Études

Lois sur la confidentialité des données et surveillance gouvernementale par pays : quels pays protègent le mieux leurs citoyens ?

États surveillés

Comparitech a évalué la protection de la vie privée et l'état de la surveillance dans 47 pays pour déterminer les domaines dans lesquels les gouvernements ne parviennent pas à protéger la vie privée et/ou créent des États de surveillance.

Pour ce faire, nous avons examiné un certain nombre de catégories, depuis l’utilisation de la biométrie et de la vidéosurveillance jusqu’aux lois sur le partage et la conservation des données.

Qu'avons-nous trouvé ?

Aucun pays ne protège systématiquement la vie privée de ses citoyens, la plupart surveillent activement leurs citoyens, et cinq seulement pourraient être considérés comme disposant de « garanties adéquates ».

Les choses s’améliorent-elles ou empirent-elles ?

Dans l'UE, le règlement général sur la protection des données (RGPD) contribue à améliorer les lois sur la protection de la vie privée dans l'ensemble. Cependant, cela n’empêche pas certains pays de conclure des accords qui empiètent sur la vie privée des résidents en partageant des données avec d’autres pays, par exemple en le Traité de Prüm. Cela n’empêche pas non plus certains pays d’accroître leur recours à la surveillance biométrique.

En dehors de l’UE, plusieurs pays créent ce qui ne peut être décrit que comme des États de surveillance, le droit à la vie privée semblant passer au second plan. Il n’est peut-être pas surprenant que la Chine et la Russie soient les principaux coupables.

Comment se comportent des pays comme le Royaume-Uni et les États-Unis ?

Nous le découvrirons ci-dessous.

Principales conclusions

Voici quelques résultats notables de l’étude :

  • Le gouvernement chinois non seulement ne parvient pas à protéger la vie privée de ses citoyens, mais il l’envahit activement
  • La collecte et la conservation de données biométriques (empreintes digitales et visages) s'accélèrent dans le monde entier
  • Les pays de l’UE ont tendance à partager une grande quantité de données sur leurs citoyens avec d’autres États membres.
  • Les immigrants sont souvent les plus touchés par la surveillance gouvernementale, en particulier lorsqu'ils entrent ou quittent un pays.
  • Selon notre système de notation, seuls cinq pays disposent de garanties de confidentialité adéquates, et tous se trouvent en Europe. Le RGPD joue un rôle important à cet égard, mais ne rend pas compte de tout
  • Aucun pays n’a obtenu un score parfait, ni même un score presque parfait
  • L'application varie considérablement, même parmi les pays dotés de bonnes lois sur la protection de la vie privée.

Système de notation (pour chaque catégorie et globalement)

