Notes
-
[*]
L’auteur tient à remercier le service des affaires européennes et internationales de la CNIL pour sa contribution à la rédaction de cet article.
-
[1]
Voir l’état d’avancement du projet sur le site du Conseil de l’Europe, à l’adresse suivante : http://www.coe.int/t/dghl/standardsetting/ dataprotection/modernisation_fr.asp
-
[2]
Cf. la campagne de la « US Privacy Coalition » http://www.privacycoalition.org
-
[3]
La question de l’intégration des questions de protection des données au mandat de négociation sur le traité fait actuellement l’objet d’âpres débats. À défaut d’une exclusion formelle, le sujet pourrait faire l’objet de négociations puisque parmi les sujets que veulent aborder les négociateurs américains figure la préoccupation de “reducing costs stemming from regulatory differences in specific sectors, including consideration of approaches relating to regulatory harmonization, equivalence, or mutual recognition, where appropriate,” et que parmi les objectifs poursuivis figure celui de “[s]eek[ing] to include provisions that facilitate the movement of cross-border data flows.”
-
[4]
Les avis du G29 sont accessibles à l’adresse suivante : http://ec.europa.eu/justice/data-protection/ article-29/index_fr.htm
- [5]
-
[6]
http://www.oecd.org/fr/internet/ieconomie/recommandationdelocderelativealacooperationtransfrontieredanslapplicationdeslegisla-tionsprotegeantlavieprivee.htm
-
[7]
Décision accessible à l’adresse suivante : http:// www.cnil.fr/linstitution/missions/sanctionner/ les-sanctions-prononcees-par-la-cnil/
-
[8]
Décision du juge des référés du Conseil d’État n° 374595 du 7 février 2014.
- [9]
- [10]
-
[11]
Le texte révisé (en anglais) des Lignes directrices de l’OCDE et du « Memorandum explicatif » est disponible en ligne depuis le 9 septembre 2013 sur le site de l’OCDE à l’adresse suivante : http://www.oecd.org/sti/ieconomy/privacy. htm#newguidelines
-
[12]
Site du GPEN : https://www.privacyenforcement.net/
- [13]
- [14]
1 Les organisateurs du Forum Légipresse ont fait le choix de mentionner à leur programme la coopération entre autorités nationales de protection des données comme relevant d’une forme d’unification réussie. Pour les autorités de protection des données, et parmi elles bien sûr la CNIL, cette perception est heureuse : car il est vrai que cette coopération, longtemps anecdotique, devient aujourd’hui une réalité. Plusieurs dossiers récents l’illustrent bien, comme l’initiative dite « Internet Sweep Day », ou la coordination des procédures répressives initiées par plusieurs autorités européennes à l’encontre de Google suite à l’annonce, en mars 2012, de sa décision de mettre en œuvre une nouvelle politique de confidentialité.
2 Cependant, il serait inexact de s’en tenir à ce constat. En effet, les questions que pose le développement de cette coopération, sur les plans européen et international, sont en profonde mutation et leur complexité est plus grande qu’on l’imagine sans doute. Cette complexité tient pour l’essentiel au fait que les canaux de coopération existants sont nombreux et se multiplient (ils se superposent d’ailleurs parfois), et qu’ils sont poussés à s’entrecroiser sous l’effet de la volonté de renforcer la coopération entre autorités dans le monde – alors même, pourtant, que les philosophies qui les sous-tendent peuvent être fondamentalement différentes.
3 Les raisons de cette nécessaire coopération sont multiples. Mais toutes, sans exception, tiennent à un seul et unique facteur : les données personnelles – nos données personnelles – circulent au niveau international de manière exponentielle, dans des proportions difficilement quantifiables, entre toujours plus d’acteurs que, pour un grand nombre d’entre eux, nous ne connaissons pas. Au premier chef, on pense évidemment au développement de grands acteurs de l’Internet dont l’activité, étant globale, concerne l’ensemble des régulateurs, de même qu’à celui de l’économie numérique et à l’avènement du « big data », qui accordent aux données personnelles une valeur sans précédent.
4 Mais de nombreux autres thèmes contribuent à faire de cette coopération un impératif : les données circulent également du fait de leur externalisation ou de prestations informatiques auprès de prestataires étrangers, notamment – mais pas uniquement – dans le cloud ; les grands groupes centralisent tout ou partie de leurs bases de données de ressources humaines ou de données clients auprès d’une maison-mère ou d’une filiale étrangère… Les autorités doivent s’accorder sur la manière d’appliquer les principes et règles de protection des données à ces flux, anciens ou nouveaux. Il est d’ailleurs symptomatique que le nombre de plaintes enregistrées auprès des CNIL européennes qui comportent un élément d’extranéité, et qui requièrent à ce titre un traitement conjoint entre homologues, ne fait que croître (aide à la localisation du responsable de traitement, transmission de demande d’exercice d’un droit d’opposition auprès d’opérateurs étrangers, lutte contre le spam, etc.). Les autorités ont donc chaque jour davantage besoin les unes des autres.
