30 years after: the impact of the OECD Privacy Guidelines
Transcription
30 years after: the impact of the OECD Privacy Guidelines
«30 ans après: l’impact des Lignes directrices de l’OCDE sur la protection de la vie privée» Table ronde conjointe PIIC-GTSIVP, Paris, le 10 mars 2010 Session 3: Les Lignes directrices sur la protection de la vie privée dans le monde actuel «Evolutions récentes dans l’Union européenne» Peter Hustinx Contrôleur européen de la protection des données (CEPD) Cadre général Le cadre juridique de l’UE pour la protection des données a été établi sur la base de la Convention 108 du Conseil de l’Europe, élaborée parallèlement aux Lignes directrices de l’OCDE. La Convention fait office de référence pour 41 États d’Europe et offre une protection à près de 800 millions de personnes. Les Lignes directrices de l’OCDE présentent essentiellement de l’intérêt en tant que cadre mondial pour les interactions avec des partenaires du monde entier. Le cadre juridique de l’UE précise les dispositions de la Convention 108 afin de garantir un niveau élevé de protection et la libre circulation des données à caractère personnel pour les 27 États membres de l’Union européenne, soit pour 500 millions de ressortissants de l’Union européenne. Il s’articule sur trois fondements principaux : la directive 95/46/CE (directive générale), la directive 2002/58/CE (directive vie privée et communications électroniques) et la décision-cadre 2008/977/JAI du Conseil sur la coopération policière et judiciaire en matière pénale. L’exigence de «contrôle indépendant» a récemment été clarifiée par la Cour de justice européenne 1 . Consultation La mise en œuvre de la directive générale par les États membres a été réévaluée à deux reprises. En juillet 2009, la Commission européenne a procédé à une 1 Arrêt du 9 mars 2010 dans l’affaire C-518/07 consultation publique en vue de recueillir des opinions quant à la question de savoir si le cadre juridique en vigueur répond aux défis actuels en matière de protection des données à caractère personnel, en particulier compte tenu des nouvelles technologies et de la mondialisation, et quant aux mesures jugées nécessaires pour relever ces défis. La consultation clôturée en décembre 2009 a permis de recueillir 168 contributions provenant de citoyens, d’organisations à caractère privé et d’autorités publiques. Ces contributions sont à présent disponibles sur le site Internet de la Commission. Il ressort de la plupart des contributions que les principes essentiels de la protection des données ne doivent pas être modifiés et qu’il importe au contraire de placer l’accent sur une meilleure mise en œuvre des principes. La Commission analyse actuellement ces informations et devrait faire part de ses conclusions et de ses propositions d’ici le début de 2011. Contexte à prendre en considération Une composante essentielle du contexte est l’entrée en vigueur du traité de Lisbonne le 1er décembre 2009. Suite à l’entrée en vigueur du traité, la Charte des droits fondamentaux est devenue contraignante, non seulement pour les institutions et les organes de l’UE, mais également pour les États membres lorsqu’ils appliquent la législation communautaire. Une des nouvelles caractéristiques de la Charte est qu’elle prévoit en son article 8 un droit distinct à la protection des données à caractère personnel. L’article 16 du TFEU 2 contient dorénavant également un socle juridique général pour l’élaboration de mesures législatives relatives à la protection des données. Ces deux éléments auront pour conséquence une approche plus horizontale et une attention accrue de la part des décideurs politiques pour la protection de la vie privée et des données, et ce tant dans les politiques que dans la législation de l’UE. Un second paramètre important est que la nouvelle Commission entrée en fonction en février 2010 accorde une priorité de haut niveau aux droits des citoyens et à la protection des données. La commissaire chargée de la Justice, des droits fondamentaux et de la citoyenneté a érigé la protection des données au rang de 2 TFEU: traité sur le fonctionnement de l’Union européenne, une des deux principales composantes du traité de Lisbonne. 2 priorité absolue. Le nouveau programme quinquennal Justice et affaires intérieures, adopté sous la présidence suédoise en décembre 2009 (Programme de Stockholm), est empreint de préoccupations similaires. Le rôle renforcé du Parlement européen au titre du traité de Lisbonne a également eu pour effet un accroissement de l’attention pour les problèmes de protection des données. Protection plus efficace Lors de la consultation, une des contributions 3 les plus substantielles a été présentée par le groupe de travail sur la protection des données institué en vertu de l’article 29 et par le groupe de travail Police et justice, tous deux comportant des représentants de toutes les autorités nationales chargées de la protection des données dans l’UE et du CEPD. La quintessence du message exposé dans cette contribution est que, malgré les nouvelles technologies et la mondialisation, les principes essentiels de la protection des données restent valables. Le niveau de protection des données dans l’UE devrait toutefois bénéficier d’une application plus judicieuse des principes existants. Certaines améliorations cruciales permettraient de faire face à la plupart des défis actuels. Les auteurs du document proposent d’instaurer un cadre global pour remplacer les trois instruments principaux mentionnés ci-dessus. Ils reconnaissent la nécessité de règles spécifiques (leges speciales), pour autant que celles-ci s’inscrivent dans un cadre global et soient conformes aux principes cardinaux. Il conviendrait que les garanties et principes essentiels de la protection des données devraient s’appliquer au traitement des données dans tous les secteurs. L’UE et ses États membres se doivent de garantir le droit à la protection des données à chacun, pour autant qu’ils disposent d’un pouvoir juridictionnel. Il convient que chacun soit en position de revendiquer la protection de ses données, même lorsqu’elles font l’objet d’un traitement à l’extérieur de l’UE. C'est pourquoi il est demandé à la Commission de prendre des initiatives en vue de poursuivre l’élaboration de normes internationales globales en matière de protection des données 3 «L’avenir de la protection de la vie privée», contribution conjointe à la consultation de la Commission européenne sur le cadre juridique du droit fondamental à la protection des données à caractère personnel, adoptée le 1er décembre 2009 (groupe de travail 168). 