aspects du droit à la vie privée et les moyens de protection des données personnelles font l’objet d’un rassemblement hétéroclite de lois, de décisions de cours et tribunaux, d’actions en justice propres au droit de common law, avec cette conséquence qu’il existe une grande diversité entre les politiques de mise en vigueur et de surveillance au niveau des états d’un côté et au niveau fédéral de l’autre. En outre, les instruments de contrôle qui existent ne sont pas d’un niveau de technicité suffisamment sophistiqué pour contrecarrer et neutraliser les développements de l’industrie électronique qui ne cesse d’innover en la matière et souvent dans le but de contourner les instruments et moyens de contrôle érigés sur son parcours.
4.1. Contrôle au niveau des états
Si un certain nombre d’Etats ont adopté des lois qui font obligation aux sociétés commerciales, en particulier, de mettre en place des systèmes de sécurité pour assurer une protection «raisonnable» des données personnelles en leur possession, ces lois sont en fait interprétées comme imposant à ces sociétés l’obligation de ‘notifier’ une personne que ses informations personnelles ont été compromises, qu’une intrusion malveillante dans son dossier a eu lieu. Cette obligation de notifier est le parallèle du «devoir d’avertir» connu en droit de common law qui pose le principe que quiconque occupant une position donnant un accès privilégié à une information est tenue d’avertir la personne qui n’a pas accès à cette information. Une fois informée, cette personne assume la responsabilité de prendre les mesures nécessaires pour se protéger contre les conséquences du vol possible et de l’utilisation malveillante de ‘ses’ données personnelles. A titre d’exemple, le service fédéral du revenu ou IRS impose aux contribuables qui soumettent leurs déclarations d’impôts par voie électronique et dont les déclarations auraient pu être volées, détournées, partiellement détruites, falsifiées de faire une ‘déclaration’ au directeur du district de l’IRS. A la date du mois de juin 2010, 46 Etats avaient adopté des lois imposant aux établissements, sociétés en possession d’informations personnelles d’adopter des procédures d’avertissement à leurs clients que la ‘sécurité’ de leurs informations personnelles avait été enfreinte. Ces lois sont, en général, calquées sur un même modèle en ce qui concerne, le ‘type d’information personnelle’ visée par le devoir de notification, le ‘genre de violation, intrusion ou faille’ à notifier, ‘qui’ doit être notifié et ‘quand’ la notification doit être faite. [A titre d’illustration ‘le type d’information personnelle’ sera: le nom, prénom, les initiales de la personne; le numéro de sécurité sociale, le numéro du permis de conduire ou celui d’une carte d’identité; le ou les numéros de cartes de débit ou crédit, le numéro de PIN; des informations médicales; les numéros de contrats d’assurance, de passeport; les données biométriques, les signatures électroniques, le nom de jeune fille de la mère (…)]. S’il n’existe pas encore beaucoup de jurisprudence sur l’application de ces lois dans les Etats, il semble que cette partie des lois qui est la plus susceptible de faire l’objet de controverses soit cette partie qui porte sur «le genre de violation, intrusion ou faille» qui devrait déclencher le devoir de notifier là ou, plutôt, les personnes (qui peuvent se chiffrer par centaines de milliers) concernées. Il est intéressant de noter que la plupart de ces ‘46’ lois ont inclus une ‘exception’ au devoir de ‘notification’, à savoir, que les ‘données cryptées ou codées’ échappent à ce devoir d’avertir la personne ou les personnes concernées. Cette exception n’est souvent pas rédigée de façon explicite mais plutôt ‘négative’ en ce sens que les lois stipulent que doivent être notifiées les violations de ces données qui sont ‘non-cryptées’.
