Depuis l'entrée en vigueur du 25 mai 2018, le règlement
européen sur la protection des données (RGPD) a déjà passé 6 mois. Cette loi s'étend au territoire de la Fédération de Russie, mais seulement indirectement et loin d'être toujours. Des détails sur l'application territoriale du RGPD peuvent être trouvés dans les récentes
lignes directrices du Comité européen de la protection des données.
Pour cette raison et pas seulement, la protection des données personnelles dans notre pays a été privée d'une attention sérieuse de la part des avocats et du grand public. Souvent, on peut penser que le RGPD est simplement un artificiel, basé sur rien de l'innovation des législateurs européens. En fait, ce règlement est le résultat d'un long développement du concept des droits et libertés fondamentaux de l'homme, qui remonte à bien avant le 25 mai 2018.
Comment le RGPD est-il né et d'où vient le besoin de confidentialité des données? Pour comprendre ce problème, vous devez vous tourner vers l'historique du développement de la protection des données personnelles.
Le droit à la vie privée
En 1890, deux avocats américains, S. D. Warren et L. D. Brandys, ont publié l'article
The Right to Privacy dans la Harvard Law Review, décrivant le «droit d'être laissé seul» («droit d'être laissé seul» ").
Presque immédiatement, et plus précisément dans la première moitié du XXe siècle, le droit formulé à la vie privée se reflète dans la pratique judiciaire américaine.
Cette idée se répand assez rapidement en dehors des États-Unis. En 1948, le droit à la vie privée est enregistré avec d'autres droits et libertés fondamentaux dans la
Déclaration universelle des droits de l'homme (article 12), et en 1950 dans la
Convention européenne des droits de l'homme (article 8).
L'attention accrue portée aux droits de l'homme à cette époque était principalement due aux conséquences dévastatrices de la Seconde Guerre mondiale. Cela se reflétait dans la définition du droit à la vie privée:
«Chacun a droit au respect de sa vie personnelle et familiale, de son domicile et de sa correspondance», - CEDH.
La principale priorité de l'époque était les questions sociales les plus importantes de l'après-guerre: l'inviolabilité de la vie personnelle et familiale, le secret de la correspondance. Le problème de la protection des données personnelles, qui semblerait découler logiquement du droit à la vie privée, n'a pas fait l'objet d'une large attention.
L'origine du droit à la protection des données personnelles
Au début de la seconde moitié du 20e siècle, les technologies de l'information ont commencé à se développer, ce qui a permis de traiter beaucoup plus d'informations beaucoup plus rapidement. Dans les années 60, ces technologies sont devenues plus accessibles à un large éventail de personnes, ce qui inquiète le Conseil de l'Europe.
Ainsi, en 1968, l'Assemblée parlementaire publie la
recommandation n ° 509 . Il se déclare préoccupé par les menaces potentielles au droit à la vie privée résultant de l'utilisation de nouvelles technologies pour le traitement des données.
En conséquence, l'assemblée a chargé le Comité des droits de l'homme d'étudier cette question. Beaucoup considèrent ce point comme un point de départ pour la confidentialité des données.
La première réaction découle de la République fédérale d'Allemagne, où en 1970 la première loi sur les données personnelles a été adoptée sur le territoire de la Hesse en 1970. Il est important de noter qu'il ne s'agissait que d'une loi locale, qui était appliquée exclusivement sur le territoire de ce territoire, et non au niveau fédéral.
Ensuite, les États-Unis réagissent. En 1974, la
Privacy Act a été adoptée, dans laquelle le Congrès américain établit pour la première fois un lien entre le droit à la vie privée et les données personnelles. Cette loi indique que la vie personnelle d'une personne peut être directement affectée par la collecte, l'utilisation et la diffusion d'informations personnelles par les autorités de l'État.
Aucun acte juridique ne peut être qualifié de loi à part entière réglementant le traitement des informations personnelles. Cependant, le droit à la protection des données personnelles commence à émerger de l'ombre du droit à la vie privée.
