Sélection de la langue

Recherche

Les autorités de contrôle : Données personnelles et francophonie

Cette page Web a été archivée dans le Web

L’information dont il est indiqué qu’elle est archivée est fournie à des fins de référence, de recherche ou de tenue de documents. Elle n’est pas assujettie aux normes Web du gouvernement du Canada et elle n’a pas été modifiée ou mise à jour depuis son archivage. Pour obtenir cette information dans un autre format, veuillez communiquer avec nous.

Paul-André Comeau
Commissariat à la protection de la vie privée du Canada

September 2007


Mot de la Commissaire à la protection de la vie privée du Canada

Au cours des dernières années, le monde a été le théâtre d’une explosion technologique qui remet en question les dynamiques relationnelles entre l’économie, la société et les personnes. Avec la mondialisation et la portée toujours croissante d'Internet, de nombreux ponts ont été érigés entre les pays, les cultures, les marchés. Si ces nouvelles voies permettent un rapprochement favorable à plusieurs égards, elles ne sont pas en mesure, à défaut de réglementation précise identifiée et acceptée universellement, de protéger les données personnelles qui y circulent.

Face à cette problématique, les autorités francophones de la protection des données reconnaissent la valeur inestimable du partage des connaissances et des pratiques afin de tirer profit de l’expérience de chacun; car les défis sont essentiellement similaires. Forts de l’appui de l’Organisation internationale de la francophonie (OIF) à l'élaboration d'un instrument international qui garantirait le respect du droit à la vie privée, les représentants de 14 pays ont convenu de créer une Association des autorités francophones en charge de la protection des données personnelles, à l’issu d’une première rencontre à Monaco en septembre 2006. À cette rencontre, M. Raymond D'Aoust, commissaire adjoint à la protection de la vie privée du Canada (CPVP), appuyé par Mme Marie Georges de la CNIL, a proposé d’obtenir les services d'un expert pour réaliser une étude exhaustive qui sonderait divers régimes existants de protection des données. Cette nouvelle fut accueillie favorablement par les autorités présentes.

C'est avec grand plaisir que nous présentons cette étude aujourd'hui. Ce précieux document procède à un diagnostic de la situation de la protection de la vie privée dans la francophonie, d'abord en cartographiant les régimes de protection des données qui existent dans divers pays francophones; ensuite en effectuant une analyse approfondie des fonctions de ces régimes et des activités des autorités qui en ont la responsabilité. Ainsi peut s'amorcer une démarche de mise en commun des expertises et des expériences aux problèmes rencontrés par des institutions de cultures juridiques différentes – mais dont les objectifs sont pratiquement les mêmes.

Je tiens à saluer l'auteur de ce document, M. Paul-André Comeau, qui fut président de la Commission d’accès à l’information de 1990 à 2000. Par sa vaste expérience et son regard perspicace, il a contribué d’une manière significative à la réalisation de notre projet. Je tiens également à remercier chaleureusement les membres du Groupe canadien de travail sur les statuts de l'Association : Me Jacques Saint-Laurent, président de la Commission d’accès à l’information du Québec, M. Raymond D'Aoust, commissaire adjoint du CPVP, Me Christian Whalen, avocat du Bureau de l’ombudsman du Nouveau-Brunswick, et du CPVP, Me Nathalie Daigle, avocate du contentieux, et enfin Mme Florence M.C. Nguyen, conseillère principale en communication. Ensemble, ils ont mené à bien ce projet.

Nous espérons que l'Association des autorités francophones profitera grandement de cette étude en vue de s'inscrire dans un mouvement plus vaste pour sauvegarder le droit à la protection des renseignements personnels, lesquels font partie du patrimoine des droits humains. L'assemblée constitutive de l'Association aura lieu à Montréal en septembre 2007, dans le cadre de la 29e Conférence internationale des commissaires à la protection des données et de la vie privée, dont l'une des préconférences portera sur la protection des données dans le monde de la francophonie.
Nous espérons que ce travail alimentera vos réflexions autant qu'il a éclairé les nôtres.

La commissaire à la protection de la vie privée du Canada
Jennifer Stoddart

Avant propos

Ce rapport a été mis au point en vue de la fondation, à Montréal, en septembre 2007, du regroupement des autorités de contrôle des données nominatives ou renseignements personnels des pays de la francophonie. Il résulte d’une démarche pilotée par la Commissaire à la protection de la vie privée du Canada, Me Jennifer Stoddart au nom de ses collègues de la francophonie,

Le portrait très schématique des huit organismes de contrôle à l’oeuvre dans les pays de la francophonie en juin 2007 a été esquissé à la faveur d’une double démarche. Dans un premier temps, un examen des textes disponibles a permis de dégager un certain nombre de pistes et d’hypothèses quant à l’origine et à l’évolution de ces entités administratives. De même, une interview en bonne et due forme menée auprès des dirigeants de chacune de ces autorités de contrôle a permis d’approfondir les notions et hypothèses précédemment alignées.