5 Mais l’effectivité de cette coopération indispensable ne se décrète pas : elle pose, à l’évidence, des questions éminemment pratiques. Les autorités doivent s’organiser matériellement et humainement pour partager de l’information, mettre en commun leurs analyses, échanger leurs points de vue, arrêter des positions communes… Ce n’est pas toujours chose simple : les vecteurs légaux de coopération peuvent être limités ; les autorités n’ont pas toutes les mêmes compétences ; certaines autorités viennent à la « privacy » non par le biais de la défense des droits de l’Homme et des libertés fondamentales, mais par celui de la défense du consommateur et la régulation économique ; la transmission d’informations confidentielles entre homologues peut s’avérer juridiquement impossible ; toutes ne sont pas dotées de moyens humains et matériels suffisants pour s’engager dans des opérations de coopération pérenne, etc. Plus fondamentalement, la coopération entre autorités pose de nombreuses questions politiques – dont celle, sensible, de la détermination de ses finalités : s’agira-t-il d’un simple échange d’informations générales, de la coordination des réponses opérationnelles apportées à des questions que posent les opérateurs dans leurs pays d’établissement respectifs, veut-on aller vers des contrôles communs, voire vers l’engagement de procédures répressives parallèles, etc.?
6 Par ailleurs, la quasi-totalité des vecteurs juridiques permettant cette coopération, que ce soit au niveau européen ou mondial, sont simultanément engagés dans des processus de réforme ou de modernisation, qui rendent la cible de la définition des conditions de cette coopération entre autorités particulièrement mouvante. On assiste aujourd’hui à un phénomène de « tectonique des plaques » réglementaires, qui requiert que les autorités cherchent à développer l’interopérabilité des vecteurs existants, plutôt que de laisser une forme de concurrence s’instaurer entre eux.
7 La coopération transfrontière entre autorités n’est donc pas un sujet anodin. Compte tenu de sa complexité et des enjeux très concrets qu’elle comporte pour les citoyens français, elle exige ainsi de la CNIL une vigilance et une disponibilité constantes. On exposera ces enjeux en présentant les différents vecteurs de coopération existants : tout d’abord les vecteurs de coopération européenne, tels que ceux récemment mis en œuvre pour traiter l’affaire Google mentionnée plus haut (1), puis les vecteurs internationaux (2), enfin les vecteurs régionaux pertinents (3), qui démontreront l’importance que revêtent les questions d’interopérabilité et de concurrence entre eux (4).
1 – LES VECTEURS DE COOPÉRATION EUROPÉENNE
8 Historiquement, le premier texte européen en matière de protection des données est la Convention 108 du Conseil de l’Europe du 28 janvier 1981 et son protocole additionnel du 6 juin 2000.
9 L’article 18 de la Convention institue par ailleurs un comité consultatif ad hoc, constitué de représentants des parties à la Convention complété par des observateurs d’autres États (membres et non membres) et organisations internationales, qui est responsable de l’interprétation des dispositions et veille à faciliter et à améliorer la mise en œuvre de la Convention. Ce comité, dit « T-PD », ne constitue pas le cadre naturel pour la coopération entre autorités, car toutes ne siègent pas au sein de ce groupe intergouvernemental, où certaines, comme la CNIL, n’ont que le statut d’observateurs.
10 Pour autant, il convient d’estimer à sa juste valeur l’importance de la Convention 108 dans la perspective de la coopération entre autorités. En effet, le champ d’application du texte dépasse – et de loin – le périmètre des seules questions de « marché intérieur » auxquelles se limitent les textes communautaires. La Convention 108 s’applique ainsi aux questions de protection des données dans les domaines de la police et de la justice. Par ailleurs, le texte étant ouvert à la ratification par les pays tiers, son champ d’application dépasse en réalité largement le cadre du Conseil de l’Europe. Il constitue en effet la base, directe ou indirecte, des lois de protection des données de 47 États, qui puisent donc à la source de la Convention de sauvegarde des droits de l’Homme et des libertés fondamentales. Il offre également la possibilité aux autorités comme la CNIL de prendre contact avec les représentants des gouvernements ou autorités de pays qui ne sont pas nécessairement présents dans d’autres cercles de coopération.
11 Actuellement engagée dans un processus de modernisation [1], la Convention 108 revêt une caractéristique particulière : elle constitue à ce jour le seul instrument international juridiquement contraignant ayant une vocation universelle dans le domaine de la protection des données. De ce fait, les promoteurs de ce grand texte d’inspiration humaniste peuvent légitimement le présenter comme une référence internationale incontournable, au moment où l’on cherche à définir des standards mondiaux en matière de protection des données. Certains observateurs américains n’hésitent d’ailleurs pas à appeler leur gouvernement à adhérer à la Convention 108 [2], plutôt que de chercher à intégrer le sujet de la protection des données dans l’accord de libre-échange (le « Transatlantic Trade and Investment Partnership », ou « TTIP ») actuellement en négociation avec l’Union [3].