4.1-5.0 = Respecter les normes de confidentialité de manière cohérente

3.6-4.0 = Sauvegardes et protections importantes

3.1-3.5 = Garanties adéquates contre les abus

2,6-3,0 = Quelques garde-fous mais protections affaiblies

2.1-2.5 = Défaillance systémique du maintien des garanties

1,6-2,0 = Surveillance étendue

1,1-1,5 = Surveillance endémique

Classement de la confidentialité dans l’UE et hors UE

UE
Irlande3.2Garanties adéquates3.33.23.13.33.73.02.93.23.13.12.63.23.53.2
France3.1Garanties adéquates2.93.43.43.42.73.13.13.33.12.83.23.12.73.1
le Portugal3.1Garanties adéquates3.12.83.43.63.33.22.83.33.12.92.83.12.72.9
Danemark3.1Garanties adéquates2.93.33.02.93.43.23.23.13.12.62.73.13.33.1
Malte3.0Quelques sauvegardes/protection affaiblie3.13.53.82.92.83.22.73.33.13.42.72.92.82.2
Lituanie3.0Quelques sauvegardes/protection affaiblie3.33.13.32.62.93.33.13.23.03.22.72.82.93.0
Chypre3.0Quelques sauvegardes/protection affaiblie3.13.13.2233.13.63.13.13.02.93.22.72.83.1
ROYAUME-UNI3.0Quelques sauvegardes/protection affaiblie2.93.43.43.22.93.13.12.83.12.82.73.22.72.6
Pays-Bas3.0Quelques sauvegardes/protection affaiblie2.73.33.82.62.93.12.93.13.22.92.62.72.73.3
Grèce3.0Quelques sauvegardes/protection affaiblie3.22.53.32.82.82.92.93.82.93.42.53.02.82.9
République tchèque3.0Quelques sauvegardes/protection affaiblie3.13.22.93.03.13.13.13.42.82.82.92.62.82.6
Bulgarie3.0Quelques sauvegardes/protection affaiblie3.33.23.32.83.03.13.23.42.82.62.82.82.82.2
Pologne2.9Quelques sauvegardes/protection affaiblie3.13.23.43.12.72.83.13.2232.63.32.92.72.6
Slovaquie2.9Quelques sauvegardes/protection affaiblie3.13.32.62.92.73.12.63.23.22.93.13.22.92.1
Lettonie2.9Quelques sauvegardes/protection affaiblie3.13.23.32.92.72.92.83.22.92.72.72.82.72.8
Suède2.9Quelques sauvegardes/protection affaiblie2.63.12.82.73.02.73.43.13.12.8233.12.23.7
Estonie2.9Quelques sauvegardes/protection affaiblie2.92.73.12.42.73.22.82.92.82.23.62.93.13.3
Roumanie2.9Quelques sauvegardes/protection affaiblie3.43.12.82.92.83.23.32.82.53.13.02.62.22.7
L'Autriche2.9Quelques sauvegardes/protection affaiblie2.93.33.32.82.73.33.13.22.92.63.12.92.22.1
Luxembourg2.9Quelques sauvegardes/protection affaiblie2.73.13.13.22.52.92.63.02.43.13.12.92.72.9
Finlande2.9Quelques sauvegardes/protection affaiblie2.92.62.82.72.72.72.43.62.12.92.92.73.14.1
Belgique2.9Quelques sauvegardes/protection affaiblie3.23.13.32.62.62.92.73.03.12.62.82.72.62.9
Espagne2.9Quelques sauvegardes/protection affaiblie3.43.23.12.72.63.22.93.42.72.62.72.62.62.4
Allemagne2.8Quelques sauvegardes/protection affaiblie3.33.43.8232.72.42.63.12.82.43.0232.82.8
Slovénie2.7Quelques sauvegardes/protection affaiblie2.42.62.62.82.62.82.73.42.92.52.92.42.23.0
Hongrie2.7Quelques sauvegardes/protection affaiblie2.72.83.3232.22.72.42.82.72.62.92.82.62.9
Italie2.7Quelques sauvegardes/protection affaiblie2.73.13.32.42.72.62.73.42.81.72.92.7232.4
Non-américain
Norvège3.1Garanties adéquates3.13.33.22.92.93.13.23.22.93.22.82.82.84.1
Afrique du Sud3.0Quelques sauvegardes/protection affaiblie3.63.33.12.93.13.03.33.03.12.82.92.72.92.9
Suisse3.0Quelques sauvegardes/protection affaiblie3.13.23.33.12.93.22.72.93.13.13.02.72.73.3
Argentine3.0Quelques sauvegardes/protection affaiblie3.13.13.12.72.93.23.13.23.02.62.73.33.02.8
Canada3.0Quelques sauvegardes/protection affaiblie3.23.22.82.92.63.13.03.32.73.12.82.63.32.9
Islande3.0Quelques sauvegardes/protection affaiblie3.23.12.73.02.93.13.03.12.73.32.82.72.83.1
Nouvelle-Zélande2.9Quelques sauvegardes/protection affaiblie3.03.13.23.02.82.82.93.02.93.12.72.62.53.2
Israël2.9Quelques sauvegardes/protection affaiblie2.83.13.32.73.12.82.73.42.72.62.92.63.02.2
Taïwan2.8Quelques sauvegardes/protection affaiblie3.23.12.93.12.82.72.92.42.92.42.82.92.82.7
Australie2.8Quelques sauvegardes/protection affaiblie2.43.33.33.43.02.8232.62.72.62.72.82.53.1
Japon2.8Quelques sauvegardes/protection affaiblie3.23.22.7232.72.73.32.92.82.92.92.62.72.6
Philippines2.8Quelques sauvegardes/protection affaiblie2.93.23.12.72.82.03.12.72.83.12.82.93.12.2
Brésil2.8Quelques sauvegardes/protection affaiblie3.12.92.42.63.12.23.13.22.92.73.12.83.22.0
cerf2.7Quelques sauvegardes/protection affaiblie3.12.93.22.72.72.93.12.62.9232.22.82.52.5
Singapour2.7Quelques sauvegardes/protection affaiblie2.63.23.22.72.82.8232.62.52.82.62.72.723
Malaisie2.6Quelques sauvegardes/protection affaiblie2.72.72.92.42.62.42.72.82.72.92.52.62.823
Thaïlande2.6Quelques sauvegardes/protection affaiblie2.73.2232.62.82.52.22.6232.82.82.62.71.7
Inde2.4Échec systémique du maintien des garanties3.42.7231.62.4231.8232.42.62.72.82.42.1
Russie2.1Échec systémique du maintien des garanties2.72.92.62.91.31.91.42.81.41.42.62.21.61.7
Chine1.8Surveillance étendue2.5232.71.12.11.31.22.11.71.22.61.41.21.3

Les 5 derniers pays hors UE

  1. Chine – 1,8 – Surveillance étendue
  2. Russie – 2.1 – Défaillance systémique du maintien des garde-fous
  3. Inde – 2.4 – Défaillance systémique du maintien des sauvegardes
  4. Thaïlande – 2.6 – Quelques garde-fous mais protections affaiblies
  5. Malaisie – 2.6 – Quelques garde-fous mais protections affaiblies

Chine

Le classement de la Chine n’est pas vraiment une surprise, mais d’où vient sa surveillance étendue ?

  • Les lois sur la protection de la vie privée manquent de lignes directrices claires, ce qui les rend difficiles à appliquer
  • Les cartes d'identité sont obligatoires en Chine pour toute personne de plus de 16 ans
  • La Chine dépend fortement de la biométrie et de l’intelligence artificielle (IA). Par exemple, les caméras de reconnaissance faciale capturent désormais les jaywalkers, déclenchent un message texte et envoient leur image sur de grands écrans pour leur faire honte publiquement. La Chine utilise également ce type de caméras pour suivre et surveiller les Ouïghours, la minorité musulmane du pays.
  • Les données sont fréquemment partagées entre agences et les services de renseignement de l’État ont le feu vert pour demander des données à toute organisation ou citoyen.
  • Les caméras de surveillance avec reconnaissance faciale sont désormais la « norme » en Chine et il existe peu de limitations en place sur la vidéosurveillance dans son ensemble.
  • Les services de renseignement et les forces de l’ordre peuvent intercepter des communications sans ordonnance du tribunal – et la manière dont ils effectuent ces interceptions est encore largement inconnue.
  • Les employés ne sont pas protégés dans leurs communications, même si la personne concernée doit donner son consentement pour la collecte de données. Il est arrivé que les tribunaux se prononcent en faveur de l’employeur (lorsqu’un employé n’a pas donné son consentement à la surveillance des e-mails) et que les ondes cérébrales des employés ont même été surveillées pour « aider à la productivité ».
  • Il n'y a pas de limite de durée sur la conservation des données, mais il existe des exigences spécifiques quant aux données à conserver. Par exemple, les fournisseurs de services de messagerie texte doivent conserver diverses informations pendant au moins cinq mois.
  • Les données médicales sont fréquemment utilisées à des fins de recherche ou comme « dossiers d’intérêt public »
  • Toutes les transactions financières dépassant un certain montant doivent être déclarées à un organisme gouvernemental
  • Une surveillance extrême est mise en place aux frontières chinoises avec des applications installées sur les téléphones des gens (sans consentement) pour rechercher des « contenus inappropriés ».
  • La Chine est membre d'Interpol mais de nombreux pays hésitent à partager des données avec la Chine en raison de la manière dont elle pourrait les utiliser.
  • Le gouvernement contrôle la plupart des sources médiatiques

Il est difficile de tirer quelque chose de positif du droit à la vie privée de la Chine. Même si elles sont mentionnées dans la loi, la réalité est souvent bien différente.

