Coopération internationale

La coopération internationale joue un rôle incontournable dans nos activités. L’année 2013 a ainsi été marquée par la poursuite des travaux de modernisation de la Convention 108, des lignes directrices de l’OCDE et du cadre juridique européen. Le renforcement de la coopération entre autorités de protection des données a également été au centre des discussions, notamment au sein de l’Association des autorités francophones de la protection des données, de la Conférence internationale des commissaires à la protection des données et des instances de contrôle communes Schengen, Eurodac et VIS.

Conseil de l'Europe

La modernisation de la Convention pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel (Convention 108) demeure une activité prioritaire du Conseil de l'Europe. Ainsi, le projet de modernisation adopté par le comité consultatif de la Convention 108 (T-PD) lors de sa 29e réunion plénière (voir 20e rapport d'activités 2012/2013, ch. 1.9.1) a été transmis à un comité ad'hoc (CAHDATA) composé des représentants gouvernementaux des États membres du Conseil de l'Europe, de l'Uruguay (premier État non européen ayant adhéré à la Convention), des États ayant un statut d'observateur permanent au Conseil de l'Europe et d'un certain nombre d'États tiers susceptibles d'adhérer à la Convention. Des représentants d'organisations internationales, d'organisations non gouvernementales et de l'économie assistent également aux travaux. Le CAHDATA est chargé de finaliser le texte préparé par le T-PD et de préparer un protocole d'amendement à la Convention. Il a tenu une première réunion en 2013 et devrait achever ses travaux d'ici fin 2014.

Pour sa part, le T-PD a examiné le projet de rapport explicatif devant accompagner la Convention révisée et a fixé le cadre des futurs mécanismes de suivi prévus dans le projet de modernisation. Il a également examiné en première lecture une révision de la recommandation n° R (89) 2 sur la protection des données à caractère personnel utilisées à des fins d'emploi. Cette révision est rendue nécessaire par les évolutions technologiques et le recours toujours plus fréquent à des technologies de surveillance sur le lieu de travail. Le comité a examiné également un rapport d'expert relatif à l'opportunité de revoir la recommandation n° R (87) 15 visant à réglementer l'utilisation de données à caractère personnel dans le secteur de la police.

Le comité est parvenu à la conclusion que vu que la recommandation fait partie intégrante d'accords internationaux contraignants, notamment les accords de Schengen, il n'était pas opportun de la modifier, mais qu'il conviendrait plutôt d'élaborer un nouvel instrument répondant aux exigences actuelles en matière de protection des données dans le cadre des activités de police et de lutte contre la criminalité. Le comité a adopté son programme de travail pour 2014 / 2015. Il se penchera notamment sur la question de l'échange automatique des données à des fins fiscales et financières.

Enfin, le comité a eu un échange de vue sur l'affaire PRISM et les révélations relatives aux activités de la NSA et leurs incidences pour les droits de l'homme et les libertés fondamentales. Dans une lettre adressée au Comité des Ministres du Conseil de l'Europe, le comité estime nécessaire de conduire une réflexion sur le renforcement des mesures visant à mettre en oeuvre le cadre juridique applicable aux traitements de données à caractère personnel effectués dans le cadre de programmes de surveillance à des fins de sécurité nationale, afin de garantir à toute personne concernée le respect de ses droits. Il rappelle que ces traitements doivent pouvoir faire l'objet d'un contrôle effectif, indépendant et transparent. Le comité dénonce également l'usage de techniques de surveillance de masse qui pourraient porter gravement atteinte au respect des droits de l'homme et à la démocratie.
 

Conférence européenne des commissaires à la protection des données

La conférence européenne des commissaires à la protection des données s'est tenue à Lisbonne du 16 au 17 mai 2013 à l'invitation de la commission portugaise de la protection des données. Intitulée «Protecting Privacy: the challenge ahead», la conférence a permis de faire le point sur les réformes en cours du droit de la protection des données au sein de l'Union européenne, du Conseil de l'Europe et de l'OCDE. Nous avons ainsi présenté l'état d'avancement des travaux de modernisation de la Convention 108 et son contenu.