Le droit de la common law d’Angleterre n’a pas connu de nombreux cas de demandes d’accès aux documents détenus par le gouvernement central. Nombreux étaient, par contre, les demandes d’accès aux dossiers et archives des tribunaux comme le justifie le droit de la preuve en common law. Les tribunaux américains ont continué dans la tradition des cours d’Angleterre et autorisé l’accès aux dossiers ‘publics’ uniquement lorsque le demandeur pouvait justifier d’un ‘intérêt personnel’ pour examiner un dossier. Petit à petit, la notion d‘intérêt prit une grande envergure et elle permet aujourd’hui l’accès aux documents ‘publics’ à toute personne qui n’est pas motivée par quelque intention de nuire à autrui. L’accès aux dossiers publics est très aisément facilité par les tribunaux dès lors que le demandeur est considéré comme exerçant son droit de citoyen qui est de surveiller les activités des agences gouvernementales. L’accès aux dossiers des tribunaux est laissé, dans une large mesure, à la discrétion des tribunaux eux-mêmes, surtout lorsqu’il s’agit de tribunaux de l’ordre fédéral. Les tribunaux recherchent un équilibre équitable entre le respect du droit à la vie privée des personnes et le respect du droit à l’information du public. Le rejet par un tribunal de l’exercice du droit à l’information doit être justifié par des ‘motifs importants et déterminants’.
Un certain nombre d’états ont adopté des lois sur le droit à l’information en substitution au rôle que les tribunaux avaient assumé jusqu’alors. Ces lois, certaines remontent aux années 1940, si elles portent ici et là des noms différents [‘freedom of information act’, ‘open access act’, ‘right to know’ ‘sunshine laws’] ont néanmoins toutes le même objectif: à la fois rendre l’administration gouvernementale de chaque état plus transparente en général et également plus facile l’accès aux opérations intérieures de chaque administration ou agence. Ainsi, la plupart de ces lois étatiques reposent sur deux présomptions: d’une part, il doit être présumé qu’un citoyen a un motif légitime de consulter un dossier/un rapport et, d’autre part, il est présumé que les dossiers doivent être rendus accessibles aux personnes qui demandent à les consulter. Toutefois, ces lois font mention d’un nombre relativement important d’exceptions au droit de consultation d’un dossier chaque fois qu’il peut être considéré comme essentiel de garantir la protection du droit à la vie privée de toute personne concernée. Ainsi, par exemple, la loi de l’état de Louisiane limite l’accès aux rapports d’accidents de voiture pour protéger certaines informations personnelles des parties en cause; comme en Louisiane et pour les mêmes raisons, la loi de l’état du Kentucky dénie aux avocats et chiropracteurs l’accès aux dossiers établis par les services de sécurité sur les accidents de voiture. Par contre, les lois de certains Etats, comme la Pennsylvanie ou l’Ohio, ne prévoient pas d’exceptions. En fait, ces lois des états de l’Union sont calquées sur une loi fédérale connue sous le nom de Freedom of Information Act. (ci-dessous)
4.2. Contrôle au niveau fédéral
Si les Etats-Unis sont considérés [par l’Union Européenne surtout] comme n’assurant pas une protection ‘adéquate’ des données personnelles, c’est parce qu’il n’existe pas un régime juridique général complet, détaillé et exhaustif de protection du droit à la vie privée. L’approche du droit américain est sectorielle; c’est un droit fait d’une mosaïque de lois et de décisions jurisprudentielles, lesquelles reflètent dans une large mesure tant les différences de cultures propres aux états que l’essence du fédéralisme américain. L’accroissement continu du nombre et de l’envergure des agences ainsi que le flot intarissable de règlements ont conduit à la prise de position très ferme de la part des citoyens que les dossiers établis par ces agences devaient être accessibles au public.
Le Freedom of Information Act (FOIA) fut adopté en 1966. Cette loi autorise toute personne à consulter tout rapport ou dossier tenu à jour par une agence de l’exécutif sans avoir à faire valoir une raison. Mais cette même loi donne une liste de neuf exceptions parmi lesquelles deux visent tout particulièrement la protection de la vie privée des citoyens. L’exception 6 exclut tout dossier ‘personnel et médical’ ou dossier ‘similaire’ dont la divulgation constituerait une invasion injustifiée de la vie privée personnelle d’un citoyen. L’exception 7 (C) interdit l’accès à tout dossier constitué ou toute information relevée aux fins d’application des lois quand il serait raisonnable de considérer qu’il pourrait en résulter une invasion injustifiée de la vie privée personnelle d’un citoyen.
