L'encadrement juridique du traitement des données personnelles sur les sites de commerce en ligne

"Thèse en vue de l'obtention du grade de docteur en droit de l'Université Panthéon-Assas (Paris II) et de docteur en droit de la faculté de droit de l'Université de Montréal en droit privé"

Dans un environnement électronique tel qu'Internet, les relations s'établissant entre les entreprises en ligne et les internautes doivent se dérouler dans un climat de confiance. Cette considération, particulièrement importante eu égard au traitement des données personnelles, doit conduire les commerçants électroniques à respecter un certain nombre de principes en la matière. Ces principes sont relatifs au consentement, à la collecte, à l'utilisation, à la communication, à la sécurité, à l'exactitude (droit d'accès et de rectification), et à la destruction. Ils sont énoncés en termes généraux dans des instruments de nature législative, comme les Lignes directrices de l'OCDE, la Convention 108 du Conseil de l'Europe, la Directive 95/46/CE du Parlement européen et du conseil, la Loi Informatique et Libertés, la Loi sur le secteur privé, la Loi C-6. Cependant, compte tenu de la dimension transfrontalière du réseau, ces protections ne suffisent pas à elles seules à instaurer un climat de confiance, leur application étant limitée dans l'espace. Par conséquent, et pour tenir compte de la logique actuelle, il convient de reconnaître l'émergence de nouvelles normes susceptibles d'encadrer les renseignements personnels qui circulent sur les sites de commerce en ligne. Des garanties complémentaires de nature autoréglementaire se développent donc sous la forme de politiques de confidentialité, de labels de qualité ou de standards comme le Platform for Privacy Preferences. Toutefois, la logique sous-jacente de ces garanties soulève des questions quant à leur effectivité et à leur contrôle tant par des autorités publiques que par des associations privées.

In an electronic environment such as Internet, relationships between on-line companies and web users must proceed in a c1imate of trust. This consideration, particularly significant in regard to the processing of personal data, must bring the cyber merchant to respect a number ofprinciples from which trust can emerge. These principles pertain to consent, collection, use, disclosure, safety, accuracy (access and correction rights), and destruction of personal data. They are expressed in general terms in legislative instruments such as the OECD Guidelines on Privacy, the Council of Europe Convention 108, the European Parliament and of the Council Directive 95/46/CE, the Loi Informatique et Libertés, the Loi sur le secteur privé and the Act C-6. However, taking into account the transborder nature of Internet data exchanges, these protections alone are not enough to create a c1imate of trust, their application being limited in space. Consequently, and to take in account CUITent legal protections, it is possible to acknowledge the development of new standards to manage the movements of personal data on commercial web sites. Guarantees like privacy policies, seals or standards like Platform for Privacy Preferences are developed to complement legislative instruments. However, the underlying logic of these guarantees raises questions regarding their effectivity and the control public and private authorities may assert over them.