4. L’interaction entre la protection des données et la vie privée
Selon l’International Network of Privacy Law professionals, l’histoire de la protection des données et de la vie privée remonte à 1890, lorsque deux avocats américains, Samuel D. Warren et Louis Brandeis, ont rédigé l’article « The Right to Privacy ». Cet article affirmait que les gens devaient avoir le « droit d’être laissés en paix », utilisant cette expression comme définition de la vie privée. Le premier document juridique à prévoir ce droit est la Déclaration universelle des droits de l’homme de 1948, qui a adopté comme douzième droit le « droit à la vie privée ». Depuis, de nombreux pays ont inclus ce droit parmi les droits fondamentaux de leurs citoyens. Par exemple, la Constitution sud-africaine contient le droit à la vie privée dans son Article 14, la Constitution marocaine dans son Article 24, et la Constitution ghanéenne dans son Article 18.
Le droit à la vie privée est un droit garanti par la loi et c’est un droit fondamental qui est accordé aux individus parce qu’ils sont des êtres humains. La protection des données, quant à elle, est définie par l’Oxford Dictionary comme un ensemble de contrôles juridiques visant à préserver la confidentialité des informations stockées sur les ordinateurs et à limiter les personnes qui peuvent les lire ou les utiliser. Dans le cas de la protection des données, qui se rapporte à la vie privée, l’accent est mis sur les informations personnelles. La protection des données et la vie privée sont donc toutes deux créées par des régimes juridiques. Selon la Conférence des Nations unies sur le commerce et le développement (CNUCED), 128 des 194 pays du globe ont mis en place une législation visant à garantir la protection des données et de la vie privée. En Afrique, seuls 29 pays sur 54 ont établi un régime juridique pour la protection des données. Certains ont commencé à élaborer des lois.
L’interprétation de la vie privée reflète des perceptions différentes. Ces perceptions incluent des droits tels que le droit de ne pas être observé, le droit d’être laissé en paix, le droit de garder secrètes ses pensées, ses convictions, son identité et son comportement, le droit de choisir et de contrôler quand, pourquoi, où, comment et à qui révéler des informations sur soi-même, quelles sont ces informations et dans quelle mesure elles sont révélées. Ce droit est directement lié au droit à la liberté d’expression et d’association. L’anonymat est nécessaire pour protéger les droits d’un individu.
De nombreux utilisateurs choisissent d’accéder à l’Internet de manière anonyme, pour diverses raisons. Le concept Tor (tout ou rien) est un outil qui aide à préserver l’anonymat des utilisateurs. Ce logiciel ouvert a été développé pour protéger la vie privée et la liberté individuelle par l’anonymisation et la prévention de l’analyse et de la surveillance du trafic. À l’instar de divers outils de cryptage, le concept Tor garantit la sécurité et peut même sauver la vie de militants et de journalistes travaillant dans des régions du monde politiquement instables.
Cependant, l’absence d’identification a créé un environnement permettant aux criminels d’agir dans l’anonymat. Elle a également poussé certaines personnes à communiquer à d’autres des propos cruels, discriminatoires, racistes, haineux et/ou d’autres formes de discours offensant, ce qu’elles n’auraient pas fait si leur identité avait été connue. Cela constitue un défi pour les agences de sécurité et les organismes d’application de la loi.
Ces dernières années, les révélations de Snowden sur l’utilisation de programmes de surveillance par l’Agence de sécurité nationale des États-Unis (NSA), les révélations ultérieures sur la surveillance exercée dans divers autres pays, ainsi que l’augmentation de la cybercriminalité et du terrorisme, ont mis en lumière les droits de l’homme dans le contexte de la sécurité.
Dans la perspective des droits de l’homme, il est impératif de protéger le droit à la vie privée et les autres droits de l’homme. Les outils de cryptage, dont le cryptage généralisé, sont essentiels à la protection de la vie privée. Du point de vue de la sécurité, cependant, les gouvernements ont réaffirmé la nécessité d’accéder à des données cryptées dans le but de prévenir la criminalité et de garantir la sécurité publique. Cet impératif a exercé une pression croissante sur les sociétés Internet et technologiques pour qu’elles permettent aux gouvernements d’accéder aux données.
