Certifier la conformité aux autorisations uniques de la CNIL( Télécharger le fichier original )par Eric Lachaud Institut Supérieure d'Electronique de Paris - Master management des données à caractère personnel 2010 |
2.3.4 Le Privacy framework de l'APECBien que l'on ne puisse pas à proprement parler de norme réglementaire dans ce cas précis, il nous a apparu intéressant d'aborder le «Privacy Framework» dont les 21 membres l'Asian Pacific Economic Cooperation (APEC ) se sont dotés en 2004 pour faciliter lle transfert de flux de données à caractères personnel dans et hors de cette zone de libre échange. Le «Privacy Framework» de l'APEC propose neuf principes de protection des données à caractère personnel qui sont largement inspirés des Lignes directrices de l'OCDE sur la protection de la vie privée et les flux transfrontières de données 47; document fondateur publié en 1980 par l'Organisation de Coopération et de Développement Economique sur ce sujet (OCDE) . Le 9ème et dernier principe du «Privacy Framework propose de mettre en place un principe de «responsabilité» (accountablity) tel que nous l'avons déjà exposé plus haut. Cela signifie, comme le souligne le point 26 du «Privacy Framework »48, que les entreprises ou les institutions qui transfèrent des données à caractère personnel dans et hors de la zone doivent être à même de prouver qu'elles ont pris toutes les mesures nécessaires et notamment celles contenues dans le « Privacy Framework » afin de protéger ce type de données. Pour que ce transfert soit conforme au « Privacy Framework », l'entreprise doit obtenir le consentement de la personne ou faire appel à un tiers accrédité « accredited accountability agent » afin que celui-ci certifie que le récepteur du flux traite ces données de manière conforme aux principes contenus dans le référentiel. 47 Le texte intégral des « Lignes directrices de l'OCDE sur la protection de la vie privée et les flux transfrontières de données de caractère personnel » est disponible en anglais à cette adresse : http://www.oecd.org/document/20/0,3343,fr264934223155917971111,00.html La document est également disponible en français sur Google books http://books.google.fr/books?id=Ar4BTHW50DEC&lpg=PA7&ots=QnQYIFHSN9&dq=Lignes%20directrices%20de%20l'OCDE %20sur%20la%20protection%20de%20la%20vie%20privée%20et%20les%20flux%20transfrontières%20de%20données%20de %20caractère%20personnel&pg=PP1#v=twopage&q&f=false 48 Le point 26 du «Privacy Framework » de L'APEC précise p.29 «A personal information controller should be accountable for complying with measures that give effect to the principles stated above. When personal information is to be transferred to another person or organisation, whether domestically or internationally, the personal information controller should obtain the consent of the individual or exercise due diligence and take reasonable steps to ensure that the recipient person or organisation will protect the information consistently with these principles. Le texte intégral du « Privacy Framework » de l'APEC est disponible à cette adresse : http://www.ag.gov.au/www/agd/rwpattach.nsf/VAP/(03995EABC73F94816AF4AA2645824B)~APEC+Privacy+Framework.pdf/ $file/APEC+Privacy+Framework.pdf 30 Cette procédure peut être effectuée sous la forme d'un audit préalable (« due diligence » en droit anglo-saxon) sans qu'il soit réellement précisé dans quelles circonstances cet audit doit être spécifiquement diligenté. Un certain nombre de critiques se sont élevées contre ce référentiel pour son imprécision ainsi que sur le peu de détails qu'il donne quant à la mise en oeuvre des principes qu'il défini et notamment celui de responsabilité.49 Un projet complémentaire a d'ailleurs été initié par l'APEC en 2008, le « Privacy Pathfinder Projects Implementation »50 qui avait pour but de donner corps à ce principe et à en organiser l'exercice. Malgré quelque avancées, il peine encore aujourd'hui à produire des résultats concrets comme le souligne Nigel Waters qui en est l'un des animateurs51. L'introduction de ce principe de responsabilité a tout de même permis de faire avancer la question de la protection des données à caractère personnel dans une zone marquée jusqu'alors par une très grande hétérogénéité des législations dans ce domaine. Il constitue pour nous un exemple qu'il est même possible de certifier la confomité à une norme supranationale. |
|