L'OCDE (Organisation pour le Commerce et le Développement Économique) compte 34 pays membres à travers le monde, de l'Amérique du Nord et du Sud à l'Europe, en passant par la région Asie-Pacifique.
Des recommandations en matière de protection de la vie privée depuis 1980
Les Lignes directrices sur la protection de la vie privée et les flux transfrontières de données de caractère personnel ont été adoptées le 23 septembre 1980 par le Conseil de l'OCDE sous la forme d'une recommandation. Elles définissent des principes essentiels applicables dans le domaine de la vie privée et de la protection des données, en donnant aux États-membres des orientations générales à suivre. Elles ne sont pas un instrument juridique contraignant mais constituent une base minimum pouvant être complétée par des dispositions plus protectrices.
Des révisions internationales à tous les niveaux
La révision des Lignes directrices de l'OCDE s'inscrit dans un mouvement général de mise en cohérence des textes internationaux en matière de protection des données et de vie privée.
Ainsi :
- La Convention n°108 du Conseil de l'Europe est également en cours de révision ;
- L'Union européenne discute actuellement d'un nouveau projet de règlement en la matière.
Dans ce contexte, il est fondamental que le niveau de protection élevé dont bénéficient les États-membres de l'Union européenne soit préservé.
Un groupe de travail au sein de l’OCDE
L'OCDE a lancé un travail de modernisation de ses Lignes directrices en 2010, à l'occasion de son 30ème anniversaire, conformément au souhait exprimé par les ministres dans leur Déclaration de Séoul sur le futur de l'économie de l'Internet de 2008.
Un groupe international d'experts, présidé par la Commissaire à la vie privée du Canada (Mme Jennifer Stoddard), et auquel la CNIL a participé, a été chargé de proposer des modifications, qui ont ensuite été discutées au sein du Comité de la Politique de l'information, de l'informatique et des communications (ICCP Committee) de l'OCDE. La nouvelle version des Lignes directrices a été adoptée par le Conseil des ministres de l'OCDE le 11 juillet 2013.
La CNIL était évidemment présente à cette réunion, en tant notamment que représentant de la Conférence internationale des commissaires à la protection des données et à la vie privée.
Les grands axes de modifications
Les principales modifications apportées sont les suivantes :
- Une nouvelle section dédiée au renforcement de la responsabilisation des entreprises (accountability) se traduisant, en pratique, notamment par une obligation pour les responsables de traitement de mettre en œuvre des programmes de gestion de la conformité interne en matière de vie privée ;
- L'insertion d'une obligation de notification des failles de sécurité aux autorités compétentes et aux individus concernés par les responsables de traitement ;
- L'ajout d'une préconisation faite aux États de mettre en place et d'assurer le fonctionnement d'autorités chargées de protéger la vie privée.
- Une référence à la nécessité de faciliter la coopération transfrontière entre autorités de contrôle, notamment par le partage d'informations.
- La promotion d'accords internationaux favorisant l'interopérabilité des cadres de protection de vie privée
Concernant les transferts internationaux de données, l'approche initiale des lignes directrices de 1980 (selon laquelle les États-membres devraient s'abstenir de limiter les transferts de données à caractère personnel au sein de la zone OCDE) est maintenue, avec toutefois la possibilité pour les pays de l'Union européenne de préserver leur niveau élevé de protection des données.
Source : communiqué de la CNIL en date du 9 octobre 2013.
En savoir plus
Lire le communiqué complet de la CNIL sur son site :
www.cnil.fr/nc/linstitution/actualite/article/article/l-ocde-revise-ses-lignes-directrices-en...
Résumé des lignes directrices de l’OCDE en matière de protection de la vie privée en ligne sur le site de l’OCDE en anglais : "The 2013 OECD Privacy Guidelines" :
www.oecd.org/fr/sti/ieconomie/privacy.htm
Version complète de "The OECD privacy framework" (pdf, 730 Ko) :
www.oecd.org/sti/ieconomy/oecd_privacy_framework.pdf
La Convention n°108 du Conseil de l’Europe "Convention pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel" en français sur le site du Conseil de l’Europe du 28 janvier 1981 :
http://conventions.coe.int/Treaty/fr/Treaties/Html/108.htm
et son protocole additionnel du 8 novembre 2001 :
http://conventions.coe.int/Treaty/fr/Treaties/Html/181.htm
Sur la révision de la Convention n°108 — État des travaux en cours :
www.coe.int/t/dghl/standardsetting/dataprotection/modernisation_fr.asp
La proposition de règlement de l’Union européenne relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données (règlement général sur la protection des données) :
http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=CELEX:52012PC0011:FR:NOT