L’interaction entre le cryptage, la protection de la vie privée et la lutte contre la cybercriminalité (sans oublier la manière d’équilibrer toutes ces questions) a fait l’objet d’un débat animé lorsque, en août 2021, Apple a annoncé de nouvelles mesures visant à analyser les photos iCloud (les photos des utilisateurs) pour y déceler la présence de matériel pédopornographique (CSAM). Ces mesures ont été mises en attente, sur la base d’au moins deux problèmes : le premier était que la capacité d’Apple à analyser les photos iCloud constituait en soi une violation de la vie privée ; le second était que les gouvernements pouvaient vouloir contraindre Apple à utiliser cet outil à leurs propres fins non démocratiques. À la lumière de ces préoccupations, les parties prenantes débattent toujours de la marche à suivre.
Dans une économie fondée sur l’information ou les données, on ne saurait trop insister sur la valeur des données personnelles. Les données sont utilisées pour développer des modèles commerciaux, fournir une plateforme efficace pour la commercialisation de biens et de services, comprendre les préférences des consommateurs et développer des produits et des services. Toutefois, les données sont neutres, à l’instar de la technologie, et elles peuvent également être utilisées à des fins malveillantes. Des cas très médiatisés de fuites de données ont été enregistrés chez Facebook, eBay, Equifax et Uber. Des centaines de millions d’informations personnelles de particuliers (numéros de sécurité sociale, adresses, cotes de crédit, etc.) ont été compromises. Afin d’aborder la question de la vie privée et de la sécurité, en équilibrant les droits fondamentaux des citoyens et la menace des cyberdélits, plusieurs pays ont élaboré des lois et des réglementations afin de donner aux citoyens des droits sur leurs données personnelles et de réglementer l’accès à ces données et leur utilisation, notamment par les organismes en charge de l’application de la loi.
La plus populaire de ces lois est sans doute le Règlement général sur la protection des données (RGPD) de l’Union européenne. Cette loi crée pour les organisations et les entreprises des règles régissant l’utilisation des données personnelles en toute intégrité. La loi définit des principes pour le traitement des données personnelles, tels que le traitement de manière légale, équitable et transparente, la limitation de la finalité, des données et du stockage, prévoit les droits de la personne concernée et garantit la protection de la vie privée dès la conception. Reconnaissant l’absence de frontières sur Internet, le RGPD définit la compétence territoriale de la loi pour les entreprises établies dans l’Union européenne et les entreprises situées en dehors de l’Union européenne qui offrent des biens ou des services aux résidents de l’UE ou surveillent leur comportement. Cette perspective élargit le champ d’application de la loi.
Un autre domaine intéressant qui mérite d’être mentionné est la directive de l’UE relative à l’application des lois sur la protection des données. En général, la pratique en vigueur dans la plupart des régimes juridiques de protection des données consistait à exclure de l’application de la loi les activités répressives, en particulier les enquêtes criminelles et les questions touchant à la sécurité nationale. Cependant, la plupart des pays ont reconnu que même lorsque les citoyens font l’objet d’une enquête, ils jouissent toujours de certains droits, notamment en ce qui concerne le traitement de leurs données. Sur cette base, les pays commencent à créer des règles spéciales pour les services d’application de la loi, afin de maintenir un certain niveau de droits à la vie privée pour les citoyens, même lorsqu’ils font l’objet d’une enquête criminelle.
Meilleures pratiques
Les principes de protection de la vie privée et des données des Lignes directrices de l’OCDE sur la protection de la vie privée et les flux transfrontaliers de données de caractère personnel de 2013 fournissent un modèle pour les principes de protection des données, qui a été adopté par les lois sur la protection des données dans diverses juridictions. Ces principes sont les suivants :
Principe de limitation de la collecte : la collecte de données personnelles doit être limitée conformément à la loi et, le cas échéant, au consentement de la personne concernée.