12 Au quotidien, cependant, le principal cadre de coopération entre autorités européennes est celui qu’offre la directive communautaire du 24 octobre 1995 relative à la protection des données à caractère personnel et à la libre circulation des données, dite directive 95/46/CE. C’est en effet sous son égide qu’opère le groupe dit « de l’article 29 », du numéro de l’article du texte qui l’institue [4] – sans doute le cadre de référence auquel pensaient les organisateurs de cette journée en proposant à la CNIL de s’exprimer lors de cette journée.
13 Le G29 a fait l’objet d’une évolution remarquable sur la dernière décennie. Conçu par le législateur communautaire comme un groupe chargé d’émettre des avis et des recommandations à destination de la Commission européenne, notamment sur l’interprétation des dispositions de la directive 95/46/CE et l’uniformisation des législations nationales, le groupe a opéré un basculement progressif dans l’opérationnel, facilité par la faculté qu’il détient de s’autosaisir.
14 Cadre naturel offert aux autorités européennes pour réagir collectivement aux sujets internationaux, le groupe a sans doute dépassé les limites naturelles de son mandat en adoptant plusieurs avis relatifs aux obligations imposées par les autorités américaines aux compagnies aériennes européennes opérant des vols transatlantiques, suite aux attentats du 11 septembre 2001, de donner accès à leurs fichiers de réservation dits « PNR » pour détecter des passagers suspects.
15 Ces avis de principe ont été suivis de nombreux autres quant à la portée extraterritoriale de certaines législations américaines ou à celle des demandes de communication de données personnelles détenues par les entreprises européennes par les autorités étrangères, notamment américaines – ainsi, sur l’application aux entreprises européennes de dispositions de la loi Sarbanes Oxley sur les dispositifs de whistleblowing, puis sur l’affaire Swift, dans laquelle les autorités américaines ont obtenu accès aux bases de données de la société Swift, société coopérative de droit belge qui traite les flux financiers de près de 8000 banques dans le monde, sur l’impact des procédures américaines de « pretrial discovery » en matière de protection des données… Aujourd’hui, le G29 est associé aux travaux du groupe d’experts transatlantiques institué après la révélation de l’affaire Prism. Autant de prises de positions et d’investissements à portée évidemment politique, dont l’objectif est de peser dans les négociations internationales visant à encadrer de tels pratiques et transferts.
16 Le G29, en outre, adopte de plus en plus de positions sur des sujets technologiques, tels que les réseaux sociaux, le cloud computing, les « smart borders », les scanners corporels dans les aéroports… La qualité et l’acuité des positions adoptées sur ces sujets, ainsi que la réactivité du groupe en la matière, ont doté celui-ci d’une incontestable crédibilité sur le plan technologique. Ceci lui permet ainsi de porter une voix européenne indépendante dans les circuits internationaux – y compris en matière de normalisation, comme à l’ISO.
17 Par ailleurs, les autorités membres du G29 travaillent de manière très intégrée à l’encadrement des transferts de données personnelles au sein de groupes internationaux, en validant des projets de règles d’entreprise contraignantes, dites « BCR » pour « Binding Corporate Rules ». Ces règles, qui codifient la politique d’un groupe en matière de transferts de données, permettent d’offrir une protection adéquate aux données transférées depuis l’Union européenne vers des pays tiers, au sein d’une même entreprise ou d’un même groupe. Devant le succès de cet instrument (plus de 45 grands groupes internationaux se sont d’ores et déjà dotés de tels outils), 21 autorités de protection des données de l’Espace économique européen se sont engagées à simplifier la procédure d’instruction de ces règles, au bénéfice des entreprises, en adhérant à une procédure dite de « reconnaissance mutuelle ». Ainsi, lorsqu’une autorité considère que des BCR apportent un niveau de protection suffisant, les autres autorités en reconnaissance mutuelle les approuvent automatiquement, ce qui accélère significativement leur délai d’approbation. Cette forme de coopération, purement prétorienne, constitue également une preuve vivace de l’efficacité de la communauté des régulateurs européens en la matière.
18 Ainsi, le G29 s’est progressivement transformé en un organe de coopération opérationnelle de fait qui permet incontestablement de parler d’une unification réussie.
19 Par ailleurs, sensible à la question de l’effectivité des capacités de coopération des autorités, la Commission européenne contribue à financer un projet de recherche européen de deux ans, dit consortium PHAEDRA [5]. L’objectif de ce programme consiste précisément à contribuer à l’amélioration de la coopération et de la coordination entre les autorités de protection des données, les commissaires à la protection des données et les autorités chargées de l’application des lois de protection de la vie privée. Le lancement de ce projet constitue ainsi, en partie, une réponse européenne à la recommandation de l’OCDE de 2007 relative à la coopération transfrontière dans l’application des législations protégeant la vie privée [6], qui sera abordée plus bas.
