339 FOIA Affected by Budget Constraints, FOIA Update, vol 11, No 1, Winter 1990, Office of Information
4.1.2 The Privacy Act
4.1.2.1 Champ d’application du Privacy Act
Cette loi permet au citoyen de savoir comment les données sont collectées, conservées, traitées et divulguées par l’administration américaine. Elle permet également au citoyen d’avoir accès à ses données personnelles qui sont détenues par l’administration et d’avoir un droit de rectification de ces mêmes données s’il s’avère qu’elles sont erronées359. Cette loi est caractérisée comme un « code of
fair information practices »360.
Cette législation s’applique à toutes les informations personnelles détenues par l’administration américaine ou par un organisme mandaté par l’administration. Plus précisément, le PA reprend la définition de l’agence telle que définie dans le FOIA361. Le « Privacy Act » s’applique donc à toute « agence » fédérale sauf à la Maison blanche. Contrairement au « Freedom of Information Act », seuls les citoyens américains ou les résidents permanents aux Etats Unis ont la possibilité de se prévaloir des droits que leur confère le « Privacy Act »362. Les personnes morales ne peuvent s’en prévaloir363.
359 HAMMITT, Harry, SOBEL, David, ZAID Mark, Litigation Under the Federal Open Governement Laws
2002, EPIC publications, Washington, 2002, p. 316 et ss.
360 Overview Of The Privacy Act Of 1974, Introduction, 2002 edition.
(http://www.usdoj.gov/04foia/1974intro.htm).
361 HAMMITT, Harry, SOBEL, David, ZAID Mark, Litigation Under the Federal Open Governement Laws
2002, EPIC publications, Washington, 2002, p. 310 et Overview Of The Privacy Act Of 1974, Definition, 2002 edition. (http://www.usdoj.gov/04foia/1974definitions.htm).
362 A citizen’s guide on using the freedom of information act and the privacy act of 1974 to request
government records, First report by the committee on government reform, H. Rept. 107-371, 107th Cong., 2d session, U.S Government printing office, Washington D.C , 2002, p. 22 et 5 U.S.C § 552a(a)(2).
363 Overview Of The Privacy Act Of 1974, Definition, 2002 edition.
l’épreuve du droit
Le « Privacy Act » s’applique aux données personnelles, c’est-à-dire à toutes informations détenues par l’administration fédérale364, qui se rapportent à une personne identifiée ou identifiable et qui contiennent le nom de l’individu ou tous autres identifiants spécifiques comme une date ou des empreintes digitales, vocales, photographies et qui peuvent être utilisée pour identifier quelqu’un365. Ces données doivent également être contenues dans un « system of record » que l’on pourrait traduire comme un « fichier » au sens de loi fédérale suisse sur la protection des données366, mais dont l’idée est mieux exprimée par le terme de « base de données », c’est-à-dire un ensemble de données personnelles dont la structure permet l’extraction des informations par le biais du nom, du numéro de sécurité sociale ou autres identifiants assignés à une personne367.
Dès lors, il existe des données personnelles qui ne sont pas formellement détenues dans un fichier ou une base de données et qui ne sont donc pas soumis au « Privacy Act ». Cependant, le citoyen peut tout de même y avoir accès en utilisant le FOIA368.
Ce fichier doit être maintenu par l’administration elle-même, ou doit être sous sa responsabilité369. Cela permet de différencier les données personnelles qui sont détenues par les fonctionnaires à titre personnel, et qui ne sont donc pas soumises au « Privacy Act » à l’instar des données détenues par l’unité administrative en tant que telle.
364 5 U.S.C § 552a(a)(4).
365 OMB Guidelines, 40 Fed. Reg. 28952.
366 Article 3 de la loi fédérale sur la protection des données du 19 juin 2002. 367 5 U.S.C § 552a(a)(5).
368 A citizen’s guide on using the freedom of information act and the privacy act of 1974 to request
government records, First report by the committee on government reform, H. Rept. 107-371, 107th Cong., 2d session, U.S Government printing office, Washington D.C , 2002, p. 22 et 23.