Principe de qualité des données : les données personnelles doivent être exactes et pertinentes au regard de la finalité pour laquelle elles sont destinées à être utilisées.
Principe de spécification de la finalité : la finalité de la collecte doit être spécifique et les données ne doivent être utilisées qu’à cette fin.
Principe de limitation de l’utilisation : les données personnelles, lorsqu’elles sont collectées dans un but précis, ne doivent être utilisées que dans ce but, sauf avec le consentement de la personne concernée ou en vertu de la loi.
Principe des garanties de sécurité : les données personnelles doivent être protégées par des mesures de sécurité raisonnables contre des risques tels que la perte ou l’accès, la destruction, l’utilisation, la modification ou la divulgation non autorisés des données.
Principe d’ouverture : il doit y avoir une politique générale d’ouverture concernant les développements, les pratiques et les politiques en matière de données personnelles.
Principe de participation individuelle : la personne concernée a des droits qui peuvent inclure le droit de les obtenir auprès d’un contrôleur de données, ou de confirmer que le contrôleur de données possède des données la concernant ; d’obtenir la communication des données la concernant dans un délai raisonnable et, le cas échéant, moyennant des frais raisonnables, d’une manière raisonnable ; et sous une forme qu’elle puisse aisément comprendre ; d’être informée des raisons pour lesquelles une demande d’information concernant ses données est rejetée, et de pouvoir contester ce rejet ; et de contester les données la concernant et, si la contestation aboutit, d’obtenir que ces données soient effacées, rectifiées, complétées ou modifiées.
Principe de responsabilité: Un contrôleur de données devra s’assurer du respect des mesures qui donnent effet aux principes énoncés ci-dessus.
La Convention de l’Union africaine sur la cybersécurité et la protection des données à caractère personnel stipule que les parties s’engagent, en vertu de l’Article 8.1, à mettre en place un cadre juridique ayant pour objet de renforcer les droits fondamentaux et les libertés publiques, notamment la protection des données physiques et de réprimer toute atteinte à la vie privée, sans préjudice du principe de liberté de circulation des données à caractère personnel.
L’Article 11.1 de la Convention exige que chaque État Partie mette en place une autorité chargée de la protection des données à caractère personnel.L’Information Regulator (Afrique du Sud) est établi en vertu de la loi sur la protection des informations personnelles de 2013 (POPIA Act). Les membres de l’Information Regulator (Afrique du Sud) ont entamé un nouveau mandat à dater du 1er décembre 2021, suite à une nomination par le président. Les nouveaux membres ont été nommés après la prise en charge par le régulateur des fonctions prévues par la loi de 2000 sur la promotion de l’accès à l’information (PAIA) et l’entrée en vigueur des pouvoirs d’application prévus par la loi de 2013 sur la protection des informations personnelles (POPIA).
La loi sur la protection des données établit l’Agência de Proteção de Dados (APD) comme autorité de protection des données en Angola. Le statut organique de l’APD a été établi par le décret présidentiel 214/2016.
Le Bureau du commissaire pour la protection des données (Office of the Data Protection Commissioner – ODPC) du Kenya a été créé en 2020 suite à la promulgation de la loi sur la protection des données de 2019. La loi devrait être soutenue par le Règlement (général) sur la protection des données de 2021, qui définit les procédures à suivre pour faire respecter les droits des personnes concernées, tout en précisant les devoirs et obligations des responsables du contrôle et du traitement des données. Les Règlements sur la protection des données (conformité et application) de 2021, qui décrivent les dispositions de conformité et d’application pour le Commissaire aux données, ainsi que pour les responsables du contrôle et du traitement des données et les Règlements sur la protection des données (enregistrement des responsables du contrôle et du traitement des données) de 2021 définissent la procédure qui sera adoptée par le Bureau du Commissaire pour la protection des données pour enregistrer les responsables du contrôle et du traitement des données.
