30 years after: the impact of the OECD Privacy Guidelines

«30 ans après: l’impact des Lignes directrices de l’OCDE sur la protection de la
vie privée»
Table ronde conjointe PIIC-GTSIVP, Paris, le 10 mars 2010
Session 3:
Les Lignes directrices sur la protection de la vie privée dans le
monde actuel
«Evolutions récentes dans l’Union européenne»
Peter Hustinx
Contrôleur européen de la protection des données (CEPD)
Cadre général
Le cadre juridique de l’UE pour la protection des données a été établi sur la base de la
Convention 108 du Conseil de l’Europe, élaborée parallèlement aux Lignes directrices
de l’OCDE. La Convention fait office de référence pour 41 États d’Europe et offre
une protection à près de 800 millions de personnes. Les Lignes directrices de l’OCDE
présentent essentiellement de l’intérêt en tant que cadre mondial pour les interactions
avec des partenaires du monde entier.
Le cadre juridique de l’UE précise les dispositions de la Convention 108 afin de
garantir un niveau élevé de protection et la libre circulation des données à caractère
personnel pour les 27 États membres de l’Union européenne, soit pour 500 millions
de ressortissants de l’Union européenne. Il s’articule sur trois fondements principaux :
la directive 95/46/CE (directive générale), la directive 2002/58/CE (directive vie
privée et communications électroniques) et la décision-cadre 2008/977/JAI du Conseil
sur la coopération policière et judiciaire en matière pénale. L’exigence de «contrôle
indépendant» a récemment été clarifiée par la Cour de justice européenne 1 .
Consultation
La mise en œuvre de la directive générale par les États membres a été réévaluée à
deux reprises. En juillet 2009, la Commission européenne a procédé à une
1
Arrêt du 9 mars 2010 dans l’affaire C-518/07
consultation publique en vue de recueillir des opinions quant à la question de savoir si
le cadre juridique en vigueur répond aux défis actuels en matière de protection des
données à caractère personnel, en particulier compte tenu des nouvelles technologies
et de la mondialisation, et quant aux mesures jugées nécessaires pour relever ces
défis.
La consultation clôturée en décembre 2009 a permis de recueillir 168 contributions
provenant de citoyens, d’organisations à caractère privé et d’autorités publiques. Ces
contributions sont à présent disponibles sur le site Internet de la Commission. Il
ressort de la plupart des contributions que les principes essentiels de la protection des
données ne doivent pas être modifiés et qu’il importe au contraire de placer l’accent
sur une meilleure mise en œuvre des principes. La Commission analyse actuellement
ces informations et devrait faire part de ses conclusions et de ses propositions d’ici le
début de 2011.
Contexte à prendre en considération
Une composante essentielle du contexte est l’entrée en vigueur du traité de Lisbonne
le 1er décembre 2009. Suite à l’entrée en vigueur du traité, la Charte des droits
fondamentaux est devenue contraignante, non seulement pour les institutions et les
organes de l’UE, mais également pour les États membres lorsqu’ils appliquent la
législation communautaire. Une des nouvelles caractéristiques de la Charte est qu’elle
prévoit en son article 8 un droit distinct à la protection des données à caractère
personnel. L’article 16 du TFEU 2 contient dorénavant également un socle juridique
général pour l’élaboration de mesures législatives relatives à la protection des
données. Ces deux éléments auront pour conséquence une approche plus horizontale
et une attention accrue de la part des décideurs politiques pour la protection de la vie
privée et des données, et ce tant dans les politiques que dans la législation de l’UE.
Un second paramètre important est que la nouvelle Commission entrée en fonction en
février 2010 accorde une priorité de haut niveau aux droits des citoyens et à la
protection des données. La commissaire chargée de la Justice, des droits
fondamentaux et de la citoyenneté a érigé la protection des données au rang de
2
TFEU: traité sur le fonctionnement de l’Union européenne, une des deux principales composantes du
traité de Lisbonne.
2
priorité absolue. Le nouveau programme quinquennal Justice et affaires intérieures,
adopté sous la présidence suédoise en décembre 2009 (Programme de Stockholm), est
empreint de préoccupations similaires. Le rôle renforcé du Parlement européen au
titre du traité de Lisbonne a également eu pour effet un accroissement de l’attention
pour les problèmes de protection des données.
Protection plus efficace
Lors de la consultation, une des contributions 3 les plus substantielles a été présentée
par le groupe de travail sur la protection des données institué en vertu de l’article 29 et
par le groupe de travail Police et justice, tous deux comportant des représentants de
toutes les autorités nationales chargées de la protection des données dans l’UE et du
CEPD. La quintessence du message exposé dans cette contribution est que, malgré les
nouvelles technologies et la mondialisation, les principes essentiels de la protection
des données restent valables. Le niveau de protection des données dans l’UE devrait
toutefois bénéficier d’une application plus judicieuse des principes existants.
Certaines améliorations cruciales permettraient de faire face à la plupart des défis
actuels.
Les auteurs du document proposent d’instaurer un cadre global pour remplacer les
trois instruments principaux mentionnés ci-dessus. Ils reconnaissent la nécessité de
règles spécifiques (leges speciales), pour autant que celles-ci s’inscrivent dans un
cadre global et soient conformes aux principes cardinaux. Il conviendrait que les
garanties et principes essentiels de la protection des données devraient s’appliquer au
traitement des données dans tous les secteurs.
