Avec la numérisation, le volume des données en circulation ne cesse de croître. De plus, dans notre société de l’information tertiarisée et mondialisée, il n’est plus guère possible de distinguer les communications au niveau national de celles au niveau international. Dans une étude, le CSDH fait le point sur les obligations que les principes des droits humains imposent à la Suisse en ce qui concerne le droit au respect de la sphère privée – ou vie privée – à l’ère numérique, la question centrale étant de savoir si les obligations de l’État et la responsabilité des entreprises en la matière ont ou non des incidences extraterritoriales.

Obligation transfrontière des États de protéger les données

L’obligation des États de garantir le respect de la vie privée s’applique à tous les traitements de données, qu’ils soient le fait de l’État ou de particuliers, et que les données soient transmises à l’intérieur des frontières nationales ou à des pays tiers.

À l’échelle internationale, l’obligation de protéger les données qui découle des dispositions relatives aux droits humains n’est généralement pas définie de manière territoriale, mais en fonction du pouvoir de contrôle et de réglementation que les États peuvent exercer sur les données numériques et des effets concrets de l’utilisation de ces données. Ainsi, le lieu dans lequel les données sont traitées, ainsi que le lieu de séjour de la personne concernée sont considérés comme des critères de rattachement pour les obligations découlant des droits humains. La protection des données s’étend donc aussi au traitement à l’intérieur des frontières nationales des données personnelles d’individus séjournant dans un autre pays. Il est par contre problématique d’établir des distinctions en fonction de la nationalité d’une personne concernée par un traitement de données pour déterminer le droit à la protection de la sphère privée, puisqu’on risquerait ce faisant de contrevenir à l’interdiction de la discrimination. Quant aux distinctions en fonction du lieu de séjour de la personne, elles ne se justifient du point de vue des droits humains qu’en l’absence de tout autre critère de rattachement : quand, par exemple, des entreprises privées n’entretiennent pas de lien suffisant avec la Suisse, ou que les données ne sont pas traitées en Suisse.

Responsabilité des entreprises en matière de droits humains

Les entreprises jouant un rôle toujours plus important lorsqu’il s’agit de garantir le respect de la vie privée, divers organismes internationaux les appellent à assumer leurs responsabilités en la matière et à se conformer en cela aux Principes directeurs des Nations Unies relatifs aux entreprises et aux droits de l’homme. Pour ce faire, les entreprises peuvent s’inspirer d’initiatives sectorielles telles que l’Initiative mondiale des réseaux (ou GNI, pour Global Network Initiative). Dans la perspective des droits humains, il est toutefois inconcevable de transférer partiellement ou totalement aux entreprises les compétences publiques en matière de surveillance et d’application du droit.