Transferts internationaux - OAS

CONSEIL PERMANENT DE OEA/Ser.G
L'ORGANISATION DES ÉTATS AMÉRICAINS CP/CAJP-2921/10 rev. 1
corr. 1
17 octobre 2011
COMMISSION DES QUESTIONS JURIDIQUES Original: anglais
ET POLITIQUES
PRINCIPES ET RECOMMANDATIONS PRÉLIMINAIRES RELATIFS
À LA PROTECTION DES DONNÉES
(LA PROTECTION DES DONNÉES À CARACTÈRE PERSONNEL) [Document présenté par le Département du droit international, du
Secrétariat aux questions juridiques, pour donner suite au paragraphe 11 du
dispositif de la résolution
AG/RES. 2514 (XXXIX-O/09) de l'Assemblée générale de l'Organisation des
États Américains] PRINCIPES ET RECOMMANDATIONS PRÉLIMINAIRES RELATIFS
À LA PROTECTION DES DONNÉES
(LA PROTECTION DES DONNÉES À CARACTÈRE PERSONNEL)
Table des matières I. INTRODUCTION 2 II. PROTECTION DES DONNÉES EN EUROPE ET AUX ÉTATS-UNIS 3 III. PROTECTION DES DONNÉES EN AMÉRIQUE LATINE 5 IV. DÉFINITIONS 6 V. PRINCIPES ET RECOMMANDATIONS 8
Principe 1: Caractère licite et loyauté 9
Principe 2: Finalité spécifique 9
Principe 3: Limitation et nécessité 10
Principe 4: Transparence 10
Principe 5: Responsabilité 11
Principe 6: Conditions du traitement 12
Principe 7: Communication des données aux préposés au traitement des
données 13
Principe 8: Transferts internationaux 13
Principe 9: Droit d'accès de la personne concernée 15
Principe 10: Droit de la personne concernée de rectifier ou
d'effacer des données à caractère personnel 16
Principe 11: Droit d'opposition au traitement des données
personnelles 16
Principe 12: Autorité pour l'exercice des droits sur le traitement
des données à caractère personnel 17
Principe 13: Mesures de sécurité pour la protection des données à
caractère personnel 17
Principe 14. Obligation de confidentialité 18
Principe 15: Surveillance, conformité et responsabilités 18 VI. MESURES SYNERGIQUES ET COOPÉRATION 19
PRINCIPES ET RECOMMANDATIONS PRÉLIMINAIRES RELATIFS
À LA PROTECTION DES DONNÉES
(LA PROTECTION DES DONNÉES À CARACTÈRE PERSONNEL) [Document présenté par le Département du droit international, du
Secrétariat aux questions juridiques, pour donner suite au paragraphe 11 du
dispositif de la résolution
AG/RES. 2514 (XXXIX-O/09)
de l'Assemblée générale de l'Organisation des États Américains] I. INTRODUCTION
Antécédents procéduraux
Déjà depuis 1996, l'Assemblée générale de l'Organisation des États
Américains a porté une attention spéciale à la question de l'accès aux
informations et à celle de la protection des données à caractère personnel,
et par sa résolution AG/RES. 1395 (XXVI-O/96), elle a demandé au Comité
juridique interaméricain d'entamer une étude des cadres juridiques des
États membres liés à ces deux questions. Pour ce qui est de l'accès aux
informations publiques, l'Assemblée générale a demandé, dans les
résolutions adoptées par la suite: AG/RES. 2057 (XXXIV-O/04), AG/RES. 2121
(XXXV-O/05), AG/RES. 2252 (XXXVI-O/06), AG/RES. 2288 (XXXVII-O/07), AG/RES.
