22 septembre 2013

OCDE: amendement des Lignes directrices de 1980 (protection de la vie privée et flux transfrontières de données à caractère personnel)

Le 11 juillet 2013, l'Organisation de Coopération et de Développement Économiques (OCDE) a amendé les Lignes directrices régissant la protection de la vie privée et les flux transfrontières de données à caractère personnel adoptées le 23 septembre 1980.

Avant de mettre l'accent sur certains des amendements, mentionnons que les Lignes directrices s'appliquent aussi bien au secteur public que privé (art. 2), qu'il convient de les considérer "comme des normes minimales susceptibles d'être complétées par d'autres mesures visant à protéger la vie privée et les libertés individuelles, mesures qui peuvent avoir des incidences sur les flux transfrontières de données à caractère personnel" (art. 6, amendé en 2013) et, que les principes qui y sont mis de l'avant "se complètent et doivent être considérés comme un tout" (art. 3). 

Les principes énoncés à la Partie Deux. Principes fondamentaux applicables au plan nationale des Lignes directrices amendées sont identiques à ceux énoncés en 1980. Ces principes, repris par différentes législations relatives à la protection des données à caractère personnel / des renseignements personnels, sont les suivants: 
  • principe de la limitation en matière de collecte, 
  • principe de la qualité des données, 
  • principe de la spécification des finalités, 
  • principe de la limitation de l'utilisation, 
  • principe des garanties de sécurité, 
  • principe de la transparence, 
  • principe de la participation individuelle, 
  • principe de la responsabilité. 
 
