OCDE : décla­ra­ti­on sur les con­di­ti­ons et les limi­tes de l’ ”accès légal” par les États membres

L’Or­ga­ni­sa­ti­on de coopé­ra­ti­on et de déve­lo­p­pe­ment éco­no­mi­ques (OCDE), dont font par­tie, out­re la Sui­s­se, des États tels que le Royau­me-Uni et les États-Unis (pas l’UE, qui par­ti­ci­pe tou­te­fois aux travaux de l’OCDE), a adop­té le 14 décembre 2022 une Décla­ra­ti­on sur l’ac­cès des auto­ri­tés aux don­nées per­son­nel­les dans les ent­re­pri­ses pri­vées adop­té (Décla­ra­ti­on sur l’ac­cès des pou­voirs publics aux don­nées per­son­nel­les déte­nues par les enti­tés du sec­teur pri­vé). Elle n’ar­ri­ve cer­tai­ne­ment pas par hasard juste après Pro­jet de décis­i­on d’a­dé­qua­ti­on pour le TADPF.

La décla­ra­ti­on

• est ce qu’on appel­le un “Sub­stan­tif Out­co­me Docu­ment”. Cet instru­ment de l’OCDE n’est pas adop­té par l’OCDE elle-même, mais par les dif­fér­ents États par­ti­ci­pan­ts qui se sont mis d’ac­cord dans le cad­re de l’or­ga­ni­sa­ti­on de l’OCDE, ici ent­re aut­res la Sui­s­se, la Tur­quie, le Royau­me-Uni, les États-Unis et l’UE. Ces instru­ments con­ti­en­nent en géné­ral des objec­tifs plutôt abstraits ou à long ter­me et ont, selon l’OCDE, “a solemn cha­rac­ter”, c’est-à-dire qu’ils sont pure­ment programmatiques ;
• vise à pro­mou­voir la con­fi­ance dans la cir­cula­ti­on trans­fron­ta­liè­re des don­nées dans l’in­té­rêt de l’é­co­no­mie mon­dia­le et à éta­b­lir une nor­me sur la maniè­re de limi­ter le pou­voir de l’É­tat dans une démo­cra­tie, et
• s’ap­pli­que à la coll­ec­te et à l’uti­li­sa­ti­on de don­nées per­son­nel­les déte­nues ou con­trôlées par des ent­re­pri­ses du sec­teur pri­vé (y com­pris les ONG) pour à des fins d’ap­pli­ca­ti­on de la loi et de sécu­ri­té natio­na­leLes ent­re­pri­ses sont tenues de four­nir des don­nées à carac­tère per­son­nel, y com­pris lorsqu’el­les sont tenues de four­nir des don­nées qui sont stockées dans un système d’in­for­ma­ti­on. justi­fier d’un aut­re État sont

La décla­ra­ti­on s’adres­se aux États mem­bres et exi­ge les mesu­res sui­van­tes:

• L’ac­cès aux don­nées requiert une décis­i­on con­traignan­te, démo­cra­ti­quement légiti­mée et suf­fi­sam­ment clai­re. Base juri­di­que qui off­re une pro­tec­tion cont­re les abus et les détour­ne­ments d’usage.
• L’ac­cès aux don­nées ne peut être accor­dé qu’à cer­tai­nes per­son­nes légiti­mes. Objec­tifs et doit pro­por­ti­on­nel et être con­for­me à la loi. Il ne doit notam­ment pas ser­vir à la cen­su­re ou à la discrimination.
• L’ac­cès requiert une auto­ri­sa­ti­on de l’É­tat. Auto­ri­sa­ti­on est pré­alable. Si, excep­ti­on­nel­le­ment, une auto­ri­sa­ti­on n’est pas néces­saire, d’aut­res mesu­res de pro­tec­tion doi­vent intervenir.
• Les don­nées per­son­nel­les ne peu­vent être uti­li­sées que par des per­son­nes auto­ri­sées et uni­quement dans le cad­re du droit qui pré­voit des mesu­res de pro­tec­tion, ent­re aut­res, de la léga­li­té, de la pro­por­ti­on­na­li­té et de l’e­xac­ti­tu­de des données.
• Il faut Con­trô­les de pré­ve­nir, de détec­ter et de cor­ri­ger les per­tes de don­nées ou les uti­li­sa­ti­ons abu­si­ves et de les signal­er aux auto­ri­tés de contrôle.
• Le cad­re juri­di­que doit être clair et acce­s­si­ble au public afin que les impacts pui­s­sent être iden­ti­fi­és et éva­lués. Le site Trans­pa­rence d’ac­cès doit être assu­rée de maniè­re appro­priée, en tenant comp­te des pré­oc­cu­pa­ti­ons légiti­mes en matiè­re de confidentialité.
• Le site Super­vi­si­on par des tri­bu­naux ou des auto­ri­tés indé­pen­dan­tes doit être neu­tre, effi­cace, suf­fi­sam­ment dotée et accoun­ta­ble être.
• Les par­ti­cu­liers dis­po­sent de voies de recours judi­ciai­res et ext­ra­ju­di­ciai­res effi­caces. Voies de recours. Il est tou­te­fois per­mis de limi­ter l’in­for­ma­ti­on des indi­vi­dus sur les accès ou les infractions.