2418 (XXXVIII-O/08) et AG/RES. 2514 (XXXIX-O/09) que des efforts
additionnels soient déployés par les États membres ainsi que par les
organes, organismes et entités de l'OEA. Ces travaux ont débouché sur
l'adoption de la résolution AG/RES. 2607 (XL-O/10), en juin 2010, et de la
Loi-type interaméricaine sur l'accès aux informations publiques par
laquelle le Secrétariat général est requis d'appuyer les États membres dans
la conception, la mise en ?uvre et l'évaluation de leurs cadres juridiques
internes traitant de l'accès aux informations publiques. Pour ce qui est de la protection des données à caractère personnel,
l'Assemblée générale a demandé à la CJI d'élaborer différents documents et
études sur l'accès aux informations et aux données à caractère personnel
et sur leur protection, notamment, OEA/Ser.Q CJI/doc.52/98, CJI/doc.25/00
rev.1, CJI/doc.162/04, CJI/doc.232/06 rev.1, CJI/doc.25/00 rev.2, de 2007,
et CJI/doc.239/07. Le Comité juridique interaméricain a également adopté
plusieurs résolutions sur ces questions, savoir, CJI/RES.9/LV/99,
CJI/RES.33 (LIX-O/01), CJI/RES.81 (LXV-O/04), and CJI/RES.130 (LXXI-O/07),
dans le cadre des efforts visant à aborder la réglementation de la
protection des données au moyen d'instruments internationaux potentiels,
ainsi qu'au niveau de la législation de certains États membres de l'OEA et
du traitement des données à caractère personnel par le secteur privé. Ces
travaux ont débouché sur des résultats précieux qui ont permis non
seulement de comprendre la véritable envergure de ce dossier à la lumière
de l'impact exercé par les nouvelles technologies sur l'expansion de la
gestion et de l'utilisation des informations par les particuliers, mais
également de prendre des mesures concernant l'harmonisation des lois,
l'amélioration de la coopération régionale, et l'établissement d'éléments
de fond destinés à un instrument régional sur la question à l'avenir. Outre les travaux du Comité juridique interaméricain, l'Assemblée
générale a demandé au Secrétariat général d'élaborer la présente étude
préliminaire sur la protection des données afin d'offrir un aperçu des
questions les plus pertinentes dont il faut tenir compte dans la rédaction
de principes et de recommandations sur la protection des données (AG/RES.
2288 (XXXVII-O/07), AG/RES. 2418 (XXXVIII-O/08), AG/RES. 2514 (XXXIX-O/09)
et AG/RES. 2661 (XLI-O/11) sur l'accès aux
informations publiques et la protection des données à caractère personnel).
Un avant-projet d'étude a été diffusé auprès des États membres le 19
novembre 2010 sous la cote CP/CAJP-2921/10. La Commission des questions
juridiques et politiques du Conseil permanent a par la suite tenu une
réunion extraordinaire sur l'accès aux informations publiques, portant
notamment sur la protection des données, le 13 décembre 2010, pendant
laquelle la présidence de cette Commission a demandé aux délégations de
présenter leurs commentaires concernant le projet d'étude, ce qui a été
demandé officiellement dans la note portant la cote CP/CAHP-2932/11, du 28
janvier 2011, lesquels commentaires sont inclus dans la version révisée. Antécédents de fond
Le Comité juridique interaméricain a expliqué dans le Rapport annuel
qu'il a adressé à l'Assemblée générale en 2007 que les progrès dans la
technologique informatique et l'Internet, dans la médecine et dans la
biotechnologie ont provoqué un accroissement marqué du traitement des
données à caractère personnel dans différentes sphères de l'activité
sociale et économique. Les progrès accomplis dans le domaine de la
technologie de l'information - qui ont amené d'énormes avantages sociaux et
économiques - ont aussi rendu relativement faciles et souvent nécessaires
le traitement et l'échange de ces données par-delà les frontières. L'enjeu
est donc de protéger les libertés et les droits fondamentaux, notamment le
droit à la vie privée et le droit d'accès aux données à caractère personnel
(également connu sous le nom de habeas data) tout en encourageant le flux
libre et sûr des informations tant à l'intérieur des frontières qu'avec
l'extérieur, ce qui est essentiel pour poursuivre l'expansion du commerce
électronique, de l'informatique en nuage et d'autres services offerts sur
le Web. Dans ce contexte, il est bien entendu que l'utilisation de systèmes
électroniques pour traiter, recueillir, stocker, transférer et disséminer
les informations croît exponentiellement d'année en année. Par conséquent,
la quantité et les types d'informations personnelles disponibles sur les
particuliers ont préoccupé les défenseurs de la vie privée. Et bien qu'il
soit difficile d'établir avec certitude lesquelles des données personnelles
sont (en privé ou en public) disponibles - un problème qui s'aggrave du
fait qu'une vaste gamme d'acteurs gouvernementaux et non gouvernementaux
détiennent des informations personnelles - des voix de plus en nombreuses
s'élèvent en faveur de nouvelles méthodes de réglementation des modalités
de collecte des informations et de leur utilisation. L'industrie - en
particulier l'industrie de la technologie - a également demandé des
changements. Ces voix se focalisent fréquemment sur la fracture entre la
technologie et la réglementation, la technologie étant vue comme évoluant à
un rythme accéléré alors que la réglementation avance à un rythme beaucoup
plus lent. Des régimes de réglementation dépassés peuvent à la fois
décourager l'innovation et ne pas protéger suffisamment la vie privée des
consommateurs; pour cette raison, il est plus important que jamais que les
États membres de l'OEA travaillent ensemble à encourager l'élaboration d'un
cadre harmonisé de protection des données tourné vers l'avenir. La législation sur la protection des données se base sur le droit de
toute personne à une vie privée. Cependant la signification de la vie
privée et les origines du droit de toute personne à une vie privée sont
variables. Par conséquent, les politiques et les lois régissant le droit à
la vie privée, diffèrent d'un pays à l'autre. En raison de cet