L’UE et ses États membres se doivent de garantir le droit à la protection des données
à chacun, pour autant qu’ils disposent d’un pouvoir juridictionnel. Il convient que
chacun soit en position de revendiquer la protection de ses données, même
lorsqu’elles font l’objet d’un traitement à l’extérieur de l’UE. C'est pourquoi il est
demandé à la Commission de prendre des initiatives en vue de poursuivre
l’élaboration de normes internationales globales en matière de protection des données
3
«L’avenir de la protection de la vie privée», contribution conjointe à la consultation de la Commission
européenne sur le cadre juridique du droit fondamental à la protection des données à caractère
personnel, adoptée le 1er décembre 2009 (groupe de travail 168).
3
à caractère personnel. Des règles internes ("BCR") sont également mentionnées
comme des instruments importants pour la protection des données à caractère
personnel en dehors de l’UE. Il conviendrait de prévoir une disposition sur les BCR
dans le nouveau cadre juridique. Les problèmes de juridiction et de droit applicable
feront l’objet d’un examen distinct à un stade ultérieur.
Selon les auteurs de la contribution, la directive 95/46/CE a bien résisté à l’évolution
technologique grâce à ses principes et concepts solides et neutres d’un point de vue
technologique. Ces derniers conservent toute leur validité et leur applicabilité dans le
monde interconnecté actuel. Toutefois, pour compenser les risques concernant la vie
privée et les données, le principe de la «prise en compte du respect de la vie privée
dès la conception» devrait être introduit dans le nouveau cadre: il conviendrait
d’intégrer la protection de la vie privée et des données dans les technologies de
l’information et de la communication, et ce dès leur conception. Cela nécessiterait la
mise en œuvre de «technologies améliorant la protection de la vie privée», d’un
«paramétrage par défaut favorable au respect de la vie privée» et des outils
nécessaires aux utilisateurs pour mieux protéger leurs données à caractère personnel.
Par conséquent, ce principe devrait non seulement être contraignant pour les
responsables de traitements de données, mais également pour les concepteurs et
producteurs de technologies.
Des rôles renforcés
Outre ces mesures générales, il convient de renforcer la position des principaux
acteurs (personnes concernées, responsables du traitement des données et autorités
chargées de la protection des données).
Habiliter les personnes concernées requiert notamment d’améliorer les mécanismes de
réparation : les personnes concernées devraient disposer de davantage d’options pour
exercer et faire valoir leurs droits, y compris par des procédures de recours collectif,
des procédures de plainte et d'autres modes de règlement des conflits plus accessibles,
plus efficaces et moins coûteux. Il conviendrait également que le nouveau cadre offre
davantage de transparence et précise le sens du terme «consentement». Enfin, le rôle
des personnes concernées sur l’internet est un sujet de préoccupations. En tout état de
cause, quiconque propose des services à une personne physique devrait être tenu de
4
fournir certaines garanties en matière de sécurité et de confidentialité des informations
téléchargées par les utilisateurs, que son client soit ou non un responsable de
traitement de données.
La responsabilité des responsables de traitement doit également être renforcée. Il
convient que la protection des données soit mieux intégrée dans les organisations et il
convient d’en attribuer la responsabilité en interne avec précision. Il serait judicieux
d’instaurer dans le cadre global un principe de responsabilité renforcée, de sorte que
les responsables de traitement soient tenus de mettre en œuvre les mesures nécessaires
pour garantir le respect des principes et obligations essentiels lors du traitement de
données à caractère personnel, mais aussi de disposer en interne des mécanismes
nécessaires pour prouver le respect de ces exigences aux parties prenantes extérieures,
y compris les autorités chargées de la protection des données. Cette évolution est
susceptible d’améliorer l’efficacité des mesures de protection des données. Les
notifications d’opérations de traitement des données aux autorités chargées de la
protection de données devraient être réduites ou simplifiées.
Les auteurs de la contribution envisagent par ailleurs de renforcer le rôle des autorités
chargées de la protection des données. Les défis nouveaux en matière de protection
des données nécessitent un contrôle renforcé, plus uniforme et efficace. En
conséquence, il conviendrait que le nouveau cadre garantisse l'uniformité des normes
en ce qui concerne l’indépendance, les pouvoirs réels, le rôle consultatif de ces
autorités dans le processus législatif et leur capacité à définir leur propre programme
de travail, notamment par la définition de priorités en matière de traitement des
plaintes. Il conviendrait que la coopération internationale entre les autorités chargées
de la protection des données soit pareillement renforcée.
Application de la législation répressive
Enfin, les auteurs de la contribution abordent les défis en matière de protection des
données dans le domaine de la police et de l’application de la législation répressive. Il
convient que les principes généraux de la protection des données soient tout autant
applicables dans ce domaine, mais avec quelques caractéristiques supplémentaires.
Dans ce domaine, les défis concernent notamment l'augmentation des flux de données
dans le but de combattre les nouvelles menaces résultant du terrorisme et de la
5
criminalité organisée, évolution stimulée par les évolutions technologiques. Ces flux
de données concernent tant les échanges entre les organes chargés de l’application de
la législation répressive que les échanges avec d’autres organisations du secteur
public ou privé. Un cadre cohérent constituerait une aide précieuse pour affronter les
défis dans ce domaine.
6