369 HAMMITT, Harry, SOBEL, David, ZAID Mark, Litigation Under the Federal Open Governement Laws
l’épreuve du droit
Enfin, pour que le « Privacy Act » s’applique aux données personnelles qui sont détenues dans une base de données, il faut encore qu’il y ait extraction effective des données par l’administration dans le cadre de son action quotidienne et non pas uniquement une possibilité d’extraction théorique370. Dans le même ordre d’idée, il faut également faire la distinction entre la finalité de la construction de la base de donnée. En effet, il n’est pas douteux qu’une base de données construite dans des buts d’investigations est plus susceptible d’être soumise au « Privacy Act » que celle qui est construite pour répondre à des considérations administratives comme une liste de diffusion371.
Cependant ce texte de loi établit, entre autres, 4 obligations pour l’administration fédérale372 :
1. Chaque unité administrative détenant un fichier doit mettre en place une procédure permettant à quiconque d’avoir accès à ses données et d’en obtenir une copie. Elle doit également permettre à la personne concernée de rectifier les données si elles sont imprécises, inutiles, inopportunes ou incomplètes.
2. Chaque service détenant un fichier a l’obligation de publier un index de ces fichiers avec la description complète de la politique de maintien des données, ainsi que la pratique usitée dans le service concernant les fichiers.
370 OMB Guidelines, 40 Fed. Reg. 28952 et Overview Of The Privacy Act Of 1974, Definition, 2002 edition.
(http://www.usdoj.gov/04foia/1974definitions.htm).
371 Overview Of The Privacy Act Of 1974, Definition, 2002 edition.
(http://www.usdoj.gov/04foia/1974definitions.htm) & Henke v. Departement of Commerce, 83 F.3d 1453.
372 5 U.S.C. § 552a(e)(1)(2)(3)(4) et Overview Of The Privacy Act Of 1974, Agency Requirements, 2002
l’épreuve du droit
3. Les services ont l’obligation de maintenir à jour leurs données. Ils doivent faire un effort raisonnable dans leurs actualisations. En outre, il est interdit de constituer des fichiers sur les droits garantis par le premier amendement de la constitution des Etats-Unis373.
4. Les données personnelles récoltées pour un motif précis ne peuvent être utilisées pour un autre motif sans l’accord de la personne concernée ou sans l’en avoir informée. Chaque service doit être en possession d’une liste des informations qu’il a divulgué.
Ce texte de loi, en plus d’imposer ces 4 obligations générales à l’administration fédérale, met également en place une procédure permettant à chaque personne de faire respecter ses droits. En l’occurrence, des sanctions pénales sont prévues à l’encontre des fonctionnaires qui transgresseraient les obligations se trouvant dans le « Privacy Act »374. L’unité administrative a l’obligation de tenir à jour un fichier contenant la date, la nature et la raison de la diffusion des données ainsi que les coordonnées des destinataires de l’information375, sauf si la diffusion du document s’est faite dans le cadre du FOIA376 ou bien si c’est un transfert de données entre unités administratives377. Dans un dernier souci de transparence, ce fichier est accessible, sur demande, afin de voir l’état de situation de diffusion de ses données personnelles378.
373 5 U.S.C. § 552a(e)(7). Le premier amendement prescrit que : « Le congrès ne fera aucune loi qui touche
l’établissement ou interdise le libre exercice d’une religion, ni qui restreigne la liberté de parole ou de la presse, ou le droit qu’à le peuple de s’assembler paisiblement et d’adresser des pétitions au gouvernement pour la réparation des torts dont il a à se plaindre. » & aussi Albright v. United States, 631 F.2d 915.
374 A citizen’s guide on using the freedom of information act and the privacy act of 1974 to request
government records, First report by the committee on government reform, H. Rept. 107-371, 107th Cong., 2d session, U.S Government printing office, Washington D.C , 2002, p. 23.
375 5 U.S.C. § 552a(c)(1). 376 5 U.S.C. § 552a(b)(2). 377 5 U.S.C. § 552a(b)(1). 378 5 U.S.C. § 552a(c)(3).
l’épreuve du droit
En 1988, une modification de la loi a été adoptée concernant le croisement des données entre les différents services de l’administration fédérale. Cet amendement dénommé « Computer Matching and Privacy Protection Act »379 autorise le croisement des données que sous certaines conditions380.
