Protection des données personnelles : un accord historique avec l'OCDE

Les pays membres de l'OCDE et l'Union européenne ont adopté une déclaration sur l'accès des pouvoirs publics aux données personnelles détenues par des sociétés privées. Un engagement fort à l'heure où le transfert transfrontalier de données suscite de vives inquiétudes.

L'épineuse question des flux de données personnelles transfrontaliers vient de connaitre une évolution notable. Le 13 décembre 2022, les 38 pays membres de l'Organisation de Coopération et de Développement Économiques (OCDE) – dont les États-Unis, Israël et le Canada – et l'Union européenne sont parvenus à se mettre d'accord pour adopter le premier accord intergouvernemental sur des approches communes relatives à la protection de la vie privée et des autres droits humains et libertés des personnes en cas d'accès aux données à caractère personnel à des fins de sécurité nationale et d'application des lois.

Derrière ce nom beaucoup trop long se cache la Déclaration – avec un D majuscule – qui va réglementer l'accès des pouvoirs publics aux données à caractères personnelles qui sont détenues par des entités du secteur privé – telles que Google, Apple et Meta, pour n'en citer que quelques-unes. En d'autres termes, elle va définir clairement les conditions autorisant les autorités chargées de l'application des lois et de la sécurité nationale à accéder aux données à caractère personnel en vertu des cadres juridiques existants. Un véritable engagement politique – la Déclaration est d'ailleurs ouverte à l'adhésion d'autres pays – à l'heure où le transfert transfrontalier de données suscite de vives inquiétudes au sein des différentes populations, et qui l'aboutissement de deux années de labeur pour l'OCDE, en partenariat avec un groupe d'experts nationaux de la protection des données, de la sécurité nationale et de l'application des lois.

Accord OCDE : l'inquiétude face à un transfert transfrontalier de données personnelles

À l'heure de la mondialisation, les montagnes de données accumulées par les entreprises de la tech sur leurs utilisateurs suscitent de nombreuses inquiétudes, que ce soit de part des gouvernements ou de leurs citoyens. Et à juste titre, puisque les géants du numérique n'ont pas une très bonne réputation quant leur protection – et c'est ans compter les failles de sécurité et leurs ventes. Par exemple, Amazon donne à la police les enregistrements de ses caméras Ring sans l'accord des utilisateurs – onze enregistrements depuis le début de l'année. Meta n'est pas tout blanc non plus, puisque Facebook a fourni à la justice du Nebraska des messages entre une mère et sa fille à propos d'un avortement – dont la pratique est récemment devenue illégale au sein de l’État. Et ce ne sont que des cas parmi d'autres ! Le plus important scandale reste incontestable les révélations d'Edward Snowden, qui avait dévoilé il y a près de dix ans comment la NSA – mais ça s'applique aussi aux autres démocraties occidentales – s'introduisait dans les plateformes sur Internet et s'emparait des données des utilisateurs pour poursuivre leurs objectifs sans se soucier de la vie privée des gens.

Comme le souligne Mathias Cormann, le secrétaire général de l'OCDE,  lors de la présentation de la Déclaration au cours de la Réunion ministérielle de l'OCDE sur l'économie numérique, "en l'absence de principes généraux et de garanties communes, le partage de données à caractère personnel entre juridictions peut porter atteinte à la vie privée, notamment dans des domaines sensibles tels que la sécurité nationale". Suite à la volonté commune d'accroître la confiance entre des systèmes démocratiques – qui sont censés partager des valeurs communes, même s'ils restent intrinsèquement différents –, il explique que "l'accord historique conclu aujourd'hui reconnaît officiellement que les pays de l'OCDE respectent des normes et des garanties communes. Il contribuera à permettre la circulation des données entre les démocraties régies par l'État de droit, avec les garanties nécessaires à la confiance des individus dans l'économie numérique et à la confiance mutuelle entre les gouvernements en ce qui concerne les données personnelles de leurs citoyens".

Accord OCDE : des principes qui encadre l'accès des autorités publics aux données

Ce qui saute aux yeux dans ces déclarations, c'est que le problème n'est pas tant la question de la vie privée des populations, mais celle de l'économie numérique mondiale. En effet, il y a différents niveaux de protection juridique de la vie privée entre les pays, et tous ne traitent pas leurs citoyens et les étrangers de la même manière. Aussi la nouvelle Déclaration s'appuie sur les Lignes directrices de l'OCDE régissant la protection de la vie privée – qui datent de 1980 et ont été révisées pour la dernière fois en 2013 – afin de "faciliter les flux transfrontières de données tout en respectant les valeurs démocratiques, l'état de droit et la protection de la vie privée et d'autres droits et libertés" tout en prévoyant quelques exceptions visant à assurer la sécurité nationale et l'application des lois, comme le rapporte le communiqué de presse de l'organisme. De ce fait, la Déclaration identifie sept principes communs aux différents pays, qui s'engagent donc à les respecter, afin de clarifier la manière dont les agences gouvernementales peuvent accéder aux données.

Ainsi, l'accès des pouvoirs publics aux données doit se faire dans le cadre de l’État de droit, avec un cadre juridique qui "énonce les finalités, les conditions, les limites et les garanties applicables à l'accès des pouvoirs publics, de sorte que les individus bénéficient d'une protection suffisante contre le risque d'utilisation impropre et abusive", et pour servir des "finalités spécifiques et légitimes" – ce qui exclut d'office des fins visant à supprimer ou à faire obstacle à des critiques et des contestations, ainsi qu'à désavantager des personnes ou des groupes sur la base d'une seule caractéristique (âge, origine ethnique, orientation sexuelle, religion...). L'accès doit également être soumis à des obligations d'autorisation préalable définies clairement dans le cadre juridique "afin de garantir que cet accès  se fait dans le respect des normes, règles et procédures applicables".

Une fois les données acquises, elles doivent être traitées, manipulées et conservées uniquement par le personnel autorisé selon une procédure, là encore, encadrée juridiquement. Bien évidemment, ce cadre juridique doit être parfaitement transparent et accessible  facilement "de manière à ce que les individus soient en mesure d'évaluer les incidences qu'il peut avoir sur leur vie privée et leurs autres droits et libertés", ce qui passe par des rapports publics et des rapports réguliers des organes de surveillance. Bien évidemment, ces mécanismes de contrôle doivent être "effectifs et impartiaux", c'est pourquoi ils doivent être assurés par des organes bien spécifiques et séparés (bureaux de conformité internes, tribunaux, commissions parlementaires ou législatives, autorités administratives indépendantes, etc.), qui sont protégés de toute ingérence et disposent des ressources nécessaires. Enfin, "le cadre juridique garantit aux individus des possibilités de recours judiciaires et extrajudiciaires effectifs afin de déterminer les atteintes au cadre juridique national et, le cas échéant d'y remédier."