Russie

La Russie suit de près la Chine, avec un mauvais score provenant de :

  • Son organisme de réglementation, le Service fédéral de surveillance des communications, des technologies de l'information et des médias (Roskomnadzor), est incroyablement actif, mais souvent en cas de censure plutôt que la vie privée
  • Il est en train de créer un cadre de gouvernement électronique qui permettra le partage de données entre agences, mais donnera également au grand public l'accès aux informations détenues par le gouvernement.
  • Les entreprises sont souvent tenues de transmettre des données au gouvernement, l'exemple le plus récent étant Tinder. S’ils ne s’y conforment pas, ils sont bloqués
  • A commencé à construire son propre « Internet souverain » avec la crainte que cela ne supprime son besoin du World Wide Web et ne crée un Internet hautement censuré utilisé à des fins de surveillance.
  • La reconnaissance faciale est déjà utilisée dans les caméras pour retrouver les débiteurs
  • Malgré des garanties claires pour se protéger contre l'interception des communications (c'est-à-dire qu'une ordonnance du tribunal est requise dans la plupart des cas), 540 000 interceptions ont été approuvées en 2012, ce qui montre peu de limites sur ce qui est accordé ou non.
  • Les fournisseurs de services n'ont pas besoin d'offrir de capacité d'interception, car le système de mesures de recherche opérationnelle (SORM) permet au Service fédéral de sécurité (FSB) d'écouter les communications via une ligne directe des fournisseurs de services Internet. Dans la plupart des cas, les opérateurs et les FAI ne sont même pas conscients de ce qui se passe.
  • Les fournisseurs de services de télécommunications doivent conserver les enregistrements d'appels et de messages pendant au moins six mois.
  • Toutes les transactions d'une valeur supérieure à 600 000 roubles doivent être déclarées à l'agence compétente
  • La technologie de l’IA est mise en œuvre aux frontières russes pour collecter des données
  • Membre d'Interpol et de diverses conventions fiscales impliquant le partage de données
  • Des lois contre les « fausses nouvelles » ont été récemment adoptées, mais beaucoup pensent qu’il s’agit simplement d’une tentative de censure. En outre, les médias indépendants sont évincés ou « mis sous contrôle » et les chaînes de télévision sont connues pour faire preuve de propagande, soulignant certaines des raisons pour lesquelles la Russie est classée 149ème au monde dans le Classement mondial de la liberté de la presse.

Encore une fois, il est difficile de trouver quoi que ce soit de constructif dans la « politique de confidentialité » de la Russie. Le jour même où la Cour européenne des droits de l'homme (CEDH) se prononçait contre la Russie, la Russie introduisait une nouvelle loi qui lui permet d'annuler les décisions rendues par la CEDH. Et bien que la Russie ait infligé une amende à Facebook pour non-respect de sa loi locale sur la confidentialité des données (qui oblige toutes les entreprises étrangères et nationales qui traitent, stockent ou accumulent des données de citoyens russes à stocker ces données sur un serveur en Russie), c'est on peut se demander dans quelle mesure cela est lié à la vie privée et dans quelle mesure cela est lié au contrôle des données.

Nous avons relativement bien noté la Russie en matière de surveillance des lieux de travail car des garanties sont en place et la Russie devrait, en théorie, appliquer l'affaire Barbulescu c. Roumanie (les employés doivent toujours être informés de la surveillance) parce qu'elle est membre de la CEDH. Cependant, comme indiqué ci-dessus, rien ne garantit que cela se produira.

Inde

Un certain nombre d’aspects préoccupants des lois et réglementations indiennes menacent la vie privée des citoyens, notamment :

  • Son projet de loi sur la protection des données n'est pas encore entré en vigueur et il n'existe pas d'autorité de protection des données, ce qui signifie que la protection de la vie privée est actuellement faible.
  • Le système d'identification Aadhaar donne aux citoyens un numéro d'identification unique et héberge également la plus grande base de données biométrique, qui contient 1,23 milliard de personnes.
  • Cette base de données contient également des informations telles que les achats, les comptes bancaires et les assurances.
  • Essayer d'amener WhatsApp à rendre les messages traçables en ajoutant une empreinte numérique à chaque message envoyé
  • La vidéosurveillance n'est pas réglementée et les lois sur la confidentialité qui s'y rapportent sont très vagues et sujettes à interprétation.
  • 10 agences gouvernementales ont récemment reçu l'autorisation de décrypter, surveiller et intercepter des données sur n'importe quel ordinateur (mais cela doit être approuvé par le ministre de l'Intérieur)
  • Si les fournisseurs de services ne parviennent pas à offrir des capacités d'interception, ils risquent une peine de prison pouvant aller jusqu'à sept ans.
  • Vous cherchez à installer une surveillance frontalière de haute technologie à certaines frontières
  • Partage fréquemment des informations avec les États-Unis et a conclu plusieurs traités d'entraide judiciaire avec différents pays.
  • Se classe au 140ème rang mondial selon l'Indice de la liberté de la presse avec 6 journalistes (au moins) tués en 2018

Ce qui est clair, c’est que les lois et les tribunaux indiens commencent à protéger la confidentialité des données. Par exemple, les tribunaux ont modifié la loi afin que les entreprises privées n’aient plus le droit de demander des numéros d’identification, et l’accès des agences gouvernementales à la base de données Aadhaar a été récemment retiré. La surveillance secrète sera également interdite lorsque la nouvelle loi sur la protection des données entrera en vigueur. Cependant, étant donné que les tactiques de surveillance et la biométrie vont déjà incroyablement loin, on peut se demander dans quelle mesure une loi changera les choses.