3 à caractère personnel. Des règles internes ("BCR") sont également mentionnées comme des instruments importants pour la protection des données à caractère personnel en dehors de l’UE. Il conviendrait de prévoir une disposition sur les BCR dans le nouveau cadre juridique. Les problèmes de juridiction et de droit applicable feront l’objet d’un examen distinct à un stade ultérieur. Selon les auteurs de la contribution, la directive 95/46/CE a bien résisté à l’évolution technologique grâce à ses principes et concepts solides et neutres d’un point de vue technologique. Ces derniers conservent toute leur validité et leur applicabilité dans le monde interconnecté actuel. Toutefois, pour compenser les risques concernant la vie privée et les données, le principe de la «prise en compte du respect de la vie privée dès la conception» devrait être introduit dans le nouveau cadre: il conviendrait d’intégrer la protection de la vie privée et des données dans les technologies de l’information et de la communication, et ce dès leur conception. Cela nécessiterait la mise en œuvre de «technologies améliorant la protection de la vie privée», d’un «paramétrage par défaut favorable au respect de la vie privée» et des outils nécessaires aux utilisateurs pour mieux protéger leurs données à caractère personnel. Par conséquent, ce principe devrait non seulement être contraignant pour les responsables de traitements de données, mais également pour les concepteurs et producteurs de technologies. Des rôles renforcés Outre ces mesures générales, il convient de renforcer la position des principaux acteurs (personnes concernées, responsables du traitement des données et autorités chargées de la protection des données). Habiliter les personnes concernées requiert notamment d’améliorer les mécanismes de réparation : les personnes concernées devraient disposer de davantage d’options pour exercer et faire valoir leurs droits, y compris par des procédures de recours collectif, des procédures de plainte et d'autres modes de règlement des conflits plus accessibles, plus efficaces et moins coûteux. Il conviendrait également que le nouveau cadre offre davantage de transparence et précise le sens du terme «consentement». Enfin, le rôle des personnes concernées sur l’internet est un sujet de préoccupations. En tout état de cause, quiconque propose des services à une personne physique devrait être tenu de 4 fournir certaines garanties en matière de sécurité et de confidentialité des informations téléchargées par les utilisateurs, que son client soit ou non un responsable de traitement de données. La responsabilité des responsables de traitement doit également être renforcée. Il convient que la protection des données soit mieux intégrée dans les organisations et il convient d’en attribuer la responsabilité en interne avec précision. Il serait judicieux d’instaurer dans le cadre global un principe de responsabilité renforcée, de sorte que les responsables de traitement soient tenus de mettre en œuvre les mesures nécessaires pour garantir le respect des principes et obligations essentiels lors du traitement de données à caractère personnel, mais aussi de disposer en interne des mécanismes nécessaires pour prouver le respect de ces exigences aux parties prenantes extérieures, y compris les autorités chargées de la protection des données. Cette évolution est susceptible d’améliorer l’efficacité des mesures de protection des données. Les notifications d’opérations de traitement des données aux autorités chargées de la protection de données devraient être réduites ou simplifiées. Les auteurs de la contribution envisagent par ailleurs de renforcer le rôle des autorités chargées de la protection des données. Les défis nouveaux en matière de protection des données nécessitent un contrôle renforcé, plus uniforme et efficace. En conséquence, il conviendrait que le nouveau cadre garantisse l'uniformité des normes en ce qui concerne l’indépendance, les pouvoirs réels, le rôle consultatif de ces autorités dans le processus législatif et leur capacité à définir leur propre programme de travail, notamment par la définition de priorités en matière de traitement des plaintes. Il conviendrait que la coopération internationale entre les autorités chargées de la protection des données soit pareillement renforcée. Application de la législation répressive Enfin, les auteurs de la contribution abordent les défis en matière de protection des données dans le domaine de la police et de l’application de la législation répressive. Il convient que les principes généraux de la protection des données soient tout autant applicables dans ce domaine, mais avec quelques caractéristiques supplémentaires. Dans ce domaine, les défis concernent notamment l'augmentation des flux de données dans le but de combattre les nouvelles menaces résultant du terrorisme et de la 5 criminalité organisée, évolution stimulée par les évolutions technologiques. Ces flux de données concernent tant les échanges entre les organes chargés de l’application de la législation répressive que les échanges avec d’autres organisations du secteur public ou privé. Un cadre cohérent constituerait une aide précieuse pour affronter les défis dans ce domaine. 6