Les commissaires ont également débattu de la manière de rendre plus efficace la protection des données en pratique, notamment sur Internet et les réseaux sociaux. La coopération entre autorités de protection des données, les questions de sécurité des données et le rôle futur des autorités de protection des données au sein de l'Union européenne ont également été abordés.

La conférence a adopté trois résolutions. La première résolution porte sur l'avenir de la protection des données en Europe. Les commissaires appellent les États européens à renforcer les droits de la personnalité et à soutenir l'adoption d'un cadre juridique assurant une protection des données effective dans un monde hautement technologique et globalisé.

Ce cadre doit être solide et cohérent et assurer le même niveau de protection dans les secteurs public et privé. Il doit permettre de renforcer les mécanismes de coopération entre les autorités de protection des données, lesquelles doivent être dotées de compétences et de pouvoirs effectifs, ainsi que des ressources humaines et financières suffisantes pour remplir leurs tâches de surveillance de manière indépendante. La deuxième résolution concerne le projet d'accord sur le libre échange entre l'Union européenne et les États-Unis. Les commissaires demandent que cet accord comprenne des dispositions de protection des données. La troisième résolution concerne les nouvelles bases légales devant régir Europol et la nécessité d'assurer un niveau de protection des données adéquat.
 

Conférence internationale des commissaires à la protection des données et à la vie privée

La 35e Conférence des commissaires à la protection des données et à la vie privée s'est tenue du 13 au 26 septembre 2013 à Varsovie. Réunissant des représentants provenant d'un quarantaine d'États, ainsi que des représentants de l'économie, des administrations, de la société civile et du monde académique, la conférence a permis d'aborder les enjeux actuels en matière de protection des données et notamment l'interopérabilité des outils de transferts internationaux des données, l'accès des autorités publiques aux données, l'éducation numérique, le big data, la cybersécurité, les compétences et le rôle des autorités de protection des données, la problématique des applications mobiles. Cette dernière a fait l'objet d'une déclaration des commissaires sur «l'applification» de la société.

Par cette déclaration, les commissaires s'engagent à veiller à ce que les utilisateurs jouissent d'une meilleure expérience en matière de protection des données et comptent débattre avec les divers intervenants des secteurs public et privé de leurs rôles et responsabilités. Ils rappellent ainsi que les utilisateurs doivent garder la maîtrise des données qui les concernent et ainsi pouvoir décider quelles informations peuvent être communiquées et à quelles fins.

En outre, les développeurs d'applications doivent prendre en considération les exigences de la protection des données dès la conception d'une application. Ils doivent prendre une décision claire concernant les données qu'ils jugent nécessaires au bon fonctionnement de l'application et s'assurer qu'aucune autre donnée n'est collectée sans le consentement éclairé de l'utilisateur. Enfin, ils soulignent que les fournisseurs de systèmes d'exploitation sont également responsables de la protection des données sur leurs plateformes. Les commissaires vont oeuvrer durant l'année 2014 afin d'améliorer la protection des données dans le domaine des applications et reviendront sur cette question lors de leur 36e conférence.

Les commissaires ont adopté plusieurs résolutions. Dans une résolution, les commissaires invitent les organismes qui font du profilage en particulier:

  • à déterminer clairement la nécessité et l'utilisation pratique de chaque activité de profilage et à s'assurer de mettre en place des mesures de sécurité adéquates avant d'entreprendre le profilage;
  • à limiter dès l'étape de la conception la quantité de données collectées au niveau nécessaire aux fins licites prévues et à assurer la mises à jour et l'exactitude des données;
  • à informer sur les activités de profilage, notamment sur la manière d'établir les profils et sur les finalités poursuivies;
  • à s'assurer, en particulier lors de décisions ayant des répercussions juridiques importantes pour des personnes, que celles-ci sont informées de leur droit de consulter et de corriger les données personnelles et de recourir à une intervention humaine s'il y a lieu;
  • à s'assurer que toute activité de profilage fait l'objet d'un surveillance appropriée.

