Pour rappel, l’Organisation de coopération et de développement économique (OCDE) est une organisation internationale datant de 1961 visant à établir des normes internationales pour les 38 États membres.
Cette coopération internationale peut déboucher sur des normes internationales juridiquement contraignantes ou non sous forme de lignes directrices ou encore des conventions qui seront ouvertes à la signature pour les États membres mais également aux États tiers en général.
L’accord visé aujourd’hui résulte d’une réunion ministérielle de l’OCDE sur l’économie numérique de 2022. Il vise à fluidifier et à renforcer la confiance entre les signataires concernant la circulation transfrontière des données personnelles de leurs citoyens en proposant un cadre juridique unifié et protecteur.
Le secrétaire général de l’OCDE Mathias Cormann met en exergue les deux points de frictions qui composent ce sujet à savoir, d’une part, la nécessité pour un monde globalisé et connecté comme le nôtre de pouvoir transférer des données essentielles relatives à la santé par exemple. D’autre part, de respecter le droit fondamental à la vie privée.
La déclaration du 14 décembre 2022 n’est pas unique car elle vient en réalité compléter les lignes directrices de l’OCDE régissant la protection de la vie privée qui, du fait de leur forme, sont contraignantes juridiquement. De plus, elles s’affichent en référence pour nombre d’États.
La convention a donc pour but principal d’éviter que la circulation transfrontière de nos informations personnelles par les pouvoirs publics débouche sur une utilisation impropre et abusive. Pour résumer, cela revient à lutter contre une utilisation incompatible avec nos valeurs démocratiques et l’État de droit, ce qui est nécessaire pour établir un plancher commun protecteur. Les principes présents ne sont pas tous novateurs du fait qu’ils reprennent parfois des normes déjà applicables dans des pays membres qui apparaissent comme utiles avec l’exemple du règlement général de protection de données (RGPD) de l’Union européenne adopté en 2016 qui est très efficace.
Les principes abordés sont les suivants :
- En faire une utilisation qui sert des finalités spécifiques et légitimes ;
- Autorisation d’accès ;
- Traitement des données par le personnel autorisé et pour une durée de conservation
limitée ;
- La mise en place d’un mécanisme garantissant la transparence de cet accès aux
données ;
- La mise en place d’un mécanisme indépendant de contrôle de la bonne application des
règles mentionnées dans la convention ;
- L’établissement de la garantie pour un individu de faire un recours judiciaire ou extra- judiciaire s’il constate le non-respect des principes susmentionnés.
Les deux points importants sont bien évidemment le mécanisme de contrôle et le recours. En effet, le mécanisme de contrôle est primordial pour s’assurer du respect des règles et va, en plus de cela, permettre la rédaction de rapports sur le niveau actuel de respect des principes pour chaque État ainsi que des recommandations pour analyser les raisons du non-respect pour y remédier le plus efficacement.
Le dernier point est à mon sens essentiel. Il va permettre aux citoyens concernés de faire valoir leur droit au respect à leur vie privée en faisant supprimer les accès indus à leurs données personnelles, mais seront confrontés à d’autres impératifs tels que la sécurité nationale.
C’est ici que l’on voit bien l’importance de l’existence cumulative des deux points abordés car c’est bien le mécanisme de contrôle mis en place qui va permettre de déterminer si oui ou non il y a une utilisation impropre ou abusive du pouvoir public. Ce rôle crucial de l’organe de contrôle ne fait qu’accentuer la nécessité de sa nature impartiale et indépendante.
Pour conclure, les États signataires ont un devoir d’agir de bonne foi, leur engagement les contraints donc à respecter la lettre de la convention qui empêche l’utilisation abusive par les pouvoirs publics de nos données personnelles avec la mise en place d’un contrôle qui sera facilité en théorie par le principe de transparence et qui prévoit un droit de recours en cas de violation.
Lien vers la convention : https://legalinstruments.oecd.org/fr/instruments/OECD-LEGAL-0487
