LE CONSEIL,

VU l’Article 5 b) de la Convention relative à l'Organisation de Coopération et de Développement Économiques, du 14 décembre 1960 ;

VU la Déclaration des Ministres relative à la protection de la vie privée sur les réseaux mondiaux [Annexe 1 au document C(98)177] ; la Recommandation du Conseil concernant les Lignes directrices régissant la sécurité des systèmes et réseaux d'information [C(2002)131/FINAL], la Recommandation du Conseil sur la coopération transfrontière dans l'application des législations protégeant la vie privée [C(2007)67], la Déclaration sur le futur de l'économie Internet (Déclaration de Séoul) [C(2008)99], la Recommandation du Conseil sur les principes pour l'élaboration des politiques de l'Internet [C(2011)154], la Recommandation du Conseil sur la protection des enfants sur Internet [C(2011)155] et la Recommandation du Conseil concernant la politique et la gouvernance réglementaires [C(2012)37] ;

RECONNAISSANT qu’il est de l'intérêt commun des pays Membres de promouvoir et protéger les valeurs fondamentales de respect de la vie privée, des libertés individuelles et de libre circulation de l'information ;

RECONNAISSANT que des utilisations plus intenses et innovantes des données de caractère personnel procurent des retombées économiques et sociales plus importantes, mais qu’elles augmentent aussi les risques pour la vie privée ;

RECONNAISSANT que les flux constants de données de caractère personnel sur les réseaux mondiaux amplifient le besoin d’une meilleure interopérabilité entre les cadres de protection de la vie privée de même qu’une coopération transfrontière renforcée entre les autorités chargées de protéger la vie privée ;

RECONNAISSANT l’importance de l’évaluation des risques dans l’élaboration de politiques et de mesures pour protéger la vie privée ;

RECONNAISSANT le défi que représente la sécurisation des données de caractère personnel dans un environnement ouvert interconnecté, dans lequel les données de caractère personnel sont de plus en plus une ressource qui a de la valeur ; 

RÉSOLU à favoriser davantage la libre circulation de l'information entre les pays Membres et à éviter la création d'obstacles injustifiés au développement des relations économiques et sociales entre ces pays ;

Sur proposition du Comité de la politique de l’information, de l’informatique et des communications :

I.            RECOMMANDE que les pays Membres :

•        démontrent la volonté d’ouvrir la voie et de s’engager en faveur de la protection de la vie privée et de la libre circulation de l’information aux plus hauts niveaux de l’État ;

•        mettent en œuvre les Lignes directrices figurant en Annexe à la présente Recommandation, dont elles font partie intégrante, en s’appuyant sur des processus qui intègrent toutes les parties prenantes intéressées ;

•        diffusent la présente Recommandation auprès des secteurs public et privé ;

II.           INVITE les non-Membres à adhérer à la présente Recommandation et à collaborer avec les pays Membres dans sa mise en œuvre à travers les frontières.

III.          CHARGE le Comité de la politique de l'information, de l'informatique et des communications de suivre la mise en œuvre de la présente Recommandation, d'examiner les informations à ce sujet et de faire rapport au Conseil dans les cinq ans suivant l'adoption de celle-ci, puis ultérieurement le cas échéant.

La présente Recommandation révise la Recommandation du Conseil concernant les Lignes directrices régissant la protection de la vie privée et les flux transfrontières de données de caractère personnel du 23 septembre 1980 [C(80)58/FINAL].

 

ANNEXE

 

LIGNES DIRECTRICES RÉGISSANT LA PROTECTION DE LA VIE PRIVÉE ET LES FLUX TRANSFRONTIÈRES DE DONNÉES DE CARACTÈRE PERSONNEL

PREMIÈRE PARTIE. CONSIDÉRATIONS GÉNÉRALES

Définitions

1.            Aux fins des présentes Lignes directrices :

a)     par « maître du fichier », on entend toute personne physique ou morale qui, conformément à la législation nationale, est habilitée à décider du choix et de l'utilisation des données de caractère personnel, que ces données soient ou non collectées, enregistrées, traitées ou diffusées par ladite personne ou par un agent agissant en son nom ;

b)    par « données de caractère personnel », on entend toute information relative à une personne physique identifiée ou identifiable (personne concernée) ;

c)     par « lois protégeant la vie privée », on entend les lois ou réglementations nationales, dont l'application a pour effet de protéger les données de caractère personnel conformément aux présentes Lignes directrices ;

d)    par « autorité chargée de protéger la vie privée », on entend toute instance publique, telle que déterminée par chaque pays Membre, qui est chargée de faire appliquer les lois protégeant la vie privée, et qui est habilitée à conduire des investigations ou engager des poursuites en cas de non respect ;

e)     par « flux transfrontière de données de caractère personnel », on entend la circulation de données de caractère personnel à travers les frontières nationales.