Dans une deuxième résolution relative au suivi sur le Web (webtracking) et la protection de la vie privée, les commissaires reconnaissent que le suivi comporte certes certains avantages pour les consommateurs, mais que cette activité pose un risque sans précédent d'atteinte à la vie privée. Il appelle ainsi les parties prenantes:

  • à respecter le principe de finalité;
  • à informer les utilisateurs du recours à des éléments de suivi et leur permettre d'avoir la maîtrise de ces éléments;
  • à s'abstenir d'utiliser des dispositifs de suivi invisibles à des fins autres que la sécurité et le dépistage des fraudes, ou la gestion du réseau;
  • à faire preuve de la transparence appropriée au sujet de tous les types de pratiques de suivi sur le Web;
  • à offrir aux utilisateurs des outils conviviaux leur permettant de maîtriser de manière adéquate la collecte et l'utilisation de leurs données personnelles;
  • à s'abstenir de suivre l'activité en ligne d'enfants ou sur les sites web destinés aux enfants;
  • à respecter la vie privée dès la conception et à réaliser une évaluation des facteurs relatifs à la vie privée au début de nouveaux projets;
  • à utiliser des techniques réduisant les répercussions sur la vie privée, notamment la dépersonnalisation et l'utilisation de pseudonymes;
  • à promouvoir l'adoption de normes techniques visant à conférer aux utilisateurs une meilleure maîtrise.

Une troisième résolution appelle à une amélioration et un renforcement de la transparence, principe essentiel pour permettre aux personnes de prendre des décisions éclairées concernant l'utilisation de leurs données et d'agir en conséquence pour protéger leur vie privée et faire valoir leurs droits. Cette résolution est complétée par une résolution relative à une éducation au numérique pour tous. Le numérique est partie intégrante de notre vie quotidienne. Pour faire face au défi en matière de protection des données, le cadre juridique ne peut à lui seul apporter toutes les réponses et garanties nécessaires. Les commissaires considèrent dès lors indispensable de promouvoir une culture générale du numérique, d'agir ensemble à cet effet avec les acteurs concernés et d'adopter un programme commun, notamment en vue d'une formation continue au numérique.

Rappelant les déclarations (voir notamment la déclaration de Montreux, 13e rapport d'activités 2005 / 2006) et les résolutions adoptées lors des précédentes conférences, les commissaires ont adopté une résolution appelant à l'inscription de la protection des données et de la protection de la vie privée dans le droit international. Aux yeux des commissaires, suite aux révélations d'Edward Snowden, il est de plus en plus urgent de mettre en place un accord juridiquement contraignant sur la protection des données qui garantisse le respect des droits de l'homme lors du traitement de données personnelles tout en tenant compte de façon équilibrée, de la sécurité, des intérêts économiques et de la liberté d'expression.

Enfin, dans deux autres résolutions, l'une sur la coordination de l'application de la loi à l'échelle internationale, l'autre sur l'orientation stratégique de la conférence internationale, les commissaires s'engagent à améliorer et renforcer leur collaboration, notamment pour assurer une coordination des enquêtes transnationales. Un document global et multilatéral mettant en place un cadre pour coordonner les actions internationales en matières de contrôle et d'échange d'informations sera présenté en vue d'adoption à la 36e Conférence qui se tiendra en octobre 2014 à l'Île Maurice.
 