La numérisation constante des informations et données personnelles et l’accroissement du nombre de dépositaires de données personnelles au sein des agences fédérales ont inspiré le département de la Santé, de l’Education et du Bien-Etre (Department of Health, Education and Welfare) à publier un rapport sur ‘les Dossiers, Rapports, Ordinateurs et Droits des Citoyens’ qui fait mention des préoccupations et inquiétudes de toutes ces personnes qui fournissent des informations très personnelles, voire confidentielles, à des administrations et institutions qui sont énormes et sans visage, informations qui confiées à des inconnus et gérées par d’autres inconnus, informations que ces personnes ne sont pas en mesure de vérifier, de corriger, de contrôler… Certaines des recommandations faites dans ce rapport de HEW furent incorporées dans le Privacy Act de 1974. Cette loi constitue un ‘Code’ qui, d’une part, règlemente la collecte et l’utilisation des dossiers et rapports constitués par les agences fédérales et, d’autre part, donne aux personnes [citoyens et émigrés résidents] le droit d’avoir accès à leur dossier et le droit de faire procéder à la correction des informations personnelles qui les concernent. Toutefois le Privacy Act ne vise que les agences fédérales et n’est applicable ni aux agences des Etats fédérés, ni aux agences des gouvernements locaux, ni non plus, et surtout, aux entités juridiques privées ou aux particuliers. Le Privacy Act pose huit principes identifiés comme tels par la commission sur l’étude de la protection de la vie privée: Openness Principle; Individual Access Principle; Individual Participation Principle; Collection Limitation Principle; Use limitation Principle; Disclosure Limitation Principle; Information Management Principle; Accountability Principle. Ces principes justifient les règles de conduite que les agences fédérales doivent adopter à l’égard des citoyens. Comme il avait été suggéré dans le rapport de HEW, le Privacy Act entend limiter l’utilisation des numéros de Sécurité Sociale par les agences fédérales et locales dans le but de réduire, voire d’éliminer dans la mesure du possible, le danger de tout accès malveillant ou d’invasion des données personnelles des citoyens par le simple usage qui pourrait être fait des numéros de sécurité sociale. Malheureusement, la défaillance majeure du Privacy Act est qu’il ne restreint aucunement ni ne limite en aucune façon l’utilisation des numéros de sécurité sociale par les entreprises et sociétés du secteur privé. La conséquence est que les vols des numéros de sécurité sociale sont de plus en plus nombreux et le ‘marché’ de ces moyens d’identification des personnes est très actif parce qu’incontrôlable.
D’autres lois à mentionner sont le Family Educational Rights and Privacy Act de 1974 (ou Buckley Amendment) qui limite l’accès aux dossiers des étudiants en réservant à tout étudiant le droit d’autoriser ou de refuser l’accès à son dossier (les services de sécurité de l’école ou de l’université comme les services de santé ont un accès relativement libre au dossier d’un étudiant pour des raisons de protection de la plus grande masse des autres étudiants).
Le Foreign Intelligence Surveillance Act de 1978 fut adopté pour les besoins de la surveillance électronique et la collecte d’informations étrangères, par opposition à domestiques, par les services de renseignements. Les informations obtenues en application de cette loi ne peuvent l’avoir été qu’après qu’un tribunal spécial composé de sept juges fédéraux ait approuvé les opérations et les usages de moyens techniques nécessaires à la collecte de certaines informations. Une conséquence importante de cette intervention d’un tribunal est que les informations recueillies par les services de renseignements peuvent être acceptées, ultérieurement, comme des moyens de preuve dans des procès criminels.
Dans un autre domaine, celui de la situation financière d’une personne, nous avons vu plus haut qu’il existe des Agences (trois) spécialisées dans la collecte des informations financières propres à toute personne qui a eu besoin, à un moment ou un autre, de crédit. La masse d’informations amassées par ces Agences ayant suscité une certaine inquiétude de la part de millions de consommateurs, le Congrès adopta le Fair Credit Reporting Act (FCRA) de 1970. Cet Act fait relativement peu, en réalité, pour protéger le consommateur. Ce dernier est en droit d’accéder son dossier, d’y faire apporter des corrections et même de poursuivre en justice ces Agences pour violation de l’Act (et, peut-être, d’obtenir des dommages-intérêts). Mais, d’un autre côté, le FCRA accorde une immunité aux créanciers et à ces Agences de collecte d’informations financières contre ‘toute action en diffamation, ou action pour invasion du droit à la vie privée, ou action pour négligence’ sauf dans le cas où ‘l’information a été divulguée avec intention malveillante ou avec l’intention de causer un préjudice au consommateur’. En outre, l’action prescrit deux ans à partir du moment où la violation de la loi a eu lieu et non pas à partir du moment où le consommateur a découvert qu’il y a eu violation de ses droits; autrement dit, il est rare qu’un consommateur puisse agir avant qu’il n’y ait eu prescription de son droit d’intenter une action en justice.