Il est à noter les Lignes directrices amendées viennent encadrer l'exercice de la responsabilité (Partie Trois). Ainsi, il est désormais prévu que  
15. Tout maître de fichier devrait:  
a) Avoir mis en place un programme de gestion de la vie privée qui:  
i. assure l'application des présentes Lignes directrices à l'ensemble des données de caractère personnel sous son contrôle;  
ii. est adapté à la structure, à l'échelle, au volume et au caractère plus ou moins sensible de ses activités;  
iii. prévoit des mesures de protection appropriées basées sur une évaluation des risques pour la vie privée;  
iv. est intégré dans sa structure de gouvernance et établit des mécanismes internes de supervision;  
v. comprend des plans pour répondre aux demandes et aux incidents;  
vi. est actualisé sur la base d'un suivi permanent et d'évaluations périodiques.   
b) Pouvoir faire la preuve de la mise en œuvre de son programme de gestion de la vie privée selon les besoins, et en particulier à la demande d'une autorité chargée de protéger la vie privée compétente ou de toute autre entité chargée de promouvoir le respect d'un code de conduite ou d'arrangements similaires donnant un effet contraignant aux présentes Lignes directrices; et 
c) Aviser, selon les besoins, les autorités chargées de protéger la vie privée ou d'autres autorités compétentes des cas d'atteintes significatives à la sécurité qui affectent des données à caractère personnel. Lorsque l'atteinte à la sécurité est susceptible de faire tort à des personnes concernées, le maître du fichier devrait informer ces dernières
(nos soulignements)
La Partie Trois des Lignes directrices amendées insiste donc sur l'importance pour le maître de fichier de mettre en place un "programme de gestion de la vie privée" ce qui s'explique par le fait que:  
"[...] Recognition of the importance of the accountability principle has increased over time. Domestic privacy laws have come to introduce a variety of mechanisms designed to promote the accountability of both public and private data controllers. Obligations of transparency towards individuals and privacy enforcement authorities are clear examples of such mechanisms. 
In recent years, the principle of accountability received renewed attention as a means to promote and define organisational responsibility for privacy protection. Building on this experience, the new Part Three of the Guidelines (“Implementing Accountability”) introduces the concept of a privacy management programme and articulates its essential elements. [...]"
(Source: The OECD Privacy Framework, p. 23)
Cette nouvelle partie préconise également que le maître de fichier doit notifier, aux autorités chargées de protéger la vie privée et aux personnes concernées, les incidents de sécurité visant des données à caractère personnel, étant entendu que: 
"Data breaches can result, for example, from actions by careless employees who fail to follow proper procedures; hackers who gain access to inadequately protected databases; or opportunistic thieves who steal unsecured portable devices. However, the underlying causes – lack of employee training and awareness, out-of-date security safeguards, inadequate rules governing access to personal data, over-collection of data and undefined retention periods, or a lack of adequate oversight – can often be attributed to the data controller. 
The potential harm to individuals from the misuse of their personal data, whether accidentally lost or purposefully stolen, may be significant. Organisations experiencing a breach often incur significant costs responding to it, determining its cause, and implementing measures to prevent recurrence. The reputational impact can also be significant. A loss of trust or confidence can have serious consequences for organisations. As a result, the security of personal data has become an issue of great concern to governments, businesses and individuals."
(Source: The OECD Privacy Framework, p. 26)
En ce sens les Lignes directrices amendées font écho aux lois qui en Europe, en Alberta ou encore aux États-Unis obligent à notifier de tels incidents, mais aussi aux nombreux projets de lois en ce sens.
"Breach notification laws requiring data controllers to inform individuals and/or authorities when a security breach has occurred have been passed or proposed in many countries. These laws are usually justified on the grounds that data controllers have little incentive to disclose breaches voluntarily, given the possible harm this can cause to their reputation. Requiring notification may enable individuals to take measures to protect themselves against the consequences of identity theft or other harms. Notification requirements may also provide privacy enforcement authorities or other authorities with information to determine whether to investigate the incident or take other action. Ideally, breach notification laws also help to create an incentive for data controllers to adopt appropriate security safeguards for the personal data they hold. 
[...] Security breaches may affect the personal data of individuals residing in different jurisdictions. When designing, implementing or revising breach notification requirements, special consideration may be given to the interests of affected individuals who may live outside their jurisdiction. In particular, the notification of privacy enforcement authorities in other jurisdictions where a significant number of individuals are known or likely to have been affected, can be beneficial. Cross-border enforcement cooperation mechanisms are one way to foster arrangements that might support or disseminate breach notifications of importance to multiple jurisdictions. Such arrangements may also help to address issues arising from conflicting legal requirements."
(Source: The OECD Privacy Framework, p. 26 et 27)
Les Lignes directrices amendées mettent également l'accent sur l'importance pour les pays Membres de mettre en œuvre ces dernières au plan national notamment en élaborant "des stratégies nationales de protection de la vie privée qui traduisent une approche coordonnée entre organismes gouvernementaux" (art. 19(a)), en mettant en place et en assurant "le fonctionnement d'autorités chargées de la protection de la vie privée qui soient dotées de la gouvernance, des ressources et de l,expertise technique nécessaires pour exercer leurs pouvoirs efficacement et prendre leurs décisions de manière objective, impartiale et cohérente (art. 19(c)), en instituant "des sanctions et des recours appropriés en cas d'inobservation des dispositions législatives protégeant la vie privée (art. 19(f)). 

Elles insistent aussi sur le fait que les pays Membres doivent, entre autres, "prendre des mesures appropriées pour faciliter la coopération transfrontières dans l'application des législations protégeant la vie privée, notamment en renforçant le partage d'informations entre autorités chargées de protéger la vie privée" (art. 20), "encourager et soutenir l'élaboration d'arrangements internationaux favorisant l'interopérabilité des cadres de protection de la vie privée, qui assurent l'application des présentes Lignes directrices" (art. 21) ou encore "encourage l'élaboration de systèmes de mesures comparables au plan international afin d'éclairer le processus d'élaboration de politiques publiques concernant la vie privée et les flux transfrontières de données de caractère personnel" (art. 22). 

Enfin, il est prévu que le Comité de la politique de l'information, de l'informatique et des communications suive la mise en œuvre des Lignes directrices amendées et fasse un rapport au Conseil dans les cinq ans suivant leur adoption, soit en 2018. 

À suivre donc ... 

Pour aller plus loin, 

Aucun commentaire:

Enregistrer un commentaire

Remarque : Seul un membre de ce blog est autorisé à enregistrer un commentaire.