Groupe de travail de l'OCDE sur la sécurité de l'information et la vie privée

Le groupe de travail de l'OCDE sur la sécurité de l'information et la vie privée s'est essentiellement employé cette année à parachever les directives sur la sécurité et la protection des données. Au terme d'intenses discussions, il a été décidé de maintenir les huit principes fondamentaux déjà établis. Par contre, de nouveaux programmes de gestion de la protection de la vie privée sont prévus, par lesquels les entreprises seront tenues de mettre systématiquement à la disposition des clients et des autorités toutes les informations importantes en matière de protection de la vie privée. Un devoir d'information est introduit en cas de violation de la sécurité des données ou de la protection des données (notification des violations de données). De plus, les critères applicables aux transmissions de données à l'étranger sont définis de manière plus précise, la coopération internationale est renforcée et l'accent est mis sur la sensibilisation et la formation du public. L'incitation à adopter des technologies respectueuses de la vie privée a également été prise en compt. Enfin, le respect de la vie privée est reconnu comme droit fondamental. Le comité des ministres ayant adopté ces nouvelles lignes directrices, le groupe de travail se consacrera prochainement à leur mise en oeuvre.

Le rôle des données personnelles dans l'économie a été au coeur des discussions. Du fait de la forte croissance de la numérisation du traitement et du stockage de données personnelles, le cloud computing (informatique en nuage), le big data (datamasse) et l'open data (ouverture des données publiques) sont devenus des thèmes permanents du groupe de travail. Nul ne contestera que la croissance économique future sera indissociable de l'exploitation d'une énorme quantité de données. La protection de la vie privée sera à cet égard d'une importance capitale. Hormis l'État et l'économie, le rôle de l'utilisateur du réseau Internet sera un élément de plus en plus central; en effet, c'est lui qui génère la majeure partie des données personnelles disponibles en ligne. D'autres actions s'imposent afin de compenser le manque de transparence et de protection dans ce contexte surtout. Par ailleurs, étant donné l'énorme volume de données, la question de la sécurité se pose inévitablement. Il en découle aussi un lien avec les lignes directrices de l'OCDE sur la protection des données, récemment mises à jour, et avec les lignes directrices de l'OCDE sur la sécurité, qui doivent encore être révisées.

Il convient aussi de relever que de nombreux États membres sont préoccupés car, estiment-ils, les conditions-cadres relatives à la protection de la vie privée dans le cas de big data, open data, etc. pourraient entraver le développement économique si attendu. Toutefois, l'unanimité règne quant au fait que les méthodes et les processus de traitement des données doivent se conformer aux dispositions en matière de protection des données locales et non le contraire.
 

Association francophone des autorités de protection des données

L'Association francophone des autorités de protection des données (AFAPDP) a tenu sa septième conférence et son Assemblée générale du 21 au 22 novembre 2013 à Marrakech. La conférence a réuni des représentants provenant de 25 États de l'espace francophone. Cela a été l'occasion pour les autorités de protection des données de ces États d'échanger sur les questions qui les interpellent. Elles ont ainsi fait le point sur les développements législatifs en cours au plan national et international dans les différentes régions du monde. Elles ont abordé la question de la défense des libertés sur Internet, de la place des appareils et des services mobiles dans la société et des défis qu'ils entraînent pour les droits et libertés fondamentales. Elles ont également échangé sur leur gestion des communications externes et leur politique médiatique, ainsi que sur l'exercice de leurs compétences, notamment de leur pouvoir de contrôle.

Lors de l'Assemblée générale, les autorités de protection des données de l'espace francophone ont réélu M. Jean Chartier (Québec) à la présidence. M. Jean-Philippe Walter, préposé fédéral suppléant a été réélu à la vice-présidence au côté de Mme Marguerite Ouedraogo (Burkina Faso). Mme Isabelle Falquier-Pierrotin est pour sa part réélue au poste de secrétaire générale.

L'Assemblée a en outre adopté 3 résolutions. La première vise à assurer une plus grande transparence des pratiques de collecte des donnés personnelles par les autorités étatiques et recommandent aux gouvernements des États de l'Organisation internationale de la francophonie de soutenir l'adoption aux Nations Unies d'un instrument juridique contraignant de protection des données et à ceux qui ont adopté une législation de protection des données de demander l'adhésion à la Convention 108 et son protocole additionnel.