4.1.2.2
Modalités du droit d’accès et procédure
Avant d’aborder le sujet des modalités d’accès et des procédures qui y sont afférentes, il convient de préciser la règle essentielle en termes de diffusion d’informations personnelles. En effet, la règle de base qui doit être suivie par toute l’administration fédérale est de ne pas diffuser d’informations à des tiers sans le consentement explicite381 du titulaire des données personnelles382. Nous verrons plus bas que cette disposition entraîne incidemment des formalités supplémentaires dans la procédure d’accès à ses données personnelles. Nous devons toutefois mentionner une exception à cette règle qui est l’échange de données au sein de l’agence pour des raisons de traitements de données. Dans
379 P.L. 100-503, H. Rep. No. 802, 100th
Cong. 2d session (house committee on government operations).
380 Nous ne développerons pas plus avant les conditions prévues par cette loi mais pour plus d’information sur
le sujet, le lecteur pourra lire A citizen’s guide on using the freedom of information act and the privacy act of 1974 to request government records, First report by the committee on government reform, H. Rept. 107-371, 107th Cong., 2d session, U.S Government printing office, Washington D.C , 2002.
381 Pour les discussions concernant la problématique du consentement explicite d’une personne, c’est-à-dire, ce
qui peut être compris comme un consentement explicite ou implicite ainsi que la teneur du consentement et de son spectre pour une utilisation annexe des données, nous recommandons au lecteur de lire le Overview Of The Privacy Act Of 1974, Conditions of disclosure to third parties, 2002 edition et les directives de l’Office of Management and Budget concernant cette aspect dont la référence est 40 Fed. Reg. 28, 954.
382 5 U.S.C. §552(a)(b) et Overview Of The Privacy Act Of 1974, Conditions of disclosure to third parties,
l’épreuve du droit
ce cas particulier, la diffusion « intra-agence » est admise sans consentement explicite du titulaire des données personnelles383.
En principe, chaque personne a accès à ses données personnelles384. Le demandeur doit tout d’abord identifier le service qui est censé détenir les données qui le concernent puis faire le demande d’accès. La demande doit être adressée soit directement au maître du fichier, soit au responsable s’occupant des demandes d’accès aux documents385.
Comme pour le FOIA, certaines conditions formelles doivent être respectées lors de la demande. Le demandeur doit alors inscrire sur la lettre qu’il envoie qu’il s’agit d’une demande faite sous le couvert du « Privacy Act ». En deuxième lieu, il doit donner ses coordonnées personnelles ainsi que signer formellement sa demande386. Finalement le requérant doit décrire au mieux les informations recherchées. Ici, la description peut se résumer à demander toutes les informations qui le concernent directement387. L’administration devra toujours prendre soin de vérifier l’identité du demandeur afin de ne pas diffuser des documents à un tiers, et partant, afin d’éviter des sanctions pénales388.
383 5 U.S.C. § 552a(b)(1) et Overview Of The Privacy Act Of 1974, Conditions of disclosure to third parties,
2002 edition. (http://www.usdoj.gov/04foia/1974condis.htm).
384 5 U.S.C. § 552a(d)(1).
385 A citizen’s guide on using the freedom of information act and the privacy act of 1974 to request
government records, First report by the committee on government reform, H. Rept. 107-371, 107th Cong., 2d session, U.S Government printing office, Washington D.C , 2002, p. 26.
386 Dans un souci de ne pas divulguer des informations à tout un chacun sans contrôle, les services de
l’administration peuvent demander au requérant la preuve de son identité par le biais d’une signature dûment légalisée par un notaire ou par un document ad hoc.
387 A citizen’s guide on using the freedom of information act and the privacy act of 1974 to request
government records, First report by the committee on government reform, H. Rept. 107-371, 107th Cong., 2d session, U.S Government printing office, Washington D.C , 2002, p. 26.
l’épreuve du droit
Notons que généralement cette demande faite sous le couvert du « Privacy Act » se complète d’une demande d’accès aux documents FOIA, ceci afin d’élargir le spectre de la recherche et de l’accès aux documents détenus par l’administration. C’est d’ailleurs une solution qui est mise en avant par l’administration elle-même et qui a été plusieurs fois approuvée par la cour suprême389.