20 • Concernant la coopération européenne, il convient d’accorder une attention particulière au traitement commun de la récente affaire Google par le G29.
21 Le 24 janvier 2012, la société Google a annoncé son projet de fusionner une soixantaine de règles de confidentialité applicables à autant de ses services dans un seul document intitulé « règles de confidentialité » ou « politique de confidentialité », dans l’intention de les mettre en ligne au 1er mars 2012. Le G29 a décidé d’apprécier les conséquences de cette décision sur la protection des données personnelles des citoyens de l’Union au regard de la directive 95/46/CE, notamment au regard de son impact quant à la combinaison des données que la société collecte sur ses utilisateurs.
22 La procédure dans le cadre de laquelle cette affaire a été traitée a été déterminée de manière purement prétorienne. En effet, le G29 a décidé de la création d’un groupe de travail ad hoc et confié à la CNIL le soin de mener les discussions avec Google dans le cadre de ces travaux. À l’issue de nombreux échanges menés par la CNIL, le sous-groupe, puis le collège du G29 ont considéré que la société ne se conformait pas aux exigences de la directive. Un courrier signé de l’ensemble des 27 autorités composant le Groupe lui a donc été adressé en ce sens le 16 octobre 2012, formulant des recommandations pratiques visant à la guider vers une mise en conformité. Le 21 novembre 2012, la CNIL a, au nom du G29, invité la société à se mettre en conformité avec les recommandations du G29 avant le 15 février 2013. À l’issue d’échanges complémentaires, la société a rencontré, dans les locaux de la CNIL, des représentants de la « taskforce » constituée par les autorités de protection des données à caractère personnel britannique, espagnole, française, néerlandaise, italienne et du Land de Hambourg. Par un courrier du 26 mars 2013, la société s’est engagée à mettre en œuvre de nouvelles mesures pour améliorer la protection des données de ses utilisateurs ; celles-ci, cependant, n’ont pas été considérées probantes par les autorités membres de la taskforce. Ces dernières ont alors décidé de poursuivre la procédure engagée dans le cadre de leurs droits nationaux respectifs, chacune en ce qui la concerne.
23 Pour sa part, la présidente de la Commission, par décision en date du 29 mars 2013, a décidé d’ouvrir une procédure de contrôle à l’encontre de la société, en considérant, sur le fondement de l’analyse et des conclusions de la taskforce du G29, que les propositions de Google n’étaient pas de nature à assurer une mise en conformité au cadre législatif français. À l’issue de cette procédure de contrôle, la présidente a estimé que la société contrevenait à plusieurs dispositions de la loi « Informatique et Libertés ». Elle l’a donc mise en demeure, le 10 juin 2013, de prendre un certain nombre de mesures afin de se conformer à ces dispositions dans un délai de trois mois. Dans sa réponse à la mise en demeure, la société a soutenu que la loi française n’était pas applicable aux traitements en cause et que la CNIL n’était donc pas compétente pour engager une procédure répressive à son encontre ; elle a par ailleurs contesté chacun des manquements qui lui étaient reprochés.
24 Au vu de cette réponse, la présidente de la CNIL a alors désigné un rapporteur, afin qu’une procédure répressive soit engagée contre la société. Au terme de celle-ci, la formation restreinte de la CNIL a prononcé une sanction pécuniaire de 150000 euros à l’encontre de la société, qu’elle a par ailleurs condamnée à publier un communiqué faisant référence à cette sanction sur le site https://www.google.fr [7]. La société a procédé à cette publication dès la décision du juge des référés de rejeter son recours [8], le 7 février 2014, pendant deux jours consécutifs et selon les modalités prescrites par la formation restreinte. Par ailleurs, l’autorité espagnole a condamné la société à une amende de 900000 euros pour des « graves violations » de la vie privée, tandis que l’autorité néerlandaise a d’ores et déjà considéré, dans le cadre d’un rapport préliminaire [9], que Google ne respectait pas les dispositions de la loi néerlandaise de protection des données. Les décisions des autorités britannique, italienne et du Land allemand de Hambourg, ainsi que la décision définitive de l’autorité néerlandaise, sont attendues dans les prochaines semaines.
