Du 23 au 26 septembre 2013 s’est tenue à Varsovie, Pologne, la 35ème Conférence Internationale des Commissaires à la protection des données et de la vie privée sur le thème de La direction du développement de la protection de la vie privée dans un monde incertain. La première de ces conférences s’est tenue à Bonn, en Allemagne, en 1979. Depuis, la Conférence réunit des experts de la protection des données, plusieurs organisations internationales, différentes ONG et les autorités nationales de la protection des données personnelles et de la vie privées.
Lors de ces conférences des résolutions sont prises, c’est-à-dire des déclarations communes des parties à la Conférence qui ont une vocation normative mais dépourvues d’effets juridiquement contraignants. En novembre 2009, lors de la 31ème Conférence, a été prise la résolution de Madrid : « International standards on the protection of personnal data and privacy ». Cette résolution a pour but de définir des principes et des droits garantissant l’effectivité et l’uniformité internationale de la protection de la vie privée au regard des données personnelles. Ces normes sont d’application volontaire, elles n’ont donc vocation à s’appliquer que si les Etats décident de les traduire dans leurs ordres juridiques nationaux respectifs. Le Commissariat à la Protection de la Vie Privée du Canada et la Commission d’accès à l’information du Québec font parti du groupe de travail qui a réalisé les normes d’application volontaire. Lors de la 35ème Conférence se tenant à Varsovie, plusieurs autres résolutions furent adoptées.
Une première résolution vise à apporter un protocole additionnel à l’Article 17 du Pacte international relatif aux droits civils et politiques, ratifié par 167 pays, qui stipule que : « Nul ne sera l’objet d’immixtions arbitraires ou illégales dans sa vie privée, sa famille, son domicile ou sa correspondance, ni d’atteintes illégales à son honneur et à sa réputation ». Le protocole viserait à une réglementation par la loi de la collecte et la sauvegarde des données personnelles, de l’interdiction aux personnes non-autorisées d’avoir accès à des données personnelles, de l’interdiction de faire un usage des données dans un but contraire au Pacte, d’un droit à la rectification des informations détenues par les personnes concernées et que toute interférence avec ces droits doive se faire en vertu d’une loi conforme au Pacte.
Une seconde résolution porte sur le profiling, à savoir la récolte de données par des entreprises, gouvernements ou ONG à des fins de statistiques et d’informations. Cette résolution réaffirme la Déclaration d’Uruguay sur le profiling. Elle appelle avant toute collecte à en déterminer le but, le moyen de l’atteindre, ainsi qu’à la création de garanties pour la protection et la bonne utilisation des données. Il ne faut pas que les données soient collectées de manière non-nécessaire. Les logiciels de collecte et les profils créés doivent être soumis à une vérification continue pour de meilleurs résultats. La résolution tient à ce que la société civile soit informée au maximum du but de la collecte et de la façon dont les profils sont formés, que ces collectes d’informations soient supervisées et que les individus soient informés de leurs droits par rapport à la collecte.
Devant l’augmentation constante (30 000/jour) d’applications mobiles dans le monde, tant sur téléphones que sur tablettes, dans la Déclaration de Varsovie les membres de la Conférence enjoignent les créateurs d’applications de bien vouloir respecter les règles de protection de la vie privée. Ces dispositions se basent d’ailleurs sur les orientations du Commissariat à la protection de la vie privée du Canada à l’égard des développeurs d’applications mobiles. Les utilisateurs doivent pouvoir décider quelles informations ils partagent avec qui et dans quel but. Toutefois même s’ils en sont les premiers responsables, les créateurs d’applications ne doivent pas être les seuls responsables de la protection de la vie privée des utilisateurs, les fournisseurs de système d’exploitation le sont sur leurs plateformes. Le sujet sera développé lors de la prochaine Conférence à Maurice en 2014.
Une autre résolution traite des données collectées sur les ordinateurs ou sur les téléphones mobiles pouvant mener à l’identification d’une personne, le webtracking. Elle demande à toutes les parties prenantes, collectant des données de bien vouloir privilégier la protection de la vie privée dans la collecte d’informations. Quelques principes y sont énoncés : limiter la collecte à son but, notifier l’utilisateur et permettre un contrôle des informations, arrêter les traqueurs invisibles sauf dans un but de sécurité, dans un but de gestion de réseau ou de détection de fraudes. Le fait de ne pas traquer les enfants, d’utiliser l’anonymisation afin de réduire l’impact sur la vie privée, et la promotion de normes techniques telles Do-not-track sont aussi des objectifs affichés de la résolution.
Un sujet abordé par les autorités de régulation est la transparence de la pratique de la collecte des données personnelles. Ce principe d’ouverture, de transparence, prend racine dans les orientations de l’OCDE en matière de protection de la vie privée et de déplacement transfrontalier des données personnelles de 1980. Elles préconisent que les personnes collectant les données personnelles expliquent les buts de ces collectes et qu’elles puissent être identifiées et contactées à des fins de requêtes et de modifications des données. Le langage concernant la collecte de données doit être simple, tandis que les méthodes de collecte des données doivent être faciles de compréhension. La résolution préconise aux gouvernements et aux agences chargées de la protection des données personnelles et la vie privée de créer des sceaux privés, des certifications et des labels de confiance afin d’améliorer le choix des utilisateurs.
Se basant sur de nombreux traités et conventions internationales tels les articles 25 et 26-3 de la Declaration Universelle des Droits de l’Homme, la Conférence a aussi accouchée d’une résolution concernant l’éducation numérique. Le savoir à propos de la technologie numérique doit être promu sans délais afin que chacun puisse être à même de prendre des décisions éclairées quand cela implique cette technologie. Tous les acteurs du numérique doivent agir de concert afin de promouvoir l’alphabétisation numérique et d’adopter un programme commun d’éducation numérique basé sur cinq principes et quatre objectifs opérationnels.
Les principes sont : 1) une protection spécifique doit être prévue pour les mineurs eu égard aux technologies numériques, 2) la formation continue pour les technologies numériques doit être encouragée, 3) un équilibre approprié doit être trouvé entre les bénéfices et les risques d’une technologie numérique, 4) le développement de bonnes pratiques et le respect des autres utilisateurs doit être encouragé, 5) une approche critique concernant les risques et bénéfices des technologies numériques doit être encouragée.
Tandis que les objectifs opérationnels sont : 1) Promotion de l’éducation à la vie privée lors des programmes d’alphabétisation numérique, 2) Entrainer des personnes à enseigner sur la protection des données et la vie privée, 3) Promotion des professions en rapport avec les technologies numériques, 4) Formuler des recommandations sur le bon usage des nouvelles technologies pour le public concerné.
Toujours dans un but de collaboration accrue et d’uniformisation des règles en matière de vie privée et de collecte des données, les membres de la Conférence ont cherché la mise en place de procédés afin de faire en sorte que ces résolutions ne soient pas vaines, afin que l’application volontaire devienne plus que volontaire. Bref pour que les normes nationales s’harmonisent dans un objectif de plus grande efficacité, afin que ces résolutions prises par les autorités nationales de protection des données après avis d’experts, deviennent les normes universelles en matière de protection des données personnelles et de la vie privée. Dans l’idée, les membres souhaitent pouvoir coopérer lors d’enquêtes transnationales et développer une plateforme d’échanges pour les autorités chargées de faire appliquer la protection des renseignements personnels afin de faciliter les enquêtes.