L’auteur de cette étude tient à exprimer ses remerciements aux responsables des organismes de contrôle et à leurs collaborateurs qui ont répondu à chacune de ses demandes avec empressement. De même, il avoue une importante dette de reconnaissance envers Mme Marie-Pierre Busson et M. Maxime Laverdière qui l’ont épaulé tout au long de cette démarche.

Enfin, selon la formule consacrée, l’auteur assume seul la responsabilité des affirmations et hypothèses contenues dans ce rapport.

Paul-André Comeau
Montréal, le 16 juillet 2007

Introduction

Peu d’observateurs ont relevé, dans le communiqué final de la XIe conférence des chefs d’État et de gouvernement de la francophonie, tenue à Bucarest en septembre 2006Note de bas de page 1, un paragraphe consacré à la question des données ou renseignements personnelsNote de bas de page 1. Les pays-membres de l’Organisation internationale de la francophonie – OIF - y soulignent leur intérêt, compte tenu de l’accroissement exponentiel des flux transfrontaliers de données personnelles, pour l’adoption d’un instrument  international qui garantirait le droit des personnes à la protection de ces renseignements personnels. Derrière l’habillage diplomatique, il faut y lire l’accord de principe en faveur d’une convention contraignante et de portée mondiale.

Les pays membres de l’OIF avaient souligné, lors de leur  précédent Sommet, à Ouagadougou, en 2004, l’importance de la protection de la vie privée. De façon très explicite, ce document lançait un appel en faveur du développement d’une forme de coopération internationale entre «les autorités indépendantes» chargées dans chaque pays afin d’assurer le respect des dispositions relatives à la protection  des données personnellesNote de bas de page 3.

Ces deux recommandations interpellent les citoyens et les dirigeants des pays qui composent la francophonie institutionnelle. L’objectif de coopération internationale, formulé aussi bien en Roumanie qu’au Burkina Faso, est on ne peut plus explicite. Il suppose, de la part de chacun des  États-membres de l’OIF,  la mise en place  de régimes juridiques qui assurent, de manière effective, la protection des données personnelles et le respect de la vie privée. Les citoyens des pays de la francophonie devraient être les bénéficiaires de «la protection des libertés et droits fondamentaux des personnes», pour reprendre les termes utilisés dans le communiqué d’Ouagadougou.

Comment répondre à ces voeux? De quelle façon concrétiser la mise en oeuvre de tels régimes – Dispose-t-on de modèles ou de précédents pour guider et structurer  une adaptation, une transposition intelligente des principes et modalités de pareille construction juridique? Sur quelles bases et avec quels objectifs engager une démarche internationale qui déboucherait sur l’élaboration et l’adoption d’un instrument international? Aucune de ces questions n’est anodine au moment où les autorités indépendantes chargées de la protection des données personnelles s’interrogent  sur leurs pouvoirs et  sur l’effectivité de leur missionNote de bas de page 4.

Protection des données personnelles, respect de la vie privée : ces objectifs s’ajoutent aux défis que doivent relever les États engagés dans la recherche d’une «bonne gouvernance». Ce défi vise une dimension des droits individuels qui, ces trente dernières années, a été prise en compte dans de nombreux pays occidentauxNote de bas de page 5. Dès le début des années 70, les Etats-Unis et quelques États européens ont tenté de composer avec le problème que dressait l’informatique face au respect des droits individuels. Les circonstances ont pu varier d’un pays à l’autre, le dénominateur commun, sous forme de question, demeurait le même : comment assurer le respect de la sphère privée face au développement des nouvelles technologies? Le land de Hesse, dès 1971, et la Suède, en 1973, sont passés à l’action en se dotant d’une loi sur la protection des données. Devant l’ampleur du débat sur cette même question, les Etats-Unis en ont fait autant, en 1974.

Les États de la francophonie  en Europe occidentale et en Amérique du nord se sont rapidement inscrits dans cette mouvance. En Europe, la France, la Belgique, la Suisse le Luxembourg et la Roumanie et, en Amérique du Nord, le Canada, le Québec et le Nouveau Brunswick ont mis en place, à compter de 1977, leur propre régime de protection des données nominatives. Ils ont confié à des «autorités indépendantes» le mandat d’assurer le respect des droits et principes inscrits dans leur législation sur la protection des renseignements personnels.

