RGPD : vers une gouvernance mondiale ?

Publié le par - 1078 vues

Les CNIL du monde se parlent régulièrement sous l’égide de la GPA : global Privacy Assembly. Elles viennent d’adopter, ensemble, des résolutions qui ressemblent de plus en plus à une gouvernance mondiale dans laquelle l’influence du RGPD est perceptible. Ainsi en va-t-il de la récente résolution visant à encadrer l’accès des gouvernements aux données personnelles détenues par les sociétés privées et de celle relative au « bien commun ».

La diplomatie juridique

Tout le monde connaît le groupe 29, qui rassemblait les autorités de protection des données dans le cadre de la directive de 1995.

On commence aujourd’hui à être familier au CEPD : le Comité Européen de la Protection des Données qui rassemble, depuis le RGPD, les autorités des pays de l’UE. L’organe « contribue à l’application cohérente des règles en matière de protection des données au sein de l’Union européenne et encourage la coopération entre autorités de l’UE chargées de la protection des données ». Le comité européen de la protection des données est institué par le règlement général sur la protection des données, et son siège se situe à Bruxelles. La Commission européenne et – pour ce qui est des questions liées au RGPD – l’Autorité de surveillance AELE ont le droit de participer aux activités et réunions du comité sans droit de vote.

En raison des règles spécifiques relatives au transfert de données vers les pays tiers, le RGPD est un très bel exemple de « diplomatie juridique » : il incite les partenaires de l’Union européenne à adopter des règles juridiques similaires pour éviter de devenir des zones dans lesquelles il n’est plus possible de transférer des données, ce qui aurait un impact extrêmement important sur les échanges commerciaux.

L’effet de cette diplomatie juridique est de plus en plus palpable.

On en a une nouvelle confirmation lors avec la récente réunion annuelle du GPA : la Global Privacy Assembly.

La GPA s’est réunie pour la première fois en 1979 sous le nom de Conférence internationale des commissaires à la protection des données et à la vie privée. Depuis plus de quatre décennies, elle constitue le premier forum mondial des autorités chargées de la protection des données et de la vie privée. Son objectif : assurer le leadership au niveau international en matière de protection des données et de la vie privée. Pour ce faire, elle coordonne les efforts de plus de 130 autorités de protection des données et de la vie privée du monde entier.

Les résolutions de la GPA

L’influence de la GPA se fait au travers des résolutions qu’elle adopte.

Chaque résolution a des « sponsors », c’est-à-dire une ou plusieurs autorités qui proposent une thématique et un texte.

Une résolution s’adresse en général « à l’ensemble des parties concernées » (« all parties concerned in the field of … »). Cela vise bien entendu les autorités nationales, mais pas seulement : les parlements, les organismes internationaux, le secteur privé, les états, tout le monde est invité à prendre note de la résolution qui représente la ligne stratégique qui sera défendue par chaque autorité de protection des données dans son pays respectif.

La résolution a donc une autorité morale indéniable, même si elle n’est pas une règle de droit.

Revers de la médaille : les résolutions sont souvent rédigées en termes extrêmement diplomatiques, précisément parce qu’elles représentent le plus petit commun dénominateur entre des autorités qui ont parfois des sensibilités, des cultures et des systèmes juridiques très différents.

Lors de sa 43e réunion annuelle, fin octobre, la GPA a adopté plusieurs résolutions dont trois marquent plus particulièrement les esprits.

L’accès par les gouvernements aux données détenues par le secteur privé

Cette résolution est le premier texte international posant des principes pour le respect de la vie privée lorsqu’un gouvernement accède à des données personnelles pour des raisons de sécurité nationale ou de sécurité publique. La CNIL est co-auteur de ce texte, aux côtés de l’autorité du Canada (OPC) et de l’autorité du Japon (PPC).

Selon le communiqué, « Partant du constat qu’il ne peut en effet y avoir de libre circulation des données sans confiance, la résolution prône l’application de grands principes pour l’accès des gouvernements aux données à caractère personnel. Cette résolution établit ainsi les conditions permettant de garantir que tout type d’accès légitime d’autorités publiques à des fins liées à la sécurité nationale ou à la sécurité publique contribue également à la préservation de la vie privée et de l’état de droit en général. »

La protection renforcée des enfants

La résolution rappelle l’importance de développer des politiques dédiées à la protection des mineurs, population particulièrement vulnérable mais fortement présente sur Internet. Cette protection doit passer par des réglementations adaptées, des campagnes de sensibilisation et d’éducation, ou encore des outils dédiés (par exemple, des interfaces adaptées à l’information des mineurs, ou des outils qui assurent la sécurité des enfants en fonction de leur âge). La CNIL est également co-auteur de cette résolution, avec l’autorité italienne (la Garante).

Le partage de données pour le bien commun (public good)

Le concept de partage de données pour le bien commun (public good ou common good) est né dans le cadre de la collaboration internationale contre la pandémie COVID-19.

Il est apparu aux autorités qu’il est nécessaire de poursuivre dans cette voie, mais que le risque n’est pas mince.

En effet, on comprend dans les considérants que les autorités craignent que sous couvert de bien commun, certains gouvernements visent l’accumulation de données pour une utilisation qui ne se limite pas strictement au bien-être de la société. Un exemple : la réutilisation des données relatives aux mouvements et voyages des personnes. Autant le GPA se montre favorable à des mesures strictement nécessaires destinées à lutter contre la pandémie, autant il marque son inquiétude sur la réutilisation éventuelle de ses énormes bases de données qui contiennent des informations extrêmement complètes sur les déplacements des personnes.

Le GPA va donc mettre en place un groupe de travail chargé de proposer un cadre.

Plus d’infos ?

Le communiqué de la CNIL

Les résolutions de la GPA

Droit & Technologies

Soyez le premier au courant !

Inscrivez-vous à notre lettre d’informations

close

En poursuivant votre navigation sur notre site, vous acceptez l’utilisation de cookies afin de nous permettre d’améliorer votre expérience utilisateur. En savoir plus

OK