25 Sur le fond, l’affaire Google n’est pas close : les manquements reprochés par les autorités demeurent constitués, et les procédures engagées devront se poursuivre pour obtenir une mise en conformité aux règles de la directive 95/46/CE. Pour autant, il est d’ores et déjà possible de tirer des enseignements de cette coopération inédite. Tout d’abord, le cadre juridique de l’Union permet aux autorités de coopérer entre elles de manière effective, à droit constant, et ce malgré les différences de pouvoirs et de procédures qui existent entre elles. Par ailleurs, le G29 s’avère être un cadre adapté pour coordonner ces procédures, bien que cette fonction ne soit pas formellement intégrée au mandat défini par les textes. Enfin, une volonté politique commune, ainsi que l’implication de ressources qualifiées, constituent les conditions essentielles d’une coopération effective.
26 • Par ailleurs, comme on le sait, la Commission européenne a lancé, le 25 janvier 2012, un vaste chantier de réforme du cadre juridique communautaire, dans l’objectif de substituer un règlement à la directive 95/46/CE.
27 Dans l’hypothèse de son adoption, le texte remplacerait le G29 par un Comité européen de la protection des données (« CEPD » ou « EDPB » pour « European Data Protection Board »), constitué des présidents des autorités nationales et du Contrôleur européen de la protection des données. La mission du Comité serait toujours de conseiller la Commission ou les autorités nationales sur l’application et l’évolution des lois de protection des données personnelles, mais également de faciliter la coopération entre les autorités nationales : cette disposition accompagnerait ainsi efficacement le processus de coopération renforcée dans lequel se sont spontanément engagées les autorités européennes.
28 Par ailleurs, le projet de règlement prévoit que le CEPD aura comme mission de « promouvoir la protection des données personnelles au niveau international », ce qui sous-entend la faculté, pour le comité, d’adopter des positions qui débordent des frontières européennes, le cas échéant avec ses homologues non européens. En effet, il est certain que la coopération entre autorités européennes ne saurait se limiter au seul cadre de l’Union, que les problématiques dont il est saisi dépassent largement. Au contraire, cette capacité de coopération doit sortir d’Europe pour se renforcer sur les plans régionaux et mondial, tant pour asseoir des positions adoptées localement que pour bénéficier de l’expertise et du soutien d’autres autorités sur des dossiers particuliers.
29 L’affaire Google évoquée ci-dessus offre un exemple intéressant à cet égard : en effet, les conclusions adoptées par les autorités du G29 dans cette affaire ont été reprises à leur compte par d’autres autorités dans le monde, dont les neuf « Asia Pacific Privacy Authorities » (APPA) [10]. Endossées par des autorités d’autres zones régionales, ces conclusions européennes en sont d’autant plus légitimées vis-à-vis des observateurs extérieurs, qu’ils soient ou non européens. Ce faisant, elles contribuent également à l’institutionnalisation d’une véritable communauté de régulateurs de la vie privée.
2 – LES VECTEURS DE COOPÉRATION INTERNATIONALE
30 De très nombreuses initiatives se développent actuellement dans des forums mondiaux ou au niveau de zones régionales, en parallèle des initiatives européennes, pour renforcer la coopération entre autorités. Au vu des conséquences importantes que peuvent emporter ces différentes initiatives pour la protection des données des citoyens européens, les autorités européennes s’y sont donc résolument impliquées, dont la CNIL, qui y détient souvent des responsabilités particulières.
31 Ainsi, l’OCDE (Organisation de coopération et de développement économique) travaille depuis de nombreuses années sur les questions de coopération entre autorités de protection des données et de défense de la vie privée. Ces travaux sont menés sur la base des lignes directrices sur la protection de la vie privée et les flux transfrontières de données de caractère personnel, adoptées le 23 septembre 1980 par le Conseil de l’OCDE sous la forme d’une recommandation. Celles-ci ne constituent pas un instrument juridique contraignant mais un standard minimum que peuvent compléter des dispositions plus protectrices.
32 Les lignes directrices constituent un autre standard international potentiel, bien que leur niveau de protection soit réputé plus faible que celui qu’instituent les textes européens. Ainsi, l’année passée, l’Administration Obama a publié un rapport intitulé « Consumer Data Privacy in a Networked World : A Framework for Protecting Privacy and Promoting Innovation in the Global Economy ». Dans ce rapport figure un projet de « Consumer Privacy Bill of Rights », ou CPBR, qui reprend les principes figurant dans les lignes directrices de l’OCDE. À l’issue d’un travail de modernisation de plusieurs années, une nouvelle version des Lignes directrices a été adoptée par le Conseil des ministres le 11 juillet 2013 [11], dont l’OCDE espère qu’il permettra à de nouveaux pays d’adhérer au texte, qui rapproche des concepts issus de cultures juridiques différentes. Il importe cependant de relever que le texte révisé permet aux pays adhérents de continuer à appliquer le niveau plus élevé de protection des données éventuellement garanti par leurs législations – ce qui préserve notamment la pleine et entière application de la directive 95/46/CE aux citoyens et résidents de l’Union.