Champ d'application des Lignes directrices

2.            Les présentes Lignes directrices s'appliquent aux données de caractère personnel, dans les secteurs public et privé, qui, compte tenu de leur mode de traitement, de leur nature ou du contexte dans lequel elles sont utilisées, comportent un risque pour la vie privée et les libertés individuelles.

3.            Les principes retenus dans les présentes Lignes directrices se complètent et doivent être considérés comme un tout. Ils ne devraient pas être interprétés :

a)       comme interdisant d'appliquer des mesures de protection différentes à diverses catégories de données de caractère personnel, selon leur nature et le contexte dans lequel elles sont collectées, enregistrées, traitées ou diffusées ; ou

b)       d'une manière qui limite indûment la liberté d'expression.

4.            Les exceptions aux présentes Lignes directrices, notamment celles intéressant la souveraineté nationale, la sécurité nationale et l'ordre public, devraient être :

a)       aussi peu nombreuses que possible, et

b)       portées à la connaissance du public.

5.            Dans le cas particulier des pays à structure fédérale, l'application des présentes Lignes directrices peut être influencée par la répartition des pouvoirs dans l'État fédéral.

6.            Les présentes Lignes directrices devraient être considérées comme des normes minimales susceptibles d'être complétées par d'autres mesures visant à protéger la vie privée et les libertés individuelles, mesures qui peuvent avoir des incidences sur les flux transfrontières de données de caractère personnel.

PARTIE DEUX. PRINCIPES FONDAMENTAUX APPLICABLES AU PLAN NATIONAL

Principe de la limitation en matière de collecte

7.            Il conviendrait d'assigner des limites à la collecte des données de caractère personnel et toute donnée de ce type devrait être obtenue par des moyens licites et loyaux et, le cas échéant, après en avoir informé la personne concernée ou avec son consentement.

Principe de la qualité des données

8.            Les données de caractère personnel devraient être pertinentes par rapport aux finalités en vue desquelles elles doivent être utilisées et, dans la mesure où ces finalités l'exigent, elles devraient être exactes, complètes et tenues à jour.

Principe de la spécification des finalités

9.            Les finalités en vue desquelles les données de caractère personnel sont collectées devraient être déterminées au plus tard au moment de la collecte des données, et lesdites données ne devraient être utilisées par la suite que pour atteindre ces finalités ou d'autres qui ne soient pas incompatibles avec les précédentes et qui seraient déterminées dès lors qu'elles seraient modifiées.

Principe de la limitation de l'utilisation

10.          Les données de caractère personnel ne devraient pas être divulguées, ni fournies, ni utilisées à des fins autres que celles spécifiées conformément au paragraphe 9, si ce n'est :

a)       avec le consentement de la personne concernée ; ou

b)       lorsqu'une règle de droit le permet.

Principe des garanties de sécurité

11.          Il conviendrait de protéger les données de caractère personnel, grâce à des garanties de sécurité raisonnables, contre des risques tels que la perte des données ou leur accès, destruction, utilisation, modification ou divulgation non autorisés.

Principe de la transparence

12.          Il conviendrait d'assurer, d'une façon générale, la transparence des progrès, pratiques et politiques, ayant trait aux données de caractère personnel. Il devrait être possible de se procurer aisément les moyens de déterminer l'existence et la nature des données de caractère personnel, et les finalités principales de leur utilisation, de même que l'identité du maître du fichier et le siège habituel de ses activités.

Principe de la participation individuelle

13.          Toute personne physique devrait avoir le droit :

a)     d'obtenir du maître d'un fichier, ou par d'autres voies, confirmation du fait que le maître du fichier détient ou non des données la concernant ;

b)    de se faire communiquer les données la concernant ;

i.        dans un délai raisonnable ;

ii.       moyennant, éventuellement, une redevance modérée ;

iii.      selon des modalités raisonnables ; et

iv.      sous une forme qui lui soit aisément intelligible ;

c)     d'être informée des raisons pour lesquelles une demande qu’elle aurait présentée conformément aux alinéas a) et b) est rejetée et de pouvoir contester un tel rejet ; et

d)    de contester les données la concernant et, si la contestation est fondée, de les faire effacer, rectifier, compléter ou corriger.

Principe de la responsabilité

14.          Tout maître de fichier devrait être responsable du respect des mesures donnant effet aux principes énoncés ci-dessus.