Le présent dossier vise à schématiser l’état de la situation en ce qui a trait à ces huit «autorités de contrôle». Il s’agit d’esquisser une présentation sommaire de chacune de ces  institutions ou autorités administratives. Ces tableaux mettront aussi en lumière l’évolution qui a marqué la mission et les pouvoirs de ces organes de contrôle.

Ces diverses institutions, dont la finalité est pratiquement identique, portent certes l’empreinte de cultures juridiques différentes. Elles n’en actualisent pas moins les mêmes principes de base ; d’où l’intérêt de cette démarche qui n’entend ni verser dans le droit comparatif, ni prétendre faire oeuvre exhaustive. L’objectif est plus modeste. Il s’agit, à la lumière de ces expériences francophones, de présenter des pistes de travail et de signaler des tendances à ceux qui se penchent sur la possibilité de mettre en oeuvre des régimes de protection des données personnelles

1. Belgique – Commission de protection de la vie privée

La Commission de protection de la vie privée (CPVP) en Belgique représente un cas très particulier au sein des organismes de contrôle. Cette institution peut s’enorgueillir d’exister avant même l’adoption d’une législation sur la protection des renseignements personnels dans ce pays. D’organisme à vocation consultative, la CPVP a été hissée au rang d’organisme de contrôle au moment où le Parlement belge adoptait sa législation en ce domaine.

L’implantation de cet organisme s’est vécue dans un contexte de profonds changements constitutionnels. L’État unitaire, créé en 1830, s’est transformé, durant les années 1990, en une véritable État fédéral où coexistent Wallons, Flamands et Bruxellois, de même qu’une minorité germanophone.

Les démarches engagées sur la scène européenne, d’abord au Conseil de l’Europe, à Strasbourg, puis au siège de l’Union européenne, à Bruxelles, ont aussi pesé sur le cheminement de la Belgique en matière de protection des données personnelles.

Le cheminement législatif

Le projet de création d’un super-fichier national de la population, à la suite de la fusion de plusieurs fichiers d’identité, a incité le Parlement belge à instituer, en 1982, une «commission consultative de la protection de la vie privée» qui s’est vu confier la mission de veiller au respect des droits des citoyens dans ce domaine.

En 1992, la Belgique se dote d’une loi sur le respect de la vie privée et de la protection des données nominatives. La création, en 1990, de la « Banque Carrefour de la sécurité sociale » - véritable fichier national spécialisé- en a été l’un des éléments déclencheurs. Il en est de même des mesures adoptées, en 1991, en vue de réglementer le crédit à la consommation et de tenir compte des débiteurs défaillants. Le Parlement a alors pris acte des craintes formulées par les membres de la Commission consultative qui avaient mesuré les limites de ce système : d’où la création, fin 1991, de l’actuelle Commission de la protection de la vie privée, un an avant l’adoption de la loi.Note de bas de page 6

Cette loi englobe les secteurs privé et public, tout à la fois. Elle s’applique sur l’ensemble du territoire de la fédération. La question des renseignements personnels et du respect de la vie privée relève de la seule autorité fédérale, situation différente de ce que l’on relève dans d’autres pays fédéraux, à commencer par le Canada.

Le Parlement belge a modifié cette loi, de façon importante, en 1998Note de bas de page 7. À l’instar des autres États-membres de l’Union européenne, la Belgique souscrit alors à l’obligation de transposer dans son arsenal juridique les principes énoncés dans la directive européenne de 1995Note de bas de page 8.

Un collège pluraliste

La loi de 1992 crée une commission, dotée de pouvoirs analogues à ceux qui ont été conférés aux organismes de contrôle des pays voisins. En 2003, le Parlement fédéral répond aux appels du pied lancés par la Commission elle-même, inquiète des lacunes et insuffisance de son statut. Le Parlement adopte des changements législatifs importants qui visent particulièrement la composition, les rôles et mandats de la CommissionNote de bas de page 9.

Dotée du statut «d’organe collatéral» de la Chambre des ReprésentantsNote de bas de page 10, la CPVP jouit de ce fait d’une indépendance réelle, conformément aux stipulations de la directive européenne. Elle se rapporte directement au Président de la Chambre et sa dotation financière émarge au budget de la Commission du budget du Parlement. C’est également à la Chambre que la CPVP doit déposer son rapport annuel et soumettre son plan de gestion.

Le législateur a établi, au sein de la Commission, des comités sectoriels qui ont la responsabilité de traiter les dossiers de secteurs ou domaines spécifiques: le registre national des personnes physiques, la Banque Carrefour des entreprises, la Banque Carrefour de la sécurité sociale, les données de santé et les services publics fédéraux. Un autre comité avait  été institué en 2005 pour exercer une surveillance externe sur le système d’information PHENIX (actuellement à l’arrêt) qui permet la circulation de données du domaine de la justice, y compris les dossiers judiciairesNote de bas de page 11. Enfin, en 2006, une loi a créé un Comité sectoriel Statistique.