33 Dès 2007, le Conseil des ministres de l’OCDE a adopté une recommandation relative à la coopération transfrontière dans l’application des législations protégeant la vie privée. Cette recommandation vise à tenir compte du fait que l’évolution de la nature et du volume des flux transfrontières de données ont augmenté les risques pour la vie privée des personnes physiques et fait ressortir le besoin d’une meilleure coopération entre les autorités chargées de les protéger. En adoptant cette recommandation, les gouvernements se sont donc engagés à améliorer leurs cadres nationaux pour permettre à leurs autorités de mieux coopérer avec des autorités étrangères et à se prêter mutuellement assistance. Ainsi, a été prévu que soit établi un réseau informel des autorités en charge de faire appliquer les règles en matière de protection de la vie privée et d’autres parties concernées.
34 C’est pour répondre à cette préconisation de l’OCDE que onze autorités de contrôle des grandes régions du monde, dont la CNIL, ont décidé de constituer le réseau dit « Global Privacy Enforcement Network », ou GPEN, en 2010 [12].
35 Ce réseau, pour l’heure adossé à l’OCDE, regroupe aujourd’hui plus de trente autorités de contrôle d’Europe, d’Amérique du Nord, d’Amérique latine, d’Asie et du Pacifique – certaines d’entre elles, d’ailleurs, n’étant pas des autorités de protection des données. Il vise à faciliter la coopération en matière de contrôle du respect des législations sur la vie privée, à permettre aux parties prenantes de discuter les aspects pratiques de cette coopération, partager les « bonnes pratiques », soutenir les activités de contrôle communes ainsi que d’initier d’éventuelles campagnes d’information communes.
36 À titre d’exemple, la coopération au sein du GPEN a permis d’organiser une journée spéciale, dite « Internet Sweep Day », initiative proposant à chacune des autorités impliquées d’analyser un certain nombre de sites internet afin de vérifier leur conformité aux règles de la protection des données, et plus précisément la qualité de l’information délivrée aux personnes quant aux conditions de traitement de leurs données personnelles. Ainsi, la CNIL et dix-neuf de ses homologues dans le monde ont effectué en mai 2013 un audit des 2180 sites internet ou applications les plus visités. Les conclusions de cette opération ont montré l’insuffisance, voire parfois l’absence, d’une information claire des internautes sur les conditions de traitement de leurs données personnelles. Pour sa part, la CNIL a audité 250 sites internet régulièrement fréquentés par les internautes français et constaté que moins de 10 % seulement de ceux-ci ne fournissent pas d’information sur leur politique de protection des données. Pour autant, lorsque cette information est fournie, près de la moitié des sites et applications mobiles concernées ne la rendent pas facilement accessible. Sur le fond, cette information n’a pas été considérée comme suffisamment claire et compréhensible pour près d’un tiers des sites audités. La CNIL, comme ses homologues, a décidé de se rapprocher des sites présentant des manquements à la loi afin que ceux-ci améliorent l’information fournie aux personnes dont elles collectent des données. Dans certains cas, la présidente de la CNIL a décidé d’adopter des mises en demeure à l’encontre de certains d’entre eux.
37 Les travaux menés par le GPEN et l’OCDE s’articulent par ailleurs avec ceux que mène la conférence internationale des commissaires à la protection des données et à la vie privée, qui rassemble annuellement l’ensemble des autorités de protection des données existant au niveau mondial. Fondée sans texte, à l’initiative des seules autorités, la conférence constitue depuis plus de 30 ans un vecteur de coopération de fait : elle offre en effet aux autorités un forum annuel unique, à l’occasion duquel elles se rencontrent pour travailler de concert et adopter des résolutions dans le cadre de sa conférence fermée, ouverte aux seules autorités accréditées.
38 À plusieurs reprises, suite à l’adoption de la recommandation de l’OCDE de 2007, la conférence internationale a mis la question de la coopération internationale à son agenda : à Montréal en 2007, à Mexico en 2011, en Uruguay en 2012, enfin à Varsovie en 2013. Les résolutions adoptées encouragent le développement d’une coordination effective entre les contrôles transfrontières et le développement d’une véritable communauté des régulateurs, afin de permettre à une coopération efficace de voir le jour. C’est ainsi qu’ont pu être déterminées les dispositions et règles minimales de coopération en matière de contrôle dont doivent disposer les autorités pour prétendre à une coopération efficace.
39 Le développement de ce réseau de coopération pose, comme celui de l’OCDE, des questions multiples et complexes. Ainsi, faut-il limiter cette coopération à la seule finalité de contrôle, comme c’est l’objectif du GPEN ? Dans ce domaine, est-il envisageable, juridiquement et politiquement, d’adosser un groupe de travail composé pour l’essentiel d’autorités indépendantes à un système d’information fourni, en tout ou partie, par des autorités relevant d’un pouvoir exécutif étranger ? Les moyens de cette coopération, notamment la mise en place d’un système d’information, peuvent-ils être majoritairement administrés par des autorités autres que les autorités de protection des données ? De quels moyens disposer pour assurer une autonomie effective ?, etc. Telles sont les questions sur lesquelles travaillent actuellement les autorités impliquées, afin de pouvoir bâtir un réseau de coopération stable et efficace, dont il sera possible de tirer un réel profit sur le long terme.
