L'OCDE révise ses lignes directrices en matière de vie privée
RSS CNIL - , 9/10/2013
A l’issue d’un processus de modernisation initié en 2010, le Conseil de l’OCDE a amendé ses lignes directrices en matière de vie privée, renforçant le principe d’« accountability », encourageant la coopération et l’interopérabilité des cadres de protection tout en préservant l’acquis communautaire.
L'OCDE (Organisation pour le Commerce et le Développement Economique) compte 34 pays membres à travers le monde, de l'Amérique du Nord et du Sud à l'Europe, en passant par la région Asie-Pacifique.
Les Lignes directrices sur la protection de la vie privée et les flux transfrontières de données de caractère personnel ont été adoptées le 23 septembre 1980 par le Conseil de l'OCDE sous la forme d'une recommandation. Elles définissent des principes essentiels applicables dans le domaine de la vie privée et de la protection des données, en donnant aux Etats membres des orientations générales à suivre. Elles ne sont pas un instrument juridique contraignant mais constituent un standard minimum pouvant être complété par des dispositions plus protectrices.
La révision des Lignes directrices de l'OCDE s'inscrit dans un mouvement général de mise en cohérence des textes internationaux en matière de protection des données et de vie privée. Ainsi, la Convention n°108 du Conseil de l'Europe est également en cours de révision, alors que l'Union européenne discute actuellement d'un nouveau projet de règlement en la matière. Dans ce contexte, il est fondamental que le niveau de protection élevé dont bénéficient les Etats-membres de l'Union européenne soit préservé.
L'OCDE a initié un travail de modernisation de ses Lignes directrices en 2010, à l'occasion de leur 30ème anniversaire, conformément au souhait exprimé par les ministres dans leur Déclaration de Séoul sur le futur de l'économie de l'Internet de 2008.
Un groupe international d'experts, présidé par la Commissaire à la vie privée du Canada (Mme Jennifer Stoddard), et auquel la CNIL a participé, a été chargé de proposer des modifications, qui ont ensuite été discutées au sein du Comité de la Politique de l'information, de l'informatique et des communications (ICCP Committee) de l'OCDE.
La nouvelle version des Lignes directrices a été adoptée par le Conseil des ministres de l'OCDE le 11 juillet 2013. La CNIL était présente à cette réunion, en tant notamment que représentant de la Conférence internationale des commissaires à la protection des données et à la vie privée.
Les principales modifications apportées sont les suivantes :
- Une nouvelle section dédiée au renforcement de la responsabilisation des entreprises (accountability) se traduisant, en pratique, notamment par une obligation pour les responsables de traitement de mettre en œuvre des programmes de gestion de la conformité interne en matière de vie privée ;
- L'insertion d'une obligation de notification des failles de sécurité aux autorités compétentes et aux individus concernés par les responsables de traitement ;
- L'ajout d'une préconisation faite aux Etats de mettre en place et d'assurer le fonctionnement d'autorités chargées de protéger la vie privée.
- Une référence à la nécessité de faciliter la coopération transfrontière entre autorités de contrôle, notamment par le partage d'informations.
- La promotion d'accords internationaux favorisant l'interopérabilité des cadres de protection de vie privée