PARTIE TROIS. EXERCICE DE LA RESPONSABILITÉ

15.          Tout maître de fichier devrait :

a)     Avoir mis en place un programme de gestion de la vie privée qui :

i.        assure l'application des présentes Lignes directrices à l'ensemble des données de caractère personnel sous son contrôle ;

ii.       est adapté à la structure, à l'échelle, au volume et au caractère plus ou moins sensible de ses activités ;

iii.      prévoit des mesures de protection appropriées basées sur une évaluation des risques pour la vie privée ;

iv.      est intégré dans sa structure de gouvernance et établit des mécanismes internes de supervision ;

v.       comprend des plans pour répondre aux demandes et aux incidents ;

vi.      est actualisé sur la base d'un suivi permanent et d'évaluations périodiques ;

b)    Pouvoir faire la preuve de la mise en œuvre de son programme de gestion de la vie privée selon les besoins, et en particulier à la demande d'une autorité chargée de protéger la vie privée compétente ou de toute autre entité chargée de promouvoir le respect d'un code de conduite ou d'arrangements similaires donnant un effet contraignant aux présentes Lignes directrices ; et

c)     Aviser, selon les besoins, les autorités chargées de protéger la vie privée ou autres autorités compétentes des cas d'atteintes significatives à la sécurité qui affectent des données de caractère personnel. Lorsque l’atteinte à la sécurité est susceptible de faire tort à des personnes concernées, le maître du fichier devrait informer ces dernières.

PARTIE QUATRE. PRINCIPES FONDAMENTAUX APPLICABLES AU PLAN INTERNATIONAL : LIBRE CIRCULATION ET RESTRICTIONS LÉGITIMES

16.          Le maître du fichier demeure responsable des données de caractère personnel sous son contrôle, où que se trouvent ces données.

17.          Les pays Membres devraient s'abstenir de limiter les flux transfrontières de données de caractère personnel entre leur territoire et celui d'un autre pays, a) lorsque ce dernier se conforme pour l'essentiel aux présentes Lignes directrices ou b) lorsqu'existent des mesures de protection suffisantes, notamment des mécanismes de mise en œuvre efficaces et des mesures appropriées mises en place par le maître du fichier, pour assurer un niveau constant de protection conforme aux présentes Lignes directrices.

18.          Toute restriction de flux transfrontières de données de caractère personnel devrait être proportionnée aux risques présentés, compte tenu du caractère plus ou moins sensible des données, ainsi que de la finalité et du contexte du traitement.

PARTIE CINQ. MISE EN ŒUVRE AU PLAN NATIONAL

19.          Dans la mise en œuvre des présentes Lignes directrices, les pays Membres devraient :

a)     élaborer des stratégies nationales de protection de la vie privée qui traduisent une approche coordonnée entre organismes gouvernementaux ;

b)    adopter une législation protégeant la vie privée ;

c)     procéder à la mise en place et assurer le fonctionnement d'autorités chargées de la protection de la vie privée qui soient dotées de la gouvernance, des ressources et de l'expertise technique nécessaires pour exercer leurs pouvoirs efficacement et prendre leurs décisions de manière objective, impartiale et cohérente ;

d)    encourager et soutenir l'autorégulation, sous forme de code de conduite ou de toute autre manière ;

e)     permettre aux personnes physiques de disposer de moyens raisonnables pour exercer leurs droits ;

f)     instituer des sanctions et des recours appropriés en cas d'inobservation des dispositions législatives protégeant la vie privée ;

g)    envisager l'adoption de mesures complémentaires, notamment d’éducation et de sensibilisation, de développement des compétences et de promotion de mesures techniques aidant à protéger la vie privée ;

h)     prendre en considération le rôle d'acteurs autres que les maîtres de fichier, d'une manière adaptée au rôle de chacun ; et

i)      veiller à ce que les personnes concernées ne fassent l'objet d'aucune discrimination inéquitable.

PARTIE SIX. COOPÉRATION INTERNATIONALE ET INTEROPÉRABILITÉ

20.          Les pays Membres devraient prendre des mesures appropriées pour faciliter la coopération transfrontières dans l'application des législations protégeant la vie privée, notamment en renforçant le partage d'informations entre autorités chargées de protéger de la vie privée.

21.          Les pays Membres devraient encourager et soutenir l'élaboration d'arrangements internationaux favorisant l'interopérabilité des cadres de protection de la vie privée, qui assurent l'application des présentes Lignes directrices.

22.          Les pays Membres devraient encourager l'élaboration de systèmes de mesure comparables au plan international afin d'éclairer le processus d'élaboration de politiques publiques concernant la vie privée et les flux transfrontières de données de caractère personnel.

23.          Les pays Membres devraient rendre public la façon dont ils se conforment aux présentes Lignes directrices de manière détaillée.