3 – LES AUTRES VECTEURS DE COOPÉRATION RÉGIONALE
40 La coopération avec les homologues de la CNIL doit enfin s’envisager en lien avec les actions issues de forums autres qu’internationaux et européens. D’autres cercles de coopération régionaux jouent également un rôle croissant.
41 Ainsi, le forum de Coopération économique intergouvernemental pour l’Asie-Pacifique (Asia-Pacific Economic Cooperation ou APEC) a adopté l’« APEC Privacy Framework » [13], qui vise à donner un cadre commun aux pays de la zone afin que les données personnelles puissent être librement transférées entre eux. Ce Framework vise, conformément à l’objectif de l’APEC, à faciliter le développement économique dans cette zone, au bénéfice « des consommateurs, des entreprises, et des gouvernements », les ministres de la zone ayant reconnu l’importance du développement de protections effectives en matière de protection des données, pour « lever tout obstacle aux flux de données, garantir un commerce continu et la croissance économique dans la zone ».
42 Dans cette optique, l’APEC a finalisé un dispositif d’encadrement du transfert de données personnelles au sein de ses pays membres (dénommé « Cross-Border Privacy Rules » ou « CBPR »). Moins protectrices pour les personnes que le système européen, ces règles se rapprochent cependant des « règles internes d’entreprise », dites BCR (voir supra, p. 112), qui se développent en Europe. Il importe d’accorder l’importance qu’elle mérite à cette initiative, qui concerne 21 États dont les États-Unis, le Canada, le Japon, la Chine, la Russie ou encore la Corée du Sud.
43 Le G29 a étudié les CBPR afin d’identifier leurs similarités et leurs différences avec les BCR. Sur la base de cette comparaison, il a lancé une réflexion pour développer des outils qui pourraient servir de base de référence aux groupes multinationaux qui opèrent à la fois dans l’Union européenne et dans la zone APEC. Fin janvier 2013, la CNIL, qui est rapporteur sur le sujet auprès du G29, ainsi que d’autres autorités de protection européennes se sont réunies à Jakarta avec le Comité BCR/CBPR de l’APEC. Suite à cette rencontre, le G29 a adopté, le 27 février 2014, un avis favorable sur un référentiel pratique énumérant les exigences des BCR et des CBPR ; le même jour, le document était adopté par les États membres de l’APEC.
44 Par ailleurs, la communauté de valeurs qui lie les pays francophones a favorisé l’adoption d’un Protocole de coopération entre autorités membres de l’Association Francophone des Autorités de protection des données personnelles (AFAPDP) [14], par lequel les autorités concernées s’engagent à échanger toute information utile à l’accomplissement de leurs missions, dans le respect de leur droit interne et de leurs obligations de confidentialité. La CNIL, comme ses homologues canadiens, européens et africains francophones, est très impliquée dans ce réseau prometteur, qui coopère par ailleurs avec son homologue hispanophone, réseau ibéro-américain de protection des données, ou RIDP.
45 L’AFAPDP, « dernier né » de la communauté des régulateurs, s’avère être un vecteur de coopération particulièrement dynamique. Grâce à son réseau de professionnels, elle offre de nombreux services aux autorités de protection des données installées ou en cours d’installation, ainsi qu’aux États qui souhaitent adopter des lois en la matière : conseils juridiques, formation collective, partage d’informations, etc., si bien qu’à ce jour, on dénombre 43 États francophones sur 75 qui se sont dotés d’une législation.
46 Par ailleurs, en sus des actions très concrètes qu’elle mène sur le terrain, l’AFAPDP s’investit dans l’adaptation des outils existants sur le plan international pour les adapter au contexte de l’espace francophone. À titre d’exemple, les autorités francophones ayant récemment exprimé le souhait de pouvoir partager un outil commun pour encadrer et faciliter les transferts de données au sein de l’espace francophone, l’Association a adopté en novembre 2013 une « Résolution relative à la procédure d’encadrement des transferts de données personnelles dans l’espace francophone au moyen de règles contraignantes d’entreprise (RCE) » – c’est-à-dire, en pratique, une transposition adaptée des « BCR » de l’Union européenne. Ainsi, l’association s’est progressivement imposée comme un partenaire incontournable de la communauté des régulateurs mondiaux.