Première loi sur la protection des données personnelles
L'Allemagne devient le principal pionnier dans le domaine de la confidentialité des données: la première loi nationale sur les données personnelles (
Bundesdatenschutzgesetz ) apparaît en Allemagne en 1977. L'attitude particulière du public allemand à l'égard de cette question est principalement associée aux événements historiques locaux.
Le fait est qu'au milieu du XXe siècle, les Allemands ont connu deux régimes politiques conflictuels: d'une part, le Troisième Reich, d'autre part, la RFA et la RDA. Ces systèmes reposaient, entre autres, sur une surveillance de masse de la population.
Ces bouleversements ont conduit au fait que, par la suite, la confidentialité était extrêmement populaire dans ce pays. C'est pourquoi l'Allemagne est toujours considérée comme l'un des leaders mondiaux de la protection de la vie privée et des données personnelles.
Un autre pays important pour la confidentialité des données est la France, qui n'a qu'un an de retard sur l'Allemagne. L'adoption de la
loi sur l'informatique et les libertés civiles en 1978 a également été associée à des événements locaux.
Au début des années 70, le gouvernement français a développé le projet SAFARI, dont le sens était de créer un registre de données unifié utilisant un numéro de sécurité sociale, qui permettrait d'identifier tout citoyen. Il était prévu de traiter toutes ces informations grâce aux technologies informatiques avancées de l'époque.
En 1974, le journal Le Monde a publié un article à ce sujet intitulé «
SAFARI ou la chasse aux Français » (SAFARI ou la chasse aux Français), qui provoque un scandale sur la surveillance de masse.
Sous la pression du public, le gouvernement a été contraint de battre en retraite, ce qui a conduit à l'adoption de la loi susmentionnée et à la création d'une
commission de l'informatique et des libertés civiles . Néanmoins, il n'a pas été possible d'éviter la mise en œuvre du projet, mais la nouvelle commission a pu établir certaines restrictions sur le traitement des données personnelles.
Entrée au niveau international
Les lois allemandes et françaises deviennent la pierre angulaire des données personnelles et donnent une impulsion significative au développement de ce domaine. De plus en plus de pays et d'organisations internationales commencent à prêter attention au problème.
En 1980, l'Organisation de coopération et de développement économiques a publié des
lignes directrices pour la protection des données à caractère personnel, en tenant compte du développement en cours des technologies informatiques et de leur utilisation pour les transactions commerciales.
Un an plus tard, le premier accord international dans le domaine de la confidentialité des données est adopté, qui devient la
Convention pour la protection des personnes avec traitement automatique des données personnelles . Cette Convention a été une grande réussite dans son domaine. À ce jour, 51 pays y ont adhéré, dont la Russie (c'est sur ce document que se fonde la loi fédérale nationale sur les données personnelles).
Dans le même temps, le développement en constante accélération des technologies de l'information crée de nouveaux problèmes dans le domaine de la confidentialité et de la confidentialité des données. Le principal problème de ce type est l'émergence d'Internet et son développement rapide. La première à remarquer une menace potentielle est l'Union européenne, qui a adopté en 1995 une
directive-cadre pour la protection des données personnelles .
L'objectif principal de cette loi est de s'adapter aux nouvelles menaces et d'unifier la législation sur les données personnelles des États membres de l'UE. Pour ce faire, les mécanismes prévus par la convention internationale de 1981 ont été améliorés, ainsi que de nouvelles obligations pour les opérateurs de données personnelles et de nouveaux droits pour les citoyens de l'UE.
Histoire récente
À la fin des années 90, les principaux monopoles d'Internet ont commencé à se former. Aujourd'hui, on les appelle les Big Five ou GAFAM (Google, Amazon, Facebook, Apple, Microsoft). Avec la participation directe de ces sociétés américaines, un nouveau système de monétisation des activités commerciales sur Internet est en train d'émerger. Le moteur de recherche Google et le réseau social Zuckerberg, sans sources directes de capitalisation (contrairement à Amazon ou Microsoft), commencent à diffuser des publicités basées sur une analyse du comportement de leurs utilisateurs (ciblage). La publicité contextuelle devient rapidement extrêmement populaire et Amazon, Microsoft et Apple se connectent à ce système.
