1. Du 23 au 26 septembre 2013, les commissaires à la protection des données et de la vie privée se sont réunis à Varsovie (Pologne) lors de la 35° Conférence internationale.
2. Cette conférence a été l'occasion pour les commissaires de discuter de différentes problématiques, dont celle inhérente aux applications mobiles.
Ainsi, faisant écho, entre autres, aux guides et autres avis rendus par la Federal Trade Commission (billets 1 et 2), le Commissariat à la protection de la vie privée du Canada (CPVPC) (billet) ou le Groupe de l'article 29 (billet), les commissaires ont adoptés la Déclaration de Varsovie sur l'"applification" de la société (en anglais / en français (la traduction française des documents est issue du site du CPVPC)).
Par cette déclaration, les commissaires "[s'engagent] à veiller à ce que les utilisateurs jouissent d'une meilleure expérience en matière de protection de la vie privée, et [ils comptent] discuter avec divers intervenants des secteurs public et privé de leurs rôles et responsabilités".
Partant, les commissaires rappellent que les développeurs d'applications doivent non seulement "prendre en considération la protection de la vie privée au tout début de la conception d'une application" mais aussi "prendre une décision claire concernant les renseignements qu’ils jugent nécessaires au bon fonctionnement de l’application et s’assurer qu’aucun autre renseignement personnel n’est recueilli sans le consentement éclairé de l’utilisateur".
Ils insistent aussi sur le fait que "les fournisseurs de systèmes d'exploitation devraient être responsables de leurs plateformes, [notamment en ayant "recours à des sceaux de confidentialité ou à toute autre méthode de certification applicable"]".
Partant, les commissaires rappellent que les développeurs d'applications doivent non seulement "prendre en considération la protection de la vie privée au tout début de la conception d'une application" mais aussi "prendre une décision claire concernant les renseignements qu’ils jugent nécessaires au bon fonctionnement de l’application et s’assurer qu’aucun autre renseignement personnel n’est recueilli sans le consentement éclairé de l’utilisateur".
Ils insistent aussi sur le fait que "les fournisseurs de systèmes d'exploitation devraient être responsables de leurs plateformes, [notamment en ayant "recours à des sceaux de confidentialité ou à toute autre méthode de certification applicable"]".
Et, il est prévu que "pendant l'année à venir, les commissaires à la protection des données et de la vie privée du monde entier comptent s'employer à franchir des étapes importantes en vue d'améliorer la protection des données et de la vie privée dans ce domaine, et ils aborderont de nouveau ce sujet à leur 36° conférence, en République de Maurice".
Conscients des avantages et des risques liés au profilage et, après avoir rappelé la Déclaration sur le profilage (anglais) adoptée lors de la 34° conférence internationale en Uruguay, les commissaires"exhorte[nt] toutes les parties qui effectuent du profilage:1. à déterminer clairement la nécessité et l’utilisation pratique de chaque activité de profilage et à s’assurer de mettre en place des mesures de sécurité adéquates avant d’entreprendre le profilage;2. à limiter, conformément au principe de la protection de la vie privée dès l’étape de la conception, les hypothèses et la quantité de données recueillies au niveau nécessaire aux fins licites prévues et, s’il y a lieu, à s’assurer que les données sont suffisamment exactes et à jour pour les fins prévues;3. à s’assurer que les profils et les algorithmes sous-jacents sont validés en continu pour permettre d’améliorer les résultats et de réduire le nombre de résultats faussement positifs ou négatifs;4. à informer la société des activités de profilage dans la mesure du possible, y compris de la façon dont les profils sont établis et des fins auxquelles ils sont utilisés, afin que les individus puissent conserver, le plus possible et s’il y a lieu, la maîtrise de leurs renseignements personnels;5. à s’assurer, surtout en ce qui a trait aux décisions ayant des répercussions juridiques importantes sur des personnes ou influant sur leurs avantages ou leur statut, que ces personnes sont informées de leur droit de consulter et de corriger leurs renseignements personnels et d’avoir recours à une intervention humaine s’il y a lieu, surtout si l’on tient compte de la capacité prédictive toujours plus grande du profilage en raison de l’efficacité croissante des algorithmes;6. à s’assurer que toutes les activités de profilage font l’objet d’une surveillance appropriée."
