(2) Hors de l'Union
Européenne
USA :
La protection de la vie privée est une notion très
large qui inclut notamment la protection des informations personnelles.
Bien qu'il n'existe pas de loi générale au niveau
fédéral, la règlementation US est riche de dispositions
protectrices de la vie privée dans les divers états et selon les
secteurs d'activité.
Qu'il s'agisse de la loi Payment Card Industry (PCI) Data
Security Standard, de l'acte Health Insurance Portability and Accountability
Act (HIPPA), ou du Gramm-Leach-Bliley Act (GLBA), tous ces textes ont
été créés avec un même objectif de protection
des données sensibles, mais en se focalisant sur leur seul domaine.
Il existe environ 120 lois soit au niveau des états soit
au niveau fédéral qui requièrent une notification
des failles de sécurité aux personnes concernées.
La dernière en date étant intervenue dans le secteur des soins de
santé.
En octobre 2003, l'État de la Californie
a adopté le Online Privacy Protection Act.
Une prochaine loi fédérale, actuellement en
discussion (DATA pour Data Accountability and Trust Act),
devrait obliger toute entité privée ou publique manipulant
des données personnelles sensibles à mettre en place des mesures
de gestion de risques, de traçabilité aux données, de
sécurisation et de notification des violation de données
personnelles.
La certification est un des moyens
d'autorégulation permettant de pallier à l'absence de
règlementation et/ou aux lacunes dans l'application de la loi.
Les organisations sont libres de choisir entre de
nombreux schémas d'autorégulation et de
co-régulation pour lesquels elles déterminent elles
mêmes les moyens d'atteindre les objectifs fixés.
A titre d'exemple, l'accord SAFE HARBOR consiste pour les
organisations américaines à s'auto-certifier auprès du
Département du Commerce en s'engageant à respecter et à
mettre en pratique les principes de base posés par la directive 95/46
vis-à-vis des DP transférées par des entreprises
situées sur le territoire européen.
Il est difficile de connaitre l'efficacité des
schémas d'autorégulation. Selon certains la peur de poursuites
par le gouvernement ou par le privé a un effet
préventif mais rien ne permet de l'affirmer avec certitude car en
pratique les poursuites sont rares et les amendes minimes tandis que les
actions engagées au niveau privé sont onéreuses.
Au Canada, l'auto régulation s'est
fortement développée sous la forme de codes de conduite
sectoriels (banque, santé, assurance ...) inspirés des lignes
directrices de l'OCDE, notamment avant l'adoption de la loi de protection des
informations personnelles (PIPEDA) en 2000. Cette loi a elle-même
intégré les codes de conduites déjà en vigueur.
Sous l'égide du Canadian Standards Association (CSA), fut
adopté en 1996 le « Standard National Canadien » qui
bien qu'utilisant les termes distinctifs de « devrait » et
« doit » fut considéré comme une
démarche volontaire.
En Australie, c'est le Commissaire à la
protection de la vie privée qui en 1998 a défini une
série de principes, semblables à ceux du CSA au Canada. Bien
qu'il n'y ait pas de schéma explicite de certification, l'objectif
affiché était d'amener les organisations à suivre une
démarche formalisée et harmonisée.
La Nouvelle Zélande s'est servi des
« guidelines » comme support
« éclairant » en soutien à l'acte de
protection des données.
En Asie, il n'existe pas de définition de
la « protection de la vie privée » mais c'est
probablement la région où l'influence des principes directeurs de
l'OCDE a été la plus forte.
Dans ce pays la loi se résume à une série
d'exigences minimum que les ministres complètent par des lignes
directrices. Les plaintes relatives aux informations personnelles sont
traitées par quatre entités :
Les organisations de protection des informations personnelles
autorisées (APIPO), les représentants locaux du gouvernement, les
organisations professionnelles et le conseil de la consommation (NCACJ).
Cependant nous n'avons pas de preuve de l'efficacité du système
de résolution des plaintes par les APIPO.
Quelque soit la région du monde, il se
dégage un consensus favorable au développement de modes de
co-régulation, parmi lesquels s'inscrit la certification.
| 