C’est dans cette possibilité de démarche que la philosophie de transparence de l’Etat et de son administration développe la totalité de ses effets. En combinant les deux démarches, le citoyen peut connaître alors toute l’activité étatique qui est déployée à son égard ou à son encontre, sous réserve des exceptions contenues dans les deux actes législatifs.
La question des coûts est envisagée d’une autre manière dans le « Privacy Act » que dans le FOIA. In casu, l’administration ne peut que demander le coût de la copie des données à transmettre. Elle ne peut faire payer le temps de recherche des données et le temps que le fonctionnaire passe à vérifier que les données sont bien accessibles390.
Les différences entre les deux textes de lois sont encore visibles dans la gestion des demandes. En effet, dans le « Privacy Act », il n’y a pas de délai obligatoire de réponse. L’administration peut prendre son temps, mais la pratique usuelle est l’envoi d’un accusé de réception dans les dix jours et une réponse dans les trente jours ouvrables391.
389 Overview Of The Privacy Act Of 1974, Individual’s Right of Access, 2002 edition.
(http://www.usdoj.gov/04foia/1974indrigacc.htm).
390 Overview Of The Privacy Act Of 1974, Agency Rules, 2002 edition.
(http://www.usdoj.gov/04foia/1974agenrul.htm).
391 A citizen’s guide on using the freedom of information act and the privacy act of 1974 to request
government records, First report by the committee on government reform, H. Rept. 107-371, 107th Cong., 2d session, U.S Government printing office, Washington D.C , 2002, p. 27.
l’épreuve du droit
En droit, il est intéressant de voir comment se combinent les deux législations et, plus spécifiquement, comment sont réglées les questions des exemptions du « Privacy Act » et du FOIA. En pratique, une demande combinée obligera l’administration à effectuer des recherches non seulement dans les fichiers définis selon le « Privacy Act », mais également dans la totalité des documents qui sont détenus par l’administration et qui rentrent dans le champ d’action du FOIA.
Il y a donc quatre cas de figures à envisager lorsqu’il y a une demande d’accès combinée :
Les clauses d’exemptions du « Privacy
Act » ne s’appliquent pas
Dans ce cas précis, l’administration ne pourra pas interdire l’accès aux données personnelles au motif qu’une exclusion du FOIA existe. Autrement dit, s’il y a une exemption du FOIA qui s’applique, le document doit être diffusé en conformité avec le « Privacy
Act » 392. Une clause d’exemption du « Privacy
Act » s’applique
A contrario, si une exemption
procédant du « Privacy Act » s’applique, alors l’accès aux données personnelles sera interdit393 mais le requérant peut subséquemment avoir
392 5 U.S.C § 552a(t)(1) mais aussi Martin v. Office of Special Counsel, 819 F. 2d 1181 in Overview Of The
Privacy Act Of 1974, Agency Rules, 2002 edition. (http://www.usdoj.gov/04foia/1974agenrul.htm) et aussi HAMMITT, Harry, SOBEL, David, ZAID Mark, Litigation Under the Federal Open Governement Laws 2002, EPIC publications, Washington, 2002, p. 323.
l’épreuve du droit
accès aux documents par le biais du FOIA394. Cependant, le résultat final (accès ou non accessibilité du document) dépendra de l’applicabilité de l’exemption du FOIA et de la marge discrétionnaire existante dans l’application des exemptions ressortissant du FOIA dévolue à l’administration395.
Les clauses du « Privacy Act » et du « Freedom of Information Act » ne s’appliquent pas
Le cas précis est très simple, le document est diffusé.
Les clauses du « Privacy Act » et du « Freedom of Information Act » s’appliquent
Dans cette situation, les données ne devraient pas être diffusées sauf si l’administration fait usage de son pouvoir discrétionnaire en la matière et décide de diffuser l’information demandée396.