Skip to main content
News

Pays de l’OCDE : accès des gouvernements aux données du secteur privé

Pays de l’OCDE : accès des gouvernements aux données du secteur privé

Article

Les pays de l’OCDE adoptent un accord sur l’accès des gouvernements aux données du secteur privé

31 Janvier 2023

Les membres de l’Organisation de coopération et de développement économiques (“OCDE”) et l’UE ont adopté le 14 décembre 2022 la Déclaration sur l’accès des pouvoirs publics aux données à caractère personnel détenues par des entités du secteur privé (“Déclaration”). Cette déclaration, qui rejette toute approche de l’accès public aux données personnelles incompatible avec les valeurs démocratiques et l’État de droit, est l’aboutissement de deux années de travail entre l’OCDE et un groupe d’experts nationaux en matière de protection des données, de sécurité nationale et de répression.

La déclaration complète les Lignes directrices de l’OCDE sur la protection de la vie privée, l’une des principales réalisations de l’OCDE datant de 1980, et sert de base aux règles de protection de la vie privée dans de nombreux pays. Révisées pour la dernière fois en 2013, les Lignes directrices sur la protection de la vie privée constituent une référence standard pour la protection des données personnelles et visent à faciliter les flux de données transfrontaliers dans le respect des valeurs démocratiques, de l’État de droit et de la protection de la vie privée et des autres droits et libertés. Néanmoins, les Lignes directrices prévoient également des exceptions en matière de sécurité nationale et d’application de la loi.

La nouvelle déclaration énonce des principes communs qui reflètent les points communs des lois et pratiques existantes des pays membres de l’OCDE et qui se complètent pour protéger la vie privée et les autres droits et libertés des personnes.

Cette déclaration établit les principes communs suivants (résumés condensés), tirés des lois existantes, sur l’accès des gouvernements aux données personnelles détenues par des entités privées :

1

Base légale

La déclaration indique que l'accès aux données par le gouvernement est prévu et réglementé par le cadre juridique du pays. En outre, ce cadre est contraignant pour les autorités gouvernementales et est adopté et mis en œuvre par des institutions établies démocratiquement et fonctionnant dans le respect de l'État de droit. Ce cadre juridique définit les objectifs, les conditions, les limites et les garanties concernant l'accès du gouvernement, afin d'offrir aux individus des garanties suffisantes contre le risque de mauvaise utilisation et d'abus de leurs données.
2

Objectifs légitimes

L'accès du gouvernement doit être effectué d'une manière qui n'est pas excessive au regard de ses objectifs légitimes et doit être conforme aux principes de nécessité, de proportionnalité et de caractère raisonnable. Cela signifie que l'accès ne peut être utilisé à des fins telles que la suppression des critiques ou des dissidences ou le désavantage des personnes ou des groupes sur la seule base de caractéristiques protégées, etc.
3

Approbations

Les cadres juridiques établissent des exigences d'approbation préalable. Ils décrivent également la procédure à suivre pour demander et obtenir l'autorisation d'accès du gouvernement. Ces exigences sont proportionnelles au degré d'ingérence dans la vie privée et les autres droits et libertés de l'homme. Des normes plus strictes sont imposées pour les interférences graves ou les exceptions d'urgence, que les cadres juridiques définissent strictement. Les exceptions d'urgence aux exigences d'approbation sont également prévues dans le cadre juridique ; elles doivent être clairement définies et inclure des justifications, des conditions et une durée. Les décisions d'approbation sont "documentées de manière appropriée" et "prises objectivement, sur une base factuelle, dans la poursuite d'un objectif spécifique et légitime et après avoir constaté que les conditions d'approbation sont remplies". Lorsque les approbations ne sont pas requises, la déclaration indique que d'autres garanties du cadre juridique sont applicables pour protéger contre les abus, notamment "des règles claires qui imposent des conditions ou des limitations à l'accès, ainsi qu'une surveillance efficace".
4

Traitement des données

Les données personnelles acquises par le biais de l'accès gouvernemental ne peuvent être traitées et manipulées que par le personnel autorisé. Le traitement de ces données exige que des mesures physiques, techniques et administratives soient mises en œuvre par le gouvernement pour sauvegarder les données (il s'agit notamment du traitement de données personnelles ayant une base juridique valide, la conservation ne peut être que de la durée prescrite par le cadre juridique, compte tenu de la finalité du traitement et de la sensibilité des données).
5

Transparence

Le cadre juridique régissant l'accès du gouvernement doit être accessible au public. En outre, chaque pays doit disposer de mécanismes de transparence appropriés concernant l'accès du gouvernement aux données à caractère personnel, par exemple en permettant aux organes de contrôle appropriés de rendre compte de la conformité du gouvernement.
6

Supervision

Il doit exister un contrôle pratique et impartial de l'accès des pouvoirs publics aux données à caractère personnel, conformément aux exigences légales nécessaires (assuré par des organes tels que les bureaux de conformité interne, les tribunaux, les commissions parlementaires ou législatives et les autorités administratives indépendantes).
7

Redressement

Les individus ont droit à un recours effectif lorsqu'une violation a eu lieu. Les mécanismes de recours peuvent comporter des limitations, notamment le droit d'être informé, compte tenu des règles de sécurité nationale. Les recours appropriés peuvent comprendre l'effacement des données à caractère personnel, la cessation du traitement illicite et l'octroi de dommages et intérêts.

Outre ces principes, les signataires conviennent qu’en cas de restrictions des flux transfrontaliers dans les législations nationales, ils considèrent la mise en œuvre effective de la réglementation par le pays de destination comme une “contribution positive”. En même temps que la déclaration, l’UE a publié son projet de décision d’adéquation sur les flux de données entre l’UE et les États-Unis le 13 décembre.

En conclusion, la Déclaration sur l’accès des pouvoirs publics constitue une étape importante dans les travaux de l’OCDE visant à aider les pays à promouvoir la confiance dans les flux de données transfrontières. La déclaration complète le projet “Going Digital” de l’OCDE, qui se concentre sur la gouvernance des données pour la croissance et le bien-être dans sa troisième phase actuelle. Elle propose également des solutions fondées sur des données probantes pour relever les principaux défis des pays en matière de gouvernance des données. Les résultats attendus de cette phase du projet, qui s’est achevée lors de la réunion ministérielle, comprennent le Guide pour la gouvernance des données et le rapport sur la transformation numérique et la gouvernance des données pour la croissance et le bien-être.

AUTHOR

Raluca Suciu

Data Protection Manager

REVIEWER

Emeraude Camberlin

DPO Certified & Squad Leader

Si vous voulez nous contacter

Contactez nous