Thaïlande

  • Carte d'identité nationale avec empreintes digitales
  • La biométrie est largement utilisée et constitue une exigence dans de nombreuses activités quotidiennes. Par exemple, un contrôle biométrique doit être effectué pour acheter une carte SIM
  • La vidéosurveillance est largement utilisée et acceptée en Thaïlande. Mais une nouvelle loi exige que le propriétaire des données soit informé qu’il est surveillé.
  • Bien que la loi sur les enquêtes sur les cas spéciaux stipule qu'un juge en chef doit autoriser l'interception des communications, un coup d'État militaire en 2014 a permis à l'armée d'intercepter tous les messages en vertu de la loi martiale.
  • La loi sur la criminalité informatique permet aux agents du ministère de l'Économie et de la société numériques (MDES) de demander des documents et des données informatiques aux prestataires de services. Tout cela se fait sans mandat. Avec un mandat, ils peuvent demander beaucoup plus d'informations
  • La police thaïlandaise dispose d'une technologie qui lui permet d'accéder aux messages des forums de discussion, aux e-mails et aux SMS, mais cela doit être effectué sur décision d'un tribunal.
  • Les empreintes digitales sont collectées lorsque les personnes entrent dans le pays
  • Fait partie de nombreux accords internationaux de partage de données
  • Les nouvelles lois et la junte imposent des restrictions à la liberté d'expression en Thaïlande, et nombreux sont ceux qui pensent que la nouvelle loi sur la cybersécurité sera utilisée par le gouvernement pour faire taire les critiques.

La Thaïlande a récemment mis en œuvre la loi sur la protection des données personnelles (PDPA) le 28 mai 2019. On espère que cela créera la toute première loi thaïlandaise consolidée sur la protection des données, mais les gens bénéficient d'un délai de grâce d'un an pour s'adapter à ces nouvelles lois. Les politiques de surveillance du lieu de travail et de conservation des données devraient être améliorées. Un développement récent (qui s'est produit après l'étude) signifie également que les cafés thaïlandais sont obligés de créer un journal des données de navigation des clients pendant au moins 90 jours. Le gouvernement a suggéré que cela permettrait d'identifier les utilisateurs qui violent la loi thaïlandaise et créent des « fausses nouvelles ».

Malaisie

  • Appelle à une loi sur la protection de la vie privée plus approfondie qui couvre toutes les questions. À l'heure actuelle, seule la loi sur la protection des données personnelles de 2010 (PDPA) protège les données personnelles d'une personne concernée.
  • Cependant, les tribunaux ont été très proactifs dans l'application de cette loi, et l'agence de protection des données inspecte fréquemment les entreprises et propose des recommandations sur leurs pratiques en matière de données.
  • Une carte nationale d'identité (MyKad) est obligatoire à partir de 12 ans et contient des données biométriques (empreintes digitales). Elle stocke également les coordonnées bancaires, certaines informations de santé, peut être utilisée pour effectuer des achats et stocke les données jusqu'à 20 ans (la carte n'est cependant valable que 10 ans).
  • Pour les enfants jusqu'à 12 ans, MyKid contient des informations sur la religion des parents, des données de naissance, des informations sur la santé et des données sur l'éducation.
  • La technologie de reconnaissance faciale est également en plein essor, Grab Malaysia s'associant au ministère des Transports pour améliorer la sécurité des conducteurs et fournir des garanties contre la criminalité.
  • Peu de lois entourant l’utilisation de la technologie de reconnaissance faciale
  • Le partage de données nécessite un consentement écrit dans la plupart des cas, mais le gouvernement dispose d'une plateforme (MyGDX) qui facilite le partage de données entre agences intergouvernementales.
  • La vidéosurveillance est répandue en Malaisie et peu de garanties sont en place. Cependant, un « Guide de vidéosurveillance », qui n'est pas encore entré en vigueur, imposera quelques protections supplémentaires, par ex. informer les gens de la surveillance CCTV
  • Plusieurs violations de données importantes concernent des détails financiers et médicaux
  • Fondateur du Traité de l'ASEAN sur l'entraide judiciaire en matière pénale

L’introduction de la loi sur la protection des données en 2010 a apporté certaines améliorations à la confidentialité des données en Malaisie – mais, à mesure que la technologie progresse et que les temps changent, celles-ci doivent être mises à jour pour mieux protéger tous les types de données, y compris les données biométriques.

Les 5 derniers pays de l’UE

  1. Italie – 2.7 – Quelques sauvegardes/protection affaiblie
  2. Hongrie – 2.7 – Quelques sauvegardes/protection affaiblie
  3. Slovénie – 2.7 – Quelques sauvegardes/protection affaiblie
  4. Allemagne – 2,8 – Quelques sauvegardes/protection affaiblie
  5. Espagne – 2.9 – Quelques sauvegardes/protection affaiblie

Italie

L'Italie ne parvient pas à respecter la protection de la vie privée dans un certain nombre de domaines. Ceci comprend:

  • Une carte d'identité contenant des données biométriques
  • L'utilisation massive de la biométrie, notamment de la reconnaissance faciale, dans les aéroports, inquiète les citoyens.
  • Accords de partage de données dans le cadre du traité de Prüm et de l'accord de Schengen
  • Utilisation intensive de la vidéosurveillance (y compris avec reconnaissance faciale)
  • Longues durées de conservation des données (six ans pour les données de trafic Internet et téléphonique)
  • Il lui manque la liberté de la presse

L’organisme de régulation italien chargé de faire appliquer le RGPD, Garante, n’a pas été très actif. Cela pourrait être dû à un manque de violations de données ou cela peut indiquer un manque de mise en œuvre. Cependant, l'Italie a fait des efforts pour interdire la surveillance des lieux de travail.

Hongrie

  • N’a pas toujours protégé le droit à la vie privée de sa population, décidant même que les policiers n’avaient pas droit à leur droit à la vie privée parce que leur rôle en tant qu’agents du pouvoir public l’emportait sur ce droit.
  • La carte d'identité contient l'empreinte digitale du propriétaire
  • Les employeurs sont également autorisés à utiliser la biométrie dans certaines situations, par exemple pour empêcher tout accès non autorisé à des informations.
  • Construire une base de données de reconnaissance faciale à partir des photos d'identification de ses citoyens et touristes
  • Les agences gouvernementales peuvent récupérer les données des entreprises de télécommunications sans mandat
  • Fait partie du traité de Prüm et de l'accord de Schengen

Le RGPD contribue à apporter certaines améliorations en Hongrie, par exemple en contribuant à faire respecter les droits des personnes en matière d'images de vidéosurveillance et en protégeant les données dans leur ensemble grâce aux amendes infligées par l'Autorité nationale hongroise pour la protection des données et la liberté d'information.