Pour garder les publicités les plus pertinentes, les cinq sociétés nommées, derrière le leadership clair de Facebook et Google, collectent activement d'énormes quantités de données sur les utilisateurs du monde entier. Dans le même temps, les technologies se développent rapidement qui vous permettent d'analyser toutes ces informations et d'identifier les caractéristiques étonnantes du comportement des utilisateurs. Toutes ces données et résultats analytiques sont envoyés en Amérique, qui n'a jamais réussi à protéger les données personnelles.
En réponse à la publicité contextuelle, l'UE a adopté en 2002 la
directive ePrivacy , qui réglemente l'utilisation des cookies, qui comprend également la collecte de données à des fins publicitaires.
Suite à l'adoption de cette directive, les principaux scandales liés à la cybersécurité et aux données en tant que telles secouent peut-être le monde. Ici, vous pouvez parler de WikiLeaks Julian Assange et de l'exposition du programme américain Edward Snowden de surveillance de masse PRISM.
Dans le même temps, des fuites importantes de données personnelles se produisent à la fois à la suite d'attaques de pirates informatiques et à cause du facteur humain. Leur pic tombe sur les dixièmes années. Un exemple typique est la fuite de presque toutes les données d'Ashley Madison. Il s'agit d'un site de rencontres canadien conçu pour les célibataires. En 2015, les bases de données du site ont été piratées et toutes les informations privées ont été publiées sur le réseau. Résultat: une vague importante de divorces à travers le monde, plusieurs cas de suicide. En outre, les données d'environ 1 200 utilisateurs d'Arabie saoudite, où la peine de trahison entraîne la peine de mort, étaient librement accessibles. Dans de telles circonstances, il est difficile de sous-estimer l'importance de la protection des données personnelles.
À la lumière de tous ces événements, l'Union européenne conclut qu'il est nécessaire de mettre à jour la directive obsolète de 1995. Le principal problème est qu'elle n'a pas été appliquée directement dans les États membres de l'UE, ce qui a entraîné à son tour des différences importantes au niveau de la législation nationale. Le nouveau règlement agirait directement dans chaque pays européen et permettrait la création d'un niveau accru de protection des données personnelles dans toute l'Union. Les discussions pour l'adoption de la nouvelle loi ont commencé en 2012 et en 2016, le texte final du règlement a été officiellement publié et est entré en vigueur le 25 mai 2018. Une analyse détaillée du RGPD est disponible
ici .
Paquet de réforme de la confidentialité
Au RGPD, l'activité législative de l'UE dans le domaine de la vie privée n'a pas cessé. Le traitement des données à caractère personnel à des fins de justice pénale n'est pas inclus dans le périmètre du règlement, car il nécessite la mise en place d'un régime juridique spécifique. Par conséquent, en 2016, avec le RGPD, une
directive a été adoptée
pour protéger les individus dans le traitement automatisé des données personnelles par les organes de l'État afin de prévenir, enquêter, détecter et poursuivre les infractions pénales .
De plus, la
directive NIS (Sécurité des réseaux et de l'information) a
été adoptée la même année. L'objectif principal de cet acte juridique est d'assurer un niveau élevé de sécurité des informations aux opérateurs d'infrastructures critiques et aux fournisseurs de services numériques. Il s'agit de protéger non seulement les données personnelles, mais la sécurité de toutes les données en général.
Toutes ces nombreuses lois sont le résultat des politiques de l'Union européenne sur les communications électroniques, la cybersécurité et la confidentialité des données. La prochaine étape pour l'UE devrait être l'adoption du règlement ePrivacy, destiné à remplacer la directive de 2002 du même nom. Les principaux enjeux à l'agenda de cette réforme: les métadonnées (Big Data) et tout de même les cookies.
Le projet de règlement a déjà
été publié début 2017.
Ainsi, le RGPD et les autres lois sur la confidentialité des données sont loin d'être une nouveauté en droit européen. Le règlement sur la protection des données personnelles, ainsi que l'ensemble du paquet de réforme de la vie privée, est le résultat de plus d'un siècle de développement de la pensée juridique, basé sur la nécessité de protéger la vie privée de tout citoyen.