Une deuxième résolution porte sur l'éducation au numérique. Les autorités francophones s'engagent à «continuer à promouvoir une utilisation respectueuse et responsable des technologies du monde numérique auprès des citoyens et des organisations publiques et privées» et à «encourager une formation au numérique tout au long de la vie et accessible à tous car il est nécessaire, dans un monde où les technologies évoluent très rapidement, de donner aux personnes des moyens pour devenir des acteurs responsables et égaux face au numérique.»

La troisième résolution concerne l'adoption d'un protocole de coopération entre les autorités membres de l'AFAPD et la mise en place d'une procédure d'encadrement des transferts de données dans l'espace francophone au moyen, notamment, de règles contraignantes d'entreprises (RCE). Ces règles offrent plusieurs avantages. En particulier, elles permettent de garantir un niveau élevé de protection des données. Cet outil prévoit le respect des principes fondamentaux de protection des données sous forme de codes de conduite internes à l'entreprise et de mécanismes de mise en oeuvre (conseiller à la protection des données, procédure d'audit, formation, gestion des plaintes).

Le PFPDT ne pourra à l'heure actuelle pas approuver ces règles contraignantes. Toutefois, comme il le fait pour les RCE européens, il pourra reconnaître des RCE ayant été approuvées par d'autres autorités de protection des données comme offrant des garanties suffisantes lors du transfert de données à l'étranger.
 

Groupe de travail «Border, Travel & Law Enforcement»

Le «Border, Travel & Law Enforcement subgroup» (BTLE) est un sous-groupe de travail créé par le Groupe de travail «article 29» sur la protection des données. Le sous-groupe a pour mission de suivre les développements législatifs touchant aux secteurs de la police, des frontières et de la justice pénale, notamment ceux relevant de l'acquis Schengen. Dans ce contexte, il prépare des avis et des positions qui sont ensuite adoptés par le groupe de travail de l'article 29. Nous avons participé aux différentes réunions au cours de l'année sous revue.

Le sous-groupe de travail a en particulier préparé un avis sur le projet de «frontières intelligentes» suite à l'adoption par la Commission d'une proposition de règlement portant sur la création d'un système d'entrée/sortie pour l'enregistrement des entrées et sorties des ressortissants d'États tiers franchissant les frontières extérieures des États membres de l'Union européenne et d'un règlement portant sur la création d'un programme d'enregistrement des voyageurs.

Le sous-groupe a suivi avec attention la création d'un cadre européen pour la communication des données PNR aux États tiers et pour l'utilisation des données PNR à des fins répressives. Il suit également la révision du cadre juridique de protection des données de l'Union Européenne instaurée par le Traité de Lisbonne. Le sous-groupe élabore une opinion sur le principe de nécessité en matière de protection des données. Enfin, depuis l'éclatement de l'affaire Snowden, le sous-groupe discute activement du programme PRISM et d'autres programmes similaires.
 

Groupe de coordination du contrôle du SIS II

Le 11 juin 2013 a eu lieu la première réunion officielle du groupe de coordination du SIS II qui a remplacé l'autorité de contrôle commune Schengen (ACC) suite à l'entrée en vigueur du SIS II le 9 avril 2013. Le groupe de coordination SIS II est constitué de la même manière que celui chargé du contrôle d'Eurodac et de VIS et se compose également du Commissaire européen pour la protection des données et des autorités nationales de protection des données. Une deuxième séance s'est tenue le 17 octobre 2013.

Lors de ces réunions, le groupe a adopté son règlement interne, élu sa présidente et son vice-président et adopté son nouveau programme de travail qui reprend en grande partie celui des travaux initiés par l'ACC. Il a été informé du bon déroulement du processus de migration du SIS I+ vers le SIS II, qui est devenu opérationnel le 9 avril 2013, ainsi que de la campagne d'information par la Commission.