Slovénie

Avec le plus grand nombre de violations des droits humains par habitant en Europe, la Slovénie est constamment surveillée pour voir si et comment elle améliore la protection de ses citoyens. Nous avons trouvé :

  • Bien que la Slovénie fasse partie de l’UE et que la loi RGPD s’applique, elle ne l’a pas mise en œuvre dans sa propre législation, ce qui laisse de grands points d’interrogation sur sa politique de protection des données.
  • Cela enlève également une partie de l'intégrité et de la force de son organisme de réglementation, le Commissaire à l'information (IC).
  • Il s'appuie sur la biométrie dans ses passeports
  • Cela fait partie du Traité de Prüm et de l’Accord de Schengen

Bien que le RGPD devrait, en théorie, améliorer la situation en Slovénie, certains rapports suggèrent qu'il n'est pas correctement mis en œuvre dans de nombreux pays de l'UE. Et comme la Slovénie manque de lois, c’est probablement le cas. De même, le projet de loi proposé par la Slovénie a été critiqué par beaucoup comme « dépassant » les limites mises en place par le RGPD.

Allemagne

Malgré le respect de la vie privée dans un certain nombre de domaines (données sensibles et mise en œuvre de la loi sur la protection des données, Bundesdatenschutzgesetz) et le rôle actif de sa conférence sur la protection des données, l'Allemagne laisse tomber ses citoyens dans un certain nombre de domaines. Ceux-ci inclus:

  • Son utilisation intensive de la biométrie, y compris dans une carte d'identité nationale
  • Être membre fondateur du Traité de Prüm et de l'Accord de Schengen
  • Son allocation de caméras de vidéosurveillance avec reconnaissance faciale
  • Directives controversées sur la conservation des données
  • Manque de protection de la vie privée des journalistes
  • Censure lourde des publications sur les réseaux sociaux par le biais de lois sur les « discours de haine »

Espagne

Une fois de plus, l’autorité espagnole de protection des données, l’Agencia Española de Protección de Datos (AEPD), a été efficace dans la mise en œuvre des lois RGPD, en infligeant une amende de 250 000 € à la Liga pour violation de la vie privée. Cependant, les droits à la vie privée de ses citoyens sont considérablement réduits en raison de :

  • Son utilisation croissante de la biométrie (et son acceptation générale)
  • Carte d'identité contenant des données biométriques
  • Elle est membre fondateur du Traité de Prüm, de l'Accord de Schengen et des accords de partage de données fiscales.
  • Ses politiques de conservation des données de communication ont suscité de nombreuses critiques (12 mois après la communication mais cette durée peut être étendue à 2 ans)
  • Une loi bâillon sur les journalistes

Top 5 des pays hors UE

  • Norvège – 3.1 – Sauvegardes adéquates
  • Afrique du Sud – 3.0 – Quelques sauvegardes/protection affaiblie
  • Suisse – 3.0 – Quelques sauvegardes/protection affaiblie
  • Argentine – 3.0 – Quelques sauvegardes/protection affaiblie
  • Canada – 3.0 – Quelques sauvegardes/protection affaiblie

Norvège

En tant que seul pays tiers à disposer de « garanties adéquates », la Norvège réussit à :

  • Mise en œuvre des lois RGPD
  • Des amendes aux entreprises qui ne protègent pas les données (la municipalité de Bergen a été condamnée à une amende de 170 000 € pour avoir enfreint les lois RGPD en laissant librement accessibles 35 000 noms d'utilisateur et mots de passe d'élèves et d'employés d'écoles primaires)
  • Protéger la liberté d’expression (elle est classée numéro un dans le Classement mondial de la liberté de la presse et ce depuis trois ans)
  • Offre une protection supplémentaire de la vie privée pour certains travaux, par ex. avocats et médecins

La biométrie laisse tomber la Norvège. Il envisage de les introduire dans les cartes d’identité en 2020 et les forces de l’ordre ont accès aux données biométriques. La Norvège est également membre de l'accord de Schengen et de certaines parties du traité de Prüm.

Afrique du Sud

  • Le droit à la vie privée est protégé par la Cour constitutionnelle
  • Affaire historique dans laquelle une interception massive par le Centre national de communications a été déclarée illégale par la Haute Cour (amaBhungane Center contre Ministre de la Justice)
  • Limites du partage de données, même entre agences d’un même secteur
  • Ne fait partie d’aucun traité international invasif (mais il est impliqué dans des accords de partage fiscal)

L'Afrique du Sud est en train d'introduire un régulateur de l'information et une loi sur la protection des informations personnelles (POPIA), qui contribueront à renforcer davantage le droit à la vie privée. Mais comme ces mesures ne sont pas encore pleinement mises en place, cela crée des zones d’ombre. La biométrie est également en plein essor et la nouvelle carte d'identité sud-africaine contient des empreintes digitales.

Suisse

  • Faire respecter activement le droit à la vie privée grâce à la loi fédérale sur la protection des données (qui doit être mise à jour en 2020)
  • Selon certaines rumeurs, son agence de protection des données, le Préposé fédéral à la protection des données et à l'information (PFPDR), serait le régulateur que Facebook souhaite gérer sa crypto-monnaie, Libra.
  • Pas de carte d'identité obligatoire avec biométrie
  • Liberté d'expression et liberté des médias

Même si la Suisse a été pendant de nombreuses années un « paradis fiscal », elle lutte désormais contre ce phénomène en partageant les informations fiscales avec d’autres pays. Elle fait également partie de l'accord de Schengen et a signé un accord avec les États membres de la décision Prüm afin qu'ils puissent partager des données. La Suisse autorise également la surveillance du lieu de travail sans autorisation, à condition que l'employé soit informé.

