Contrôler et sanctionner / Contribuer à la régulation internationale / Anticiper et innover / Les sujets de réflexion pour 2013 / Annexes
infos +
Le Conseil de l’Europe et l’OCDE
Le processus de modernisation de
la Convention n° 108 du Conseil de
l’Europe
Le Conseil de l’Europe a été une
organisation internationale phare de la
protection des données personnelles avec
l’adoption du premier instrument juridique européen contraignant en matière
de protection des données en 1981 : la
Convention pour la protection des personnes à l’égard du traitement automatisé
des données à caractère personnel (dite
« Convention 108 »), complétée par un
Protocole additionnel concernant les autorités de contrôle et les flux transfrontières
de données.
Sur une initiative du Comité des
ministres du Conseil de l’Europe de
mars 2010, les travaux de révision de
la Convention 108 ont débuté en 2011
avec pour objectif l’adaptation de ses
dispositions aux réalités actuelles.
Les principales propositions d’évolution du texte sont notamment : l’insertion d’une référence au droit de chaque
individu de « contrôler ses propres
données » ; l’insertion d’un principe de
minimisation des données ; l’inversion
de la logique du droit d’opposition (le
responsable de traitement devant justifier de l’existence de motifs légitimes
prépondérants pour refuser de faire droit
à la demande) ; la notification des failles
de sécurité aux autorités de contrôle ;
l’ajout des principes d’accountability
et « de protection de la vie privée dès la
conception » et la préservation de l’acquis
communautaire en matière de transferts
internationaux.
Le projet de modernisation de la
convention 108 a été adopté par la plénière du comité consultatif dit « Comité
T-PD » le 30 novembre 2012.
Il doit ensuite, après une étape de
discussion au sein d’un comité intergouvernemental ad hoc (dont la première
réunion est prévue pour le mois de
juin 2013), être soumis au Comité des
ministres du Conseil de l’Europe.
La révision des lignes directrices
de l’OCDE
L’Organisation de coopération et de
développement économiques (OCDE),
fondée en 1960 et vouée au développement mondial, compte aujourd’hui
34 pays membres à travers le monde. Le
23 septembre 1980, l’OCDE a adopté
des « Lignes directrices sur la protection
de la vie privée et les flux transfrontières
de données à caractère personnel », sous
la forme d’une recommandation.
En 2010, à l’occasion du 30e anniversaire des lignes directrices, l’OCDE a
engagé des travaux en vue de leur révision.
Les principales modifications envisagées
concernent notamment : l’insertion du
principe d’accountability pour les responsables de traitements et l’obligation de notification des failles de sécurité (aux autorités
compétentes et aux individus concernés).
L’OCDE compte 34 pays
membres à travers le monde,
de l’Amérique du Nord et
du Sud à l’Europe, en passant
par la région Asie-Pacifique
et LE CONSEIL DE L’EUROPE,
47 pays membres dont
la quasi-totalité des États
du continent européen.
Les lignes directrices modifiées
devraient être adoptées par le Conseil de
l’OCDE à la fin du premier semestre 2013.
Certaines modifications impliquant
de véritables changements de fond par
rapport à l’approche initiale, la CNIL
demeure vigilante sur le maintien d’un
niveau élevé de protection ainsi que de
l’acquis communautaire, notamment
en matière de règles applicables aux
transferts internationaux de données
personnelles. La CNIL soutient également
l’insertion d’un principe de limitation de
la durée maximale de conservation des
données au nombre des « principes fondamentaux » des lignes directrices.
Les règles internes d’entreprise
(« BCR »)
Les Binding Corporate Rules (BCR)
constituent un code de conduite interne
définissant la politique d’un groupe en
matière de transferts de données personnelles hors de l’Union européenne. Ces
règles doivent être contraignantes et respectées par toutes les entités du groupe,
quel que soit leur pays d’implantation,
ainsi que par tous les salariés de ces
entités. Les BCR permettent alors d’assurer un niveau de protection suffisant
aux données transférées hors de l’Union
européenne au sein d’un même groupe.
Fin 2012, 40 groupes ont déjà adopté
des BCR, dont 35 % ont choisi la CNIL
comme autorité chef de file pour mener
40
groupes ont déjà
adopté des BCR
dont 35 % ont choisi la CNIL
comme autorité chef de file
61