Le Bank Secrecy Act fut aussi adopté en 1970. Il impose aux banques de conserver les dossiers, rapports, notes, documents sur leurs clients et d’aider les services de police qui font des enquêtes sur des clients. Toute transaction internationale supérieure à 5000 dollars doit faire l’objet d’une communication au gouvernement fédéral comme c’est le cas de toute transaction domestique supérieure à 10.000 dollars. La Cour Suprême, dans l’arrêt California Bankers Association v. Shultz (1974) a affirmé la validité de cet Act dont la constitutionalité avait été contestée par des banquiers et détenteurs de comptes bancaires qui avaient fait valoir que l’Act violait le Quatrième Amendement à la Constitution. Dans son arrêt United States v. Miller (1976), la même Cour Suprême jugeait que les chèques et autres instruments financiers, comme les reçus de dépôts bancaires, les relevés de comptes bancaires, contiennent des informations qu’un client de la banque partage avec le personnel de la banque dans le cours d’opérations tout à fait ordinaires et que, par conséquent, le Quatrième Amendement n’interdit pas que ces informations soient communiquées à des tierces personnes comme c’était le cas des autorités gouvernementales dans cette affaire. Deux ans plus tard, en 1978, le Congrès, adoptait le Right to Financial Privacy Act (RFPA) pour contenir les effets de l’arrêt Miller: les autorités gouvernementales devaient obtenir un ‘warrant’ ou un ‘subpoena’ pour avoir accès aux informations financières des clients des banques.
En juillet 2009, le sénateur Leahy déposa un projet de loi qui portait le titre de «Personal Data Privacy and Security Act». Ce projet de loi était ambitieux par son envergure et le régime de la protection qu’il voulait assurer aux particuliers soucieux de préserver le caractère confidentiel de nombreuses de leurs données personnelles. La description donnée en titre de ce projet déclarait que cette ‘loi’ ou ‘bill’ avait des buts multiples comme celui de prévenir les vols d’identités, celui d’assurer la protection de la vie privée, celui de mettre en place des instruments d’information sur les failles des systèmes de sécurité, d’édicter des sanctions et des peines pour intrusion frauduleuse, malveillante des données privées et confidentielles… C’était un projet de loi très complet, voire exhaustif, de la protection de la vie privée sous de multiples aspects et, surtout, il visait nommément les ‘Data Brokers’ (Titre II du projet) ces courtiers en données personnelles/privées qui font un marché très lucratif des données confidentielles de milliers de particuliers. Ce projet n’eut pas de suite en 2009-2010 et la seconde tentative du même sénateur en septembre 2012 connut le même sort. Ce projet n’est donc pas devenu loi à la date d’aujourd’hui.
4.3. Contrôle donné aux tribunaux par la common law
Il n’existe pas une voie de recours, unique, qui pourrait être qualifiée d’action en protection du droit à la vie privée. Il existe, par contre, des actions en responsabilité civile-délictuelle ou ‘torts’ qui peuvent être considérées comme des palliatifs.
Le ‘tort of intrusion upon seclusion’ (délit d’intrusion dans la solitude/l’isolement) permet à un plaideur d’intenter une action contre une personne qui se serait immiscée physiquement ou autrement dans l’isolement ou la solitude du plaideur, ou dans ses affaires ou intérêts privés, au point qu’une personne raisonnable aurait été profondément offensée par une telle immixtion. L’obstacle a surmonté dans une telle action est celui de la preuve: le plaideur doit pouvoir prouver que l’immixtion dans ses affaires a porté atteinte à ‘sa’ conception ‘subjective’ de son droit à sa vie privée. Il est extrêmement difficile, dans la perspective des tribunaux, à une personne de rapporter une telle preuve dès lors que la collecte des informations personnelles et privées n’a pas été frauduleuse. En outre cette voie de recours ne peut pas être intentée après que la collecte de l’information a eu lieu. Dans un arrêt de 1985, une cour rejeta cette voie de recours qu’un plaideur avait intentée contre son médecin après que ce dernier ait révélé une information confidentielle sur des documents d’adoption. Pour la cour, le médecin n’avait pas révélé une information qu’il aurait soutirée au plaideur puisque c’était une information qu’il possédait déjà.