(Source: Traduction du CPVPC)- Résolution sur la coordination de l’application de la loi à l’échelle internationale (en anglais / en français)Rappelant les résolutions adoptées lors des 29°, 33° et 34° conférence internationales sur la coopération internationale, les travaux menés par plusieurs réseaux regroupant les autorités de protection (APEC, GPEN, OCDE, Conseil de l'Europe, Groupe de l'article 29, les réseaux francophone et ibérico-américain), les commissaires "décide[nt] d'encourager davantage les efforts visant à assurer une coordination des enquêtes transnationels et une application de la loi plus efficaces dans les cas appropriés" et, notamment de présenter pour adoption lors de la 36° conférence un document présentant "une approche commune pour le traitement des dossiers transnationaux et la coordination de l'application de la loi". (Source: Traduction du CPVPC)- Résolution sur l’inscription de la protection des données et de la protection de la vie privée dans le droit international (en anglais / en français)Rappelant les déclarations / résolutions adoptées lors des 27°, 28°, 30°, 31° et 32° Conférence internationale, les commissaires sont d'avis "qu’il est urgent de mettre en place un accord juridiquement contraignant sur la protection des données qui garantirait le respect des droits de l’homme grâce à la protection de la vie privée, des renseignements personnels et de l’intégrité des réseaux, en plus d’accroître la transparence des processus relatifs au traitement des données, en tenant compte, de façon équilibrée, de la sécurité, des intérêts économiques et de la liberté d’expression" et, ils décident "d'enjoindre les gouvernements à promouvoir l'adoption d'un protocole additionnel à l'article 17 du Pacte international relatif aux droits civils et politiques". (Source: Traduction du CPVPC)ll est à noter que la Federal Trade Commission s'est abstenue lors du vote de cette résolution.- Résolution sur la transparence des pratiques en matière de renseignements personnels (en anglais / en français)Rappelant la résolution adoptée lors de la 25° conférence internationale et reconnaissant la nécessité pour les organismes publics et les entreprises d'adopter des pratiques et des politiques claires et simplifiées en matière de protection des renseignements personnels et de les diffuser pour (re)donner confiance aux indivudus, les commissaires"convien[nen]t de faire ce qui suit:1. Exhorter les organisations qui recueillent des renseignements personnels à expliquer les fins auxquelles ils sont recueillis, à indiquer le nom et les coordonnées de l’organisation ou de la personne responsable, et à préciser la marche à suivre pour demander l’accès à ces renseignements ou les faire corriger;2. Exhorter les organisations à fournir de l’information utile sur leurs politiques et leurs pratiques en matière de collecte de données dans un langage clair et simple, dans un format facilement accessible, et en tenant compte des caractéristiques des individus auxquels les renseignements se rapportent et de la méthode de collecte;3. Exhorter les organisations, les autorités chargées de la protection des données et de l’application des lois en matière de protection de la vie privée ainsi que les gouvernements à se pencher sur l’utilité des sceaux d’accréditation, de la certification et des marques de confiance en matière de protection de la vie privée pour renseigner les utilisateurs et les aider à faire des choix plus éclairés;4. Exhorter les gouvernements à faire preuve d’une plus grande transparence en ce qui concerne leurs pratiques de collecte de renseignements, tout en tenant compte des considérations pertinentes relatives à la sécurité nationale, à la sécurité publique et à la politique publique, dans le but de renforcer l’obligation de rendre des comptes à l’intérieur d’une démocratie et d’assurer le plein exercice du droit fondamental à la vie privée."(Source: Traduction du CPVPC)Il est à noter que la Federal Trade Commission s'est abstenue lors du vote de cette résolution.Rappelant plusieurs instruments internationaux ou encore les résolutions adoptées lors des 30° et 32° conférences internationales, les commaissaires reconnaissent "que le numérique fait aujourd'hui partie de notre vie quotidienne" et qu'il "soulève des défis nouveaux en matière de protection des données et de la vie privée et que le cadre juridique ne peut, à lui seul, apporter toutes les réponses et garanties demandées". Partant, les commissaires "considèrent qu'il est indispensable de faire ce qui suit, [à savoir] promouvoir sans attendre un culture générale du numérique [...] et d'agir ensemble, en collaboration avec tous les acteurs concernés, car il s'agit d'une responsabilité partagées". (Source: Traduction du CPVPC)Reconnaissant les avantages et les risques liés au suivi sur le Web, les commissaires"exhortent toutes les parties prenantes:- à respecter le principe de la limitation des fins;- à aviser les utilisateurs de l’utilisation d’éléments de suivi, y compris de l’établissement d’empreintes à l’aide d’un appareil et du navigateur, et leur permettre d’avoir la maîtrise de ces éléments;- à s’abstenir d’utiliser des dispositifs de suivi invisibles à des fins autres que la sécurité et le dépistage des fraudes, ou la gestion du réseau;- à s’abstenir d’établir par dérivation un ensemble d’éléments d’information (empreintes) dans le but d’identifier et de surveiller des utilisateurs à des fins autres que la sécurité et le dépistage des fraudes, ou la gestion du réseau;- à faire preuve de la transparence appropriées au sujet de tous les types de pratiques de suivi sur le Web afin de permettre aux consommateurs de faire des choix éclairés;- à offrir aux utilisateurs des outils conviviaux leur permettant de maîtriser adéquatement la collecte et l’utilisation de leurs renseignements personnels;- à s’abstenir d’effectuer un suivi de l’activité en ligne d’enfants ou sur les sites Web destinés aux enfants, à moins qu’il ne soit possible de vérifier qu’un parent a consenti au suivi;- à respecter le principe du respect de la vie privée dès la conception et à réaliser une évaluation des facteurs relatifs à la vie privée au début de nouveaux projets;- à utiliser des techniques qui réduisent les répercussions sur la vie privée, notamment la dépersonnalisation et l’utilisation de pseudonymes;- à promouvoir l’adoption de normes techniques visant à conférer aux utilisateurs une meilleure maîtrise (p. ex. la norme d’interdiction de suivi)".(Source: Traduction du CPVPC)Il est à noter que la République de Slovénie et la France se sont abstenues lors du vote de cette résolution.
4. Cette conférence a également été l'occasion de discuter des priorités stratégiques pour 2014-2015 (Résolution sur l'orientation stratégique de la Conférence - en anglais / en français) et d'accréditer de nouvelles autorités de
protection à titre de membres, à savoir les autorités de la
République de Maurice, du Kosovo et de Buenos Aires (Argentine) (Résolution d'accréditation - en anglais / en français).