Argentine

  • Essayer activement d'améliorer la confidentialité des données et de suivre les autres lois (c'est-à-dire le RGPD) et les avancées technologiques
  • Garanties adéquates pour les zones de surveillance et de contrôle des lieux de travail
  • Des mandats sont requis pour que les communications soient interceptées

La carte d’identité obligatoire de l’Argentine contient des données biométriques. La biométrie est largement mise en œuvre et acceptée dans l’ensemble. La loi sur la protection des données a besoin d'être mise à jour, notamment en ce qui concerne les lois sur la conservation des données (il n'y a pas de lignes directrices claires en tant que telles, ce qui la laisse très ouverte à l'interprétation). L'Argentine partage également activement des informations personnelles avec d'autres pays

Canada

  • 28 lois différentes protégeant la confidentialité des données dans les secteurs privé, public et de la santé
  • Garanties adéquates pour les zones de surveillance et de contrôle des lieux de travail
  • Des lois sur la conservation des données très similaires au RGPD

L’organisme de réglementation du Canada, le Commissariat à la protection de la vie privée du Canada, est critiqué pour son manque d’autorité, mais des discussions sont en cours pour améliorer ses pouvoirs afin qu’il puisse imposer des amendes. La biométrie est en plein essor, les empreintes digitales étant désormais obligatoires pour les personnes demandant certains types de visa. Le partage de données constitue également un problème en raison des accords que le Canada a conclus avec d'autres pays (environ 17). Et le Canada a récemment statué contre un journaliste, lui exigeant de révéler une source.

Top 5 des pays de l'UE

En raison de la récente mise en œuvre des lois RGPD, il n’y a pas beaucoup de différence dans les scores des pays de l’UE. Ce qui tend à les différencier, ce sont leurs accords de partage de données avec d’autres pays, leur liberté d’expression, leur utilisation de la biométrie et d’autres règles et réglementations spécifiques à chaque pays.

  1. Irlande – 3.2 – Garanties adéquates
  2. France – 3.1 – Garanties adéquates
  3. Portugal – 3.1 – Sauvegardes adéquates
  4. Danemark – 3.1 – Garanties adéquates
  5. Malte – 3.0 – Quelques sauvegardes/protection affaiblie

Irlande

L'Irlande arrive en tête de liste en matière de protection de la vie privée et de surveillance pour les raisons suivantes :

  • Le rôle actif que joue la Commission irlandaise de protection des données dans la protection de la vie privée (18 enquêtes en cours sur des entreprises technologiques américaines, par exemple)
  • Sa résistance à la biométrie sur les cartes d'identité, bien qu'il s'agisse d'un règlement européen
  • Il ne fait pas partie des accords invasifs de partage de données, comme le traité de Prüm ou l'accord de Schengen.
  • Un rôle actif dans l’annulation de la directive européenne sur la conservation des données en raison de sa violation de la vie privée et des droits de l’homme
  • Sa clause de non-participation pour les lois de l'UE

Les catégories qui ont laissé tomber l’Irlande étaient l’affaiblissement de la protection des données sensibles (c’est-à-dire plusieurs violations de données dans le secteur médical), le subventionnement de la vidéosurveillance et la menace pour la liberté de la presse due à la concentration de la propriété des médias.

France

Juste derrière l’Irlande se trouve la France, qui a obtenu de bons résultats grâce à :

  • Son régulateur des données, la Commission Nationale de l'Informatique et des Libertés (CNIL), a réussi à faire appliquer les lois RGPD en infligeant une amende de 50 millions d'euros à Google parce qu'il n'a pas obtenu le consentement approprié des utilisateurs pour la personnalisation de ses publicités (il a utilisé des cases pré-cochées)
  • La CNIL proactiveavantla mise en œuvre du RGPD, infligeant une amende de 400 000 € à Uber pour sa violation de données
  • Aucune biométrie requise pour la carte d'identité française obligatoire
  • La CNIL débat activement et empêche l'utilisation de la biométrie dans d'autres domaines, par ex. sur le lieu de travail
  • L’exigence d’une évaluation d’impact sur la protection des données (DIPA) avant l’installation d’une surveillance pour un contrôle public à grande échelle

Cependant, la France est membre du traité de Prüm et de l'accord de Schengen. Il existe également un partage actif de données en France. Par exemple, les transactions suspectes doivent être signalées dans le cadre des lois anti-blanchiment d'argent. Les données de communication sont conservées pendant un an.

le Portugal

Le Portugal figure également parmi les trois premiers grâce à :

  • Son régulateur, la Commission nationale de protection des données (CNPD), applique activement le RGPD
  • Sa récente amende de 400 000 € infligée à un hôpital pour diverses violations de données – l'une des plus lourdes amendes RGPD à ce jour
  • Les bases de données biométriques interdites
  • Sa restriction et sa réglementation de l'utilisation de la vidéosurveillance
  • A un historique de protection de la vie privée des employés par le biais de la législation nationale

Le Portugal a été l'un des derniers pays européens à mettre en œuvre la loi RGPD (un an et trois mois après son entrée en vigueur). Elle est également membre du Traité de Prüm mais, en raison de l’absence de base de données ADN (moins de 0,1 % de ses citoyens y figurent), elle ne partage pas beaucoup d’informations et ne partage des données qu’avec certains pays. Cela dit, elle est également membre de l'accord de Schengen et les données sont également régulièrement partagées en interne, par exemple dans le cadre des lois anti-blanchiment d'argent.

Danemark

Le Danemark obtient la note de « garanties adéquates » pour les raisons suivantes :

  • Le rôle actif de l'agence danoise de protection des données, la Datatilsynet (DPA), depuis la mise en œuvre du RGPD
  • Son succès général dans la mise en œuvre du RGPD dans une gamme de catégories
  • La carte d'identité danoise ne contenant pas de données biométriques
  • Son accord de non-participation avec les lois de l'UE
  • La protection de la liberté d’expression

Pourtant, il existe une acceptation inquiétante de la biométrie et des caméras de vidéosurveillance au Danemark, ce qui pourrait permettre un dérapage des contrôles de confidentialité. Le partage de données, tant au Danemark qu'avec d'autres pays (dans le cadre de l'accord de Schengen), fait également baisser le score, tout comme les requêtes sur la conservation des données (données de localisation des téléphones mobiles).

