La protection des données en Europe et dans le monde
décisions à l’encontre d’entreprises ne respectant pas notamment la législation relative à la protection de la vie privée des enfants sur Internet.
Par ailleurs, plusieurs décisions de justice sont venues sanctionner de grandes entreprises telle la filiale de Disney, Toysmart, pour la vente illicite de son fichier
de clients à l’occasion de sa faillite, ou encore la société Trans Union, une des trois
grandes centrales d’informations sur la solvabilité des consommateurs (encours de
crédits, revenus etc.), pour détournement de finalité des données recensées à l’occasion de leur communication à des tiers des données à des fins de prospection commerciale.
Au niveau des États, des centaines de projets de loi sont déposés. Dans ce
contexte, le congrès se devait d’évaluer la situation générale. La Chambre des représentants a procédé à de multiples auditions en vue de l’examen de l’opportunité de
mesures législatives nouvelles, notamment à l’égard du secteur privé qui a suscité de
vives réactions de la part de l’industrie et la publication d’études sur le coût jugé exorbitant de la protection des données. Cependant, et malgré les événements du 11 septembre, un groupe de sénateurs républicains et démocrates, appartenant au comité
pour le commerce, la science et le transport a déposé le 18 avril 2002 un projet de
loi général sur la protection des données collectées en ligne.
Dans la zone Asie-Pacifique, un projet de loi a été adopté par le gouvernement japonais en mai 2001. À Singapour, les autorités encouragent les organisations professionnelles à élaborer un code de déontologie.
On notera, également, les activités importantes qui se sont poursuivies au
sein de l’enceinte internationale du Conseil de l’Europe, qui a fêté cette année le 20e
anniversaire de la Convention 108.
En effet, un protocole additionnel à la Convention 108 de 1981 sur la nécessité d’instituer des autorités indépendantes de contrôle et de prévoir des garanties en
matière de flux transfrontières de données a été ouvert à la signature le 8 novembre
2001. Ces dispositions sont, bien évidemment, compatibles avec les dispositions de
la directive 95/46. L’entrée en vigueur de ce protocole additionnel est subordonnée
à sa ratification par cinq États. À ce jour, si le protocole a été signé par dix-huit États
membres du Conseil de l’Europe, dont douze de l’Union européenne (France
incluse), seule la Suède l’a ratifié.
Par ailleurs la convention sur la cybercriminalité (voir ci-dessus le paragraphe sur les activités du groupe dit de l’article 29) a été signée le 23 novembre
2001 par vingt-six États membres et les quatre États non-membres qui avaient participé à son élaboration, l’Afrique du sud, le Canada, les États Unis et le Japon. Elle
entrera en vigueur lorsqu’elle aura été ratifiée par cinq États, dont au moins trois du
Conseil de l’Europe (http://www.coe.int).
182
e
CNIL 22 rapport d'activité 2001