Une seconde voie de recours possible est le ‘tort of public disclosure of private facts’. Cette voie de recours présume que l’information privée qui a été divulguée est de celles auxquelles le grand public n’a aucun droit légitime d’avoir accès et que la divulgation est de celle qu’une personne raisonnable trouverait très offensante à cause de la honte ou de l’humiliation que ressentirait cette personne. Cette voie de recours a peu de chances de succès parce que le droit à la liberté d’expression garanti par le premier Amendement à la Constitution lui sera opposé avec beaucoup plus de chance de prévaloir.
Le tort of false light permet à une personne d’intenter une action contre celui ou celle qui publie des informations qui donnent un faux portrait d’elle, portrait qui serait en outre offensant. Cette action vise à protéger la dignité de la personne humaine et son droit à ne pas être représentée sous une forme humiliante et offensante (arrêt Braun v. Flynt, Cour Féd. 5ème cir.1984).
Le ‘tort of misappropriation’ est une action contre une personne qui, sans permission, s’approprie le nom d’autrui ou s’identifie à autrui dans son intérêt et pour son usage personnel, et pas nécessairement dans un contexte commercial. L’action vise à protéger non pas tellement le nom d’une personne en tant que tel mais plutôt ce qui pourrait être sa valeur vénale sans que cette valeur ait exclusivement une nature commerciale (comme imiter la signature d’autrui sur un message télégraphique adressé au gouverneur de l’Etat: Hinish v. Meier & Frank co. 194; usage d’une photo d’un tiers dans une réclame contre le vol: Fanelle v. Lojack corp. 2000. Malgré les difficultés que peut rencontrer l’exercice de cette action, elle reste la plus prometteuse de toutes les actions existantes pour protéger les particuliers contre les abus et les usages frauduleux de leurs données biométriques. Néanmoins, cette action comme les précédentes, réussissent rarement à faire condamner les courtiers professionnels de données personnelles car il est difficile de prouver que ces données sont ’utilisées’ avec l’intention de porter atteinte au prestige, à la réputation ou autre valeur morale de la ‘victime’.
§5. Traitement des données biométriques/dactyloscopiques
Il existe aux Etats-Unis un grand nombre d’organismes et établissements, gouvernementaux et privés, qui collectent des banques de données ou fichiers de données à caractère personnel sous forme ‘biométrique/dactyloscopique’. Si ces établissements sont différents les uns des autres, et souvent indépendants les uns des autres, ils ont en général un point commun, une donnée identique: la collecte d’images d’empreintes digitales. A cette donnée commune ou identique sont ajoutées d’autres données telles que le nom, l’adresse, le numéro de sécurité sociale, le numéro de téléphone, l’origine raciale ou ethnique, le sexe, la date de naissance, le statut juridique (citoyen, immigrant), le numéro du permis de conduire. Au niveau fédéral, les deux plus grands organismes destinataires de ces données sont une Section du FBI, appelée «Integrated Automated Fingerprint System» (IAFIS) et une Section du DHS (Département de la Sécurité Intérieure) appelée «Automated Biometric Identification System» (IDENT). Ces deux destinataires détiennent, chacun, plus de cent millions de fichiers. Les états fédérés ont aussi leurs propres organismes collecteurs et destinataires de données biométriques/dactyloscopiques, données qui sont au nombre de deux en général: les empreintes digitales et profil ADN. De grandes régions, comme la région de Los Angeles, ont aussi leurs propres collecteurs de données. Ces organismes des états et des régions sont tenus de mettre leurs banques ou fichiers de données à la disposition du FBI qui, de son côté, les partage avec DHS.
En ce qui concerne les profils ADN, les 50 Etats de l’Union et le gouvernement fédéral collectent ces profils presqu’exclusivement par le truchement du système judiciaire pénal/criminel. En 2009, environ 1 million 7 des profils ADN ont été analysés par des laboratoires; en 2011, l’indicateur national du nombre de profils ADN archivés atteignait le chiffre de 10 millions 7. Aujourd’hui ces profils ADN sont conservés et archivés séparément des données biométriques comme les empreintes digitales. Tous les états fédérés, le District de Columbia et le gouvernement fédéral collectent leurs profils ADN et les communiquent entre eux par l’intermédiaire du CODIS qui est, au sein du FBI, l’organisme de collecte et de diffusion de ces millions de profils ADN.