4 – L’INTEROPÉRABILITÉ ET LA CONCURRENCE ENTRE LES VECTEURS DE COOPÉRATION
47 En se développant et en se modernisant de concert, les vecteurs de coopération entre les autorités existantes dans les différentes zones du monde ont inévitablement tendance à faire référence les uns aux autres. À titre d’exemple, le Comité des ministres du Conseil de l’Europe a décidé de moderniser la Convention 108 en 2010 dans le souci, entre autres, « d’assurer une cohérence avec les textes adoptés par l’OCDE et par l’ONU, ainsi qu’avec le projet de Règlement européen ». Lors de la Conférence internationale des commissaires à la protection des données de 2013, un groupe de travail ad hoc a été chargé de rédiger un document contenant les dispositions et règles minimales de coopération en matière de contrôle dont le fondement sera le cadre de référence adopté par la Conférence en 2012, et qui s’inspirera « de la Convention 108 du Conseil de l’Europe, du projet de Règlement européen et des CBPR de l’APEC ». Dans un autre registre, comme on l’a vu plus haut, le dispositif « CBPR » de l’APEC fait l’objet d’une analyse comparée avec les « BCR » européennes par la CNIL, au nom du G29, afin que les deux dispositifs puissent s’articuler entre eux… les exemples peuvent être multipliés à l’envi.
48 Comme on l’a déjà dit, ces développements posent des questions fondamentales : la recherche de l’interopérabilité des vecteurs existants, la détermination du forum le plus adapté pour accueillir et encadrer la coopération internationale (et son éventuel corollaire, la définition d’un texte de référence), la place des autorités européennes de protection des données dans cette coopération mondiale, ou encore l’étendue de la coopération. L’enjeu est de taille puisque, depuis quelques années, le sujet de l’adoption d’un texte universellement contraignant en matière de protection des données s’impose dans les réflexions internationales.
49 Pour les autorités, cependant, il est impossible d’attendre que l’intégralité de ces questions soit résolue pour que des actions de coopération puissent être d’ores et déjà engagées. Elles s’adaptent donc à ces contextes mouvants pour procéder, dans les limites qu’imposent leurs droits nationaux respectifs, à des actions de coopération ponctuelles – y compris, parfois, avec des autorités étrangères ayant des compétences ou des statuts différents.
50 En parallèle, il leur appartient de susciter l’adoption de dispositions législatives permettant de lever les obstacles juridiques au partage de données couvertes par le secret professionnel, de trouver des sources de financement pour les structures de coopération à mettre en place… Ces difficultés, inhérentes à la recherche de toute solution applicable au niveau mondial, n’ont rien de décourageant. Au contraire, elles témoignent du fait que la coopération entre autorités a dépassé le stade du souhait politique pour entrer dans la phase de mise en œuvre opérationnelle. Et surtout, elles offrent un signe visible de la réalisation d’une perspective longtemps espérée : l’institutionnalisation d’une véritable communauté internationale de régulateurs en matière de protection de la vie privée.
51 C.G.
Notes
-
[*]
L’auteur tient à remercier le service des affaires européennes et internationales de la CNIL pour sa contribution à la rédaction de cet article.
-
[1]
Voir l’état d’avancement du projet sur le site du Conseil de l’Europe, à l’adresse suivante : http://www.coe.int/t/dghl/standardsetting/ dataprotection/modernisation_fr.asp
-
[2]
Cf. la campagne de la « US Privacy Coalition » http://www.privacycoalition.org
-
[3]
La question de l’intégration des questions de protection des données au mandat de négociation sur le traité fait actuellement l’objet d’âpres débats. À défaut d’une exclusion formelle, le sujet pourrait faire l’objet de négociations puisque parmi les sujets que veulent aborder les négociateurs américains figure la préoccupation de “reducing costs stemming from regulatory differences in specific sectors, including consideration of approaches relating to regulatory harmonization, equivalence, or mutual recognition, where appropriate,” et que parmi les objectifs poursuivis figure celui de “[s]eek[ing] to include provisions that facilitate the movement of cross-border data flows.”
-
[4]
Les avis du G29 sont accessibles à l’adresse suivante : http://ec.europa.eu/justice/data-protection/ article-29/index_fr.htm
- [5]
-
[6]
http://www.oecd.org/fr/internet/ieconomie/recommandationdelocderelativealacooperationtransfrontieredanslapplicationdeslegisla-tionsprotegeantlavieprivee.htm
-
[7]
Décision accessible à l’adresse suivante : http:// www.cnil.fr/linstitution/missions/sanctionner/ les-sanctions-prononcees-par-la-cnil/
-
[8]
Décision du juge des référés du Conseil d’État n° 374595 du 7 février 2014.
- [9]
- [10]
-
[11]
Le texte révisé (en anglais) des Lignes directrices de l’OCDE et du « Memorandum explicatif » est disponible en ligne depuis le 9 septembre 2013 sur le site de l’OCDE à l’adresse suivante : http://www.oecd.org/sti/ieconomy/privacy. htm#newguidelines
-
[12]
Site du GPEN : https://www.privacyenforcement.net/
- [13]
- [14]