Lors de la première séance du groupe, l'autorité de protection des données danoise a informé que le N-SIS danois avait été victime de hacking. Suite à cette information, un courrier a été préparé et toutes les autorités de protection des données l'ont adressé à leur Bureau SIRENE national afin que ce dernier s'assure que toutes les mesures de sécurité nécessaires ont été mises en place et qu'aucun incident similaire n'est survenu. Enfin, le groupe a créé un sous-groupe chargé d'élaborer un document concernant l'inspection des alertes SIS II, VIS et EURODAC.

Au niveau suisse, la coordination des activités liées à Schengen se fait au sein d'un groupe de coordination rassemblant le PFPDT et les autorités cantonales de protection des données. Ce groupe se réunit au minimum deux fois par année. Il permet aux autorités représentées de s'informer des développements en cours et des activités de l'ACC, de planifier des activités de contrôle et d'échanger des informations.
 

Groupe de travail européen sur le traitement de cas relevant de la protection des données

La 25e réunion du groupe de travail européen sur le traitement de cas relevant de la protection des données («Case Handling Workshop»), s'est tenue à Sarajevo du 2 au 3 octobre 2013. Le groupe de travail, constitué de représentants de 29 autorités nationales de protection des données s'est concentré sur plusieurs sujets. Le groupe a ainsi premièrement abordé la problématique des réseaux sociaux et d'internet. Il en ressort qu'il faut impérativement sensibiliser le public aux dangers de ces réseaux et de les responsabiliser; plusieurs autorités de protection des données ont rédigé un guide à l'intention du jeune public. De son côté, le PFPDT soutient l'initiative de la campagne multimédia «NetLa - mes données m'appartiennent» destinée aux enfants et aux jeunes (voir notre 18e rapport d'activités 2010/2011, ch. 3.3 et www.netla.ch).

Dans un deuxième temps, la discussion a porté sur les nouveaux défis soulevés par l'utilisation de la téléphonie mobile dans le domaine de la protection des données, notamment l'utilisation de la messagerie «WhatsApp». Enfin, le marketing direct, l'utilisation de données biométriques ainsi que la vidéosurveillance dans le secteur public et privé ont été thématisés et illustrés à l'aide des divers cas concrets tirés de la pratique des différentes autorités de protection des données. L'autorité de protection des données bosniaque publiera prochainement un manuel sur tous les sujets abordés lors de cette réunion.
 

Visite de la Commissaire géorgienne à la protection des données

À la demande du DFAE, nous avons reçu la commissaire géorgienne à la protection des données ainsi que la responsable du département des relations internationales et de la communication pour une journée d'information et d'échange sur nos pratiques en matière de conseil et de contrôle.

Le DFAE a organisé en décembre 2013 une visite diplomatique de la commissaire géorgienne à la protection des données. La loi géorgienne sur la protection des données est entrée en vigueur au printemps 2013 et la commissaire a pris ses fonctions durant l'été. Son service, qui compte 14 personnes, est en cours de développement. Ses activités se concentrent sur le conseil et des procédures de contrôle auprès du secteur privé pourront être entreprises dès l'année 2016.

Dans ce cadre, la commissaire tient à rencontrer différentes autorités de protection des données en Europe pour s'informer sur leur organisation et leur fonctionnement. Accompagnée de la responsable du département des relations internationales et de la communication, elle a choisi notre autorité pour sa première visite du fait des très bonnes relations diplomatiques entre la Suisse et la Géorgie.

Une journée d'échange a ainsi eu lieu dans nos locaux. Nous avons accueilli officiellement la délégation géorgienne, accompagnée du conseiller à la protection des données du DFAE et avons présenté notre organisation interne. Nous avons ensuite détaillé nos tâches en illustrant nos propos avec différents exemples tirés de nos activités de conseil et de contrôle. Nous avons également présenté notre méthode de travail, les outils et l'infrastructure à notre disposition et finalement nos actions en matière de sensibilisation à la protection des données.

https://www.edoeb.admin.ch/content/edoeb/fr/home/documentation/rapports-d-activites/21e-rapport-d-activites-2013-2014/cooperation-internationale.html