Il existe aussi des collecteurs de données biométriques/dactyloscopiques au niveau du secteur privé. Un grand nombre de sociétés commerciales et établissements financiers collectent de nombreuses données à caractère personnel sous forme biométrique. Une de ces sociétés les plus connues est Facebook qui a plus de 845 millions d’utilisateurs actifs par mois. Chaque utilisateur est tenu de s’enregistrer sous son vrai nom et prénom, avec photographie à l’appui, lesquels sont ensuite diffusés au grand public. Le gouvernement examine régulièrement les données collectées par Facebook pour vérifier l’authenticité des demandes de nationalisation par exemple, ou pour se servir de certaines données dans des procès criminels, ou, de façon systématique, pour prévenir ou intervenir dans ce qui pourrait être une menace à la sécurité du pays. La standardisation des données à caractère personnel sous forme biométrique est, pour des millions de personnes physiques, la cause de sérieuses préoccupations, surtout en ce qui concerne le numéro de sécurité sociale. Ce numéro est utilisé pour s’assurer, par des commerçants en particulier, de l’identité d’un consommateur, par les établissements financiers à l’occasion d’une demande de prêt pour vérifier le ‘passé’ financier, fiscal, de l’emprunteur, par les compagnies d’assurance, par les Universités… Tant le gouvernement que les entreprises ou organismes privés sont donc en mesure de localiser toute personne physique à tout moment et d’écrire, en fait, l’ «histoire de la vie privée» de chacun.
Conclusion
Les lois et règlements aujourd’hui en vigueur aux Etats-Unis contribuent peu à rassurer une personne dans le respect de son droit à sa vie privée et à l’inciter à faire confiance au commerce électronique et à l’économie numérique dans lesquels elle vit quotidiennement. Malgré les avertissements régulièrement donnés par de nombreux observateurs, en général des professionnels et experts en la matière, le ‘consommateur’ américain n’est pas efficacement protégé contre l’usage illicite de ses données personnelles et d’identification. Au niveau fédéral, les lois et règlements ont un champ d’application vertical en ce sens qu’ils visent des ‘secteurs’ différents de la vie privée de la personne humaine [voir la loi sur la protection des enfants, la loi sur l’assurance médicale, la loi sur la consommation]. Au niveau des états, leurs lois remplissent, ici et là, certains trous laissés béants par le législateur fédéral, mais ces lois n’offrent pas aux personnes physiques la protection qu’elles attendent de leurs données personnelles. C’est à chaque personne concernée de ‘réagir’ ex post facto, de chercher à se protéger ‘après’ qu’elle aura été informée par les responsables [personnes physiques ou morales, d’autorité publique ou pas] des traitements de données qu’une infraction de son fichier a eu lieu. C’est à la personne concernée de faire en sorte de tenter d’atténuer, si possible, les répercussions, en aval, de l’infraction commise à son encontre car il n’existe pas de système de protection préventive contre l’usage malveillant et illicite des données personnelles. Les moyens d’action de la FTC sont limités et difficiles à mettre en œuvre parce que lorsque la FTC intente une action il lui appartient de prouver que les actions ou procédures de l’organisme/autorité/établissement en cause sont iniques ou trompeuses et qu’elles sont susceptibles de causer un préjudice ou, tout au moins, de créer la probabilité qu’elles peuvent causer un préjudice. A la suite des suggestions faites par plusieurs membres de la FTC qui demandaient l’adoption d’une loi fédérale exhaustive et détaillée sur la protection des données personnelles d’identification, les sénateurs Kerry et McCain avaient déposé, le 12 avril 2011, un projet de loi devant leur assemblée, le Sénat, projet de loi qui portait le titre de «Commercial Privacy Bill of Rights Act». La loi proposée au Congrès des Etats-Unis avait pour objet de mettre en place, et sous le contrôle de la FTC, un cadre règlementaire très complet et quasi exhaustif de protection des données personnelles des personnes physiques. Le même jour, le 12 avril 2011, ce projet de loi était ‘renvoyé’ à la commission sénatoriale du commerce, des sciences où il est toujours à la date d’aujourd’hui.