Malte

Bien que Malte figure dans le top 5, elle se situe également dans une catégorie inférieure à celle des quatre autres pays de l'UE. Il a reçu la note « quelques garanties mais protections affaiblies » en raison de :

  • Les tribunaux se sont prononcés en faveur du respect de la vie privée lorsqu'il s'agit de courtes périodes de conservation des données (cas de Maltapost PLC contre le commissaire à l'information et à la protection des données)
  • Son autorité de protection des données, le Commissaire à l'information et à la protection des données (IDPC), travaille de manière proactive pour faire respecter le RGPD et les amendes.
  • La carte d'identité maltaise ne contient pas de données biométriques
  • L'IDPC nécessite une notification avant l'installation de CCTV

Malte est cependant membre du Traité de Prüm et de l'Accord de Schengen et dispose de protections affaiblies en matière d'interception de communications et de données sensibles. Il souffre également d’un échec systémique dans le respect des garanties lorsqu’il s’agit de questions démocratiques telles que la liberté de la presse (la majorité des sources médiatiques appartiennent à des politiciens).

Où se situent les États-Unis et le Royaume-Uni ?

États-Unis

Les États-Unis occupent la septième place du bas de notre classement des pays hors UE. Cela est dû à:

  • La biométrie est de plus en plus utilisée avec le programme de sortie biométrique qui devrait être mis en place d'ici quatre ans et traiter 97 % des personnes qui quittent les États-Unis.
  • Les tribunaux statuent de différentes manières en matière de biométrie. Il y a plusieurs débats sur des sujets tels que la question de savoir si la police pourrait vous demander de déverrouiller votre téléphone avec votre empreinte digitale.
  • Création d'une base de données d'informations biométriques contenant des images faciales numériques et les 10 empreintes digitales de plus de 200 millions de personnes qui ont tenté d'entrer, sont entrées ou sont sorties des États-Unis.
  • Les entreprises privées peuvent définir leurs propres lignes directrices en matière de traitement des données personnelles
  • Il n'existe aucune loi fédérale concernant l'utilisation de la vidéosurveillance, ce qui signifie que son utilisation varie considérablement d'un État à l'autre. Par exemple, certains États incluent une garantie interdisant l'utilisation de la vidéosurveillance dans les zones où les gens s'attendent à une certaine intimité, par ex. vestiaires, mais certains ne le font pas
  • Seuls deux États exigent que les entreprises informent leurs salariés de la surveillance des lieux de travail
  • De nombreuses violations de données dans tous les secteurs
  • Fait partie de nombreux accords internationaux de partage de données
  • La loi CLOUD (Clarifying Lawful Overseas Use of Data) a récemment été créée, qui permet aux forces de l'ordre des pays coopérants de demander des données directement aux fournisseurs de services plutôt que de devoir passer par le gouvernement.

Aux États-Unis, la protection des données est régie par plusieurs lois sectorielles et les lois diffèrent également selon les États. Cela peut entraîner une certaine confusion et incohérence, et laisser d’énormes lacunes dans certaines régions/États. Néanmoins, certains organes directeurs s’efforcent activement de préserver la confidentialité des données. Par exemple, la Federal Trade Commission (FTC) a récemment infligé une amende de 5 milliards de dollars à Facebook pour violation de la vie privée.

Royaume-Uni

À l'heure actuelle, le Royaume-Uni est régi par les lois du RGPD, mais a également mis en œuvre sa propre loi sur la protection des données, qui restera en vigueur après le Brexit.

  • L'organisme directeur, l'Information Commissioner's Office (ICO), a déjà infligé un certain nombre d'amendes, dont une de 183 millions de livres sterling à British Airways pour violation des données de ses clients et une de 99 millions de livres sterling à la chaîne hôtelière Marriott pour avoir divulgué les dossiers de 399 millions de clients.
  • Le Royaume-Uni ne fait pas partie de la décision Prüm (mais a demandé à y être et est impliqué dans certaines parties de celle-ci – voir ci-dessous) ou de l'accord de Schengen.
  • Certaines garanties sont en place pour l'utilisation de la vidéosurveillance (c'est-à-dire que les entreprises doivent informer l'ICO pourquoi elles utilisent la vidéosurveillance et doivent dire aux personnes qu'elles sont enregistrées), l'interception des communications (des mandats sont requis) et l'accès du gouvernement aux données (là encore, des mandats sont souvent requis. )
  • A des accords de non-participation avec les lois de l'UE

Malgré certaines de ces garanties, le Royaume-Uni s’oriente vers davantage de biométrie et de vidéosurveillance, et pourrait s’impliquer dans d’autres traités internationaux après le Brexit. Il a récemment rejoint le cadre Prüm DNA, qui permet aux forces de l’ordre de partager des profils ADN et des empreintes digitales, donnant ainsi aux États membres l’accès à la base de données britannique de plus de 5 millions de personnes. La surveillance du lieu de travail est également acceptée (si les employeurs peuvent justifier leurs raisons de le faire) et il y a eu des cas d'employés licenciés pour des propos qu'ils ont tenus sur les réseaux sociaux.

À quoi ressemblent les choses dans leur ensemble

Si nous fusionnions les classements des pays de l’UE et des pays tiers, le classement ne serait pas très différent de celui de l’UE. Tout ce qui changerait serait que la Norvège prenne la deuxième place, poussant Malte hors du top cinq.

Ce qui est intéressant avec ces cinq premiers (les seuls à recevoir une note « adéquate »), c’est qu’ils sont tous régis par les lois RGPD. Ainsi, même s’il existe encore une énorme marge d’amélioration dans tous les pays, les lois RGPD semblent les encourager à aller dans la bonne direction.