Le Réseau africain des autorités de protection des données rassemble les organismes de réglementation de la protection des données en Afrique. Il a été mis en place à Ouagadougou, au Burkina Faso, en septembre 2016, lors d’un événement parallèle au forum africain sur la protection des données personnelles. Il regroupe actuellement plusieurs autorités africaines de protection de la vie privée et des données, issues de différentes zones géographiques et linguistiques, dans le but de mettre en place une plateforme d’échanges et de coopération entre ses membres et de faire entendre la voix de l’Afrique auprès de ses partenaires du monde entier. Les membres sont les suivants : Afrique du Sud, Angola, Bénin, Burkina Faso, Cap-Vert, Gabon, Ghana, Kenya, Mali, Maroc, Maurice, Niger, Nigeria, Ouganda, Sao Tomé-et-Principe, Sénégal, Tchad et Tunisie. Veuillez noter que l’Organisation internationale de normalisation (ISO) dispose d’une norme relative à la confidentialité des données. Il s’agit de la norme ISO 27701.
Enfin, ces derniers temps ont vu l’émergence d’une question concernant le contrôle et le mouvement des données en général. Cette question affecte invariablement les données personnelles et la vie privée. L’émergence du cloud computing a créé une plateforme pour le stockage omniprésent des données. Ainsi, le traitement des données peut avoir lieu virtuellement, sans reconnaissance des frontières géographiques ou nationales. La nécessité pour les gouvernements de suivre le rythme de la collecte, de la circulation et du contrôle des données a conduit à des politiques qui affectent le flux d’informations sur l’Internet.
Des concepts tels que la souveraineté des données, la résidence des données et la localisation des données tentent de réglementer l’emplacement physique des données. La souveraineté des données fait référence au principe selon lequel les données, quel que soit l’emplacement où elles sont stockées, doivent respecter les lois d’un pays souverain spécifique. La résidence des données fait simplement référence à une situation dans laquelle la loi spécifie l’emplacement physique des données. La localisation des données fait référence à une exigence administrative ou juridique obligatoire, selon laquelle les données doivent être stockées ou traitées, de manière exclusive ou non exclusive, dans une juridiction donnée.
L’argument en faveur de la localisation des données repose sur quelques points, à savoir l’intérêt de la sécurité nationale ; la protection des données personnelles et l’application des lois sur la protection des données ; la garantie d’un accès plus rapide et plus sécurisé aux données pour l’application de la loi ; la promotion de la compétitivité économique locale ; l’augmentation de la croissance économique et la stimulation de l’emploi ; et la prévention de la surveillance étrangère.
Au niveau international, plusieurs pays ont créé des régimes de localisation des données. La Russie exige la localisation des données pour toutes les données personnelles. Le Kazakhstan exige que toutes les données soient stockées sur les serveurs du domaine spécifique du pays (.kz).[8] [9] L’Australie exige que les dossiers médicaux soient stockés localement. Le Canada exige des fournisseurs de services publics qu’ils respectent les exigences en matière de localisation des données. La Chine a, en matière de localisation des données, des exigences qui s’appliquent à toutes les données personnelles, commerciales et financières. Les exigences de l’Inde en matière de localisation des données s’appliquent aux fournisseurs de services de paiement et aux marchés publics. Les États-Unis exigent que les données relatives aux citoyens du pays soient traitées et/ou conservées dans ce pays. Les données couvertes par ces lois peuvent aller de toutes les données à caractère personnel à des types de données spécifiques comme les informations sanitaires ou financières.
Cependant, l’Indian National Institute of Public Finance and Policy affirme que l’hypothèse selon laquelle la localisation des données conduira nécessairement à une meilleure protection de la vie privée est erronée. En effet, la sécurité des données est davantage déterminée par les mesures techniques, les compétences, les protocoles de cybersécurité mis en place que par leur simple localisation. Globalement, le degré de protection des données dépendra de l’efficacité du régime de protection des données applicable, et non de la localisation des données.