Slovénie, Australie, Chine, Suède, Singapour, Pays-Bas, Luxembourg, Hongrie, Italie, MalaisieChine, Grèce, Slovénie, Finlande, Malaisie, Estonie, Inde, Hongrie, Portugal, RussieInde, Thaïlande, Brésil, Slovénie, Russie, Slovaquie, Chine, Islande, Japon, FinlandeChine, Inde, Japon, Chypre, Hongrie, Allemagne, Malaisie, Estonie, Italie, ThaïlandeRussie, Chine, Hongrie, Inde, Luxembourg, Malaisie, Belgique, Espagne, Slovénie, CanadaChine, Russie, Philippines, Brésil, Inde, Malaisie, Allemagne, Thaïlande, Italie, HongrieChine, Russie, Inde, Thaïlande, Singapour, Australie, Hongrie, Finlande, Allemagne, LuxembourgChine, Inde, Taïwan, Thaïlande, Singapour, Australie, États-Unis, Philippines, Russie, HongrieRussie, Chine, Finlande, Thaïlande, Pologne, Inde, Luxembourg, Singapour, Roumanie, AustralieChine, Russie, Italie, Estonie, États-Unis, Allemagne, Taiwan, Slovénie, Pologne, IndeÉtats-Unis, Suède, Malaisie, Grèce, Chine, Russie, Singapour, Pays-Bas, Irlande, IndeChine, Russie, Allemagne, Slovénie, Malaisie, Espagne, Nouvelle-Zélande, Thaïlande, Canada, IsraëlChine, Russie, Slovénie, Roumanie, Autriche, Suède, Italie, Inde, Nouvelle-Zélande, États-UnisChine, Russie, Thaïlande, Brésil, Autriche, Inde, Slovaquie, Bulgarie, Malte, Israël

Méthodologie

Chaque pays a reçu une note par catégorie basée sur un certain nombre de critères (énumérés ci-dessous). Ensuite, pour obtenir une note globale, nous avons additionné le total de ces notes avant de le diviser par 14 (le nombre de catégories au total).

Protection constitutionnelle

  • Existe-t-il une constitution et protège-t-elle la vie privée ?
  • La Cour constitutionnelle se prononce-t-elle sur la protection de la vie privée ? Si oui, a-t-il l’habitude de fournir ces protections ?
  • Le pays est-il membre de l’UE (le RGPD joue un rôle clé) ?

Protection statutaire

  • Existe-t-il des lois en place qui protègent la vie privée des personnes contre les entreprises et les gouvernements ?
  • Existe-t-il des lois sectorielles ? Par exemple, les lois anti-blanchiment d’argent ou les lois médicales.
  • Ces lois parviennent-elles à protéger la vie privée ?

Application de la confidentialité

  • Existe-t-il un organisme de réglementation, par ex. une autorité de protection des données, qui a le pouvoir d'enquêter sur les cas de confidentialité ?
  • Sont-ils proactifs pour ce faire ? Y a-t-il des cas qui ont été portés devant les tribunaux/systèmes juridiques ?

Cartes d'identité et biométrie

  • Le pays possède-t-il une carte d'identité nationale ? Est-ce que cela a des données biométriques ?
  • La biométrie est-elle courante ? Sont-ils utilisés pour préserver la vie privée ou pour la surveillance ?
  • Existe-t-il un débat sur la protection de la vie privée dans le pays concernant cette utilisation de la biométrie ? Ou êtes-vous plus satisfait de la technologie ?

Partage de données

  • Existe-t-il des lois pour empêcher l’utilisation secondaire des données ?
  • Le gouvernement partage-t-il des données personnelles entre ses agences ?
  • Les entreprises doivent-elles transmettre des données personnelles au gouvernement ?

Surveillance visuelle

  • Quelle est la prévalence de la vidéosurveillance dans les secteurs public et privé ?
  • Les caméras de vidéosurveillance sont-elles réglementées ?
  • Y a-t-il un débat autour de l’utilisation de la vidéosurveillance ?

Interception des communications

  • Existe-t-il des lois qui empêchent les abus ?
  • Quand les forces de l’ordre peuvent-elles intercepter des communications, c’est-à-dire avec un mandat, en cas de doute raisonnable, etc. ?
  • Quels types d’enquêtes peuvent aboutir à des interceptions de communications ?
  • Qui autorise leur accès, le cas échéant ?
  • Les fournisseurs de télécommunications sont-ils censés autoriser les capacités d’interception ?

Surveillance du lieu de travail

  • Existe-t-il des lois qui empêchent les abus ?
  • Existe-t-il des voies/cas juridiques ?
  • Les entreprises reçoivent-elles des directives adéquates à suivre ?

Accès du gouvernement aux données

  • Quels sont les régimes de mandats ? Par exemple, peuvent-ils pénétrer dans une propriété sans mandat ?
  • Comment les forces de l’ordre accèdent-elles aux bases de données du secteur privé ?
  • De quels pouvoirs disposent les différentes agences pour accéder aux données ?

Conservation des données de communication

  • Les fournisseurs de télécommunications doivent-ils conserver les données pendant une période de temps déterminée ? Si oui, combien de temps ?
  • Existe-t-il des considérations pour différents types de données et dans quelle mesure les périodes de conservation peuvent différer ?

Surveillance des mouvements, des finances et des données médicales

  • Bien que ces données soient sensibles, sont-elles suffisamment protégées ?
  • Existe-t-il des lois qui permettent la surveillance de ces types de données ? Par exemple. lois anti-blanchiment d’argent.
  • Y a-t-il eu des violations de données impliquant ce type de données ?

Problèmes de frontière

  • Le pays dispose-t-il de la biométrie à ses frontières ?
  • Le pays coopère-t-il avec d’autres pays en matière d’application de la loi et de surveillance ?

Direction

  • Le gouvernement est-il partie à des traités anti-vie privée ? Par exemple, Five Eyes ou le Traité de Prüm ?
  • Quelles données le gouvernement partage-t-il avec d’autres pays ?

Garanties démocratiques

  • Y a-t-il une liberté d'expression dans le pays ?
  • Existe-t-il des protections pour les journalistes ?

Sources

Pour le rapport, les sources et les scores de chaque pays, veuillez consulter cette feuille de calcul : https://docs.google.com/spreadsheets/d/1uPCfyzwT2b47oX0kcYg3kn3V4H6IWUikp4jMOVUWmJA/edit?usp=sharing

^