La CPVP s’est vue doter d’une structure pluraliste qui intègre un certain nombre des caractéristiques de la réalité sociale et politique de la Belgique. Les membres de la Commission – huit  permanents, autant de suppléants - sont nommés par le Parlement à la proposition du gouvernement qui doit suggérer deux candidats pour chaque poste à pourvoir. L’équilibre linguistique entre francophones et néerlandophones doit aussi être respecté et la composition de la Commission doit également  refléter l’état de la diversité socio-économique du pays, sans oublier les familles ou les partis politiques.

Le Président, aidé d’un vice-président, doit être un magistrat de carrière, en détachement durant ses fonctions à la Commission. La Commission doit aussi compter dans ses rangs au moins un informaticien, un juriste et une personne qui peut justifier d’une expérience professionnelle dans la gestion des renseignements personnels dans le secteur public.

La Commission choisit elle-même les membres de son effectif – une cinquantaine de personnes au total. Cadres et autres employés bénéficient d’un statut propre, qui se calque cependant sur les normes et standards du service fédéral. Le Président est responsable des services administratifs de la Commission- organisation et gestion des ressources, études et recherches, et relations externes- mais la gestion quotidienne est maintenant assurée par un Administrateur.

La Commission se réunit en séance plénière aux trois semaines. C’est évidemment dans les délibérations de la Commission que se concrétise la dimension collégiale de cette structure où le Président ne dispose pas de pouvoirs particuliers.

Un style original

La Commission belge vise explicitement à maintenir l’équilibre entre la protection des libertés et le développement des traitements des données à caractère personnelNote de bas de page 12.

La Commission belge reçoit et enregistre les déclarations de traitement remplies au préalable par les responsables des entreprises privées ou organismes publics. De plus, elle recourt à la médiation, explicitement prévue dans le texte de loi, en vue de trouver solution aux plaintes que lui transmettent les citoyens.

La CPVP peut être saisie, par l’une ou l’autre des entités politiques de l’ensemble de la fédération, des projets de lois, de règlements ou d’arrêtés qui peuvent avoir un impact sur la protection des renseignements personnels. Ses avis sont obligatoirement intégrés, en marge du projet en question, dans le Moniteur belge, gazette officielle du Royaume, en plus de figurer sur le site de la Commission. Le gouvernement peut accepter ou non les avis et recommandations de la Commission arrêtés en séance plénière. Le pouvoir de la Commission s’est raffermi à la suite de quelques décisions rendues par le Conseil d’État. Ce dernier a en effet invalidé des mesures prises par le gouvernement pour n’avoir pas sollicité l’avis de la Commission.

La Commission joue un rôle actif à plusieurs égards. Ainsi, la plupart des recommandations sont l’’uvre d’initiatives prises par la Commission qui, avec le secrétariat, en assume la recherche préalable et la rédaction.

La Commission a repris, au tout début de la dernière campagne électorale – les élections fédérales de juin 2007 – une initiative intéressante engagée à titre préventif. Elle a rappelé une note de caractère juridique pour rappeler au personnel politique et aux candidats leurs obligations quant au respect des renseignements personnels, en plus de lancer une foire aux questions à l’intention des citoyens.

La CPVP s’est attaquée, depuis quelques années, à la question du crédit personnel et des «listes noires» élaborées par les créanciers. Cette question du crédit est prise en charge par une loi fédérale et la Banque nationale a reçu mandat de dresser l’historique de la totalité des prêts à la consommation, emprunts hypothécaires compris. Ce répertoire, accessible aux organismes de crédit, fait état du sort de chaque prêt – bonne ou mauvaise créance - d’où la possibilité de repérer les débiteurs insolvables. L’intervention et l’accompagnement de la Commission ont permis de civiliser cette pratique de la société de consommation.

De nouvelles voies

Devant le déploiement de la mondialisation et des technologies de l’information (NTIC), l’affaire SWIFT représente le type de démarche originale et importante où la CPVP s’implique avec succès. 

À la suite d’informations lancées dans certains quotidiens américains, la Commission a lancé une enquête sur le rôle de SWIFT – coopérative de transfert électronique de transactions bancaires, installée non loin de Bruxelles. Cette société aurait cédé aux pressions américaines prises dans la foulée du Patriot Act, adopté par le Congrès des États-Unis au lendemain des attentats du 11 septembre 2001. Au terme d’une enquête complexe, la Commission a conclu que cette société, de droit belge, a violé certaines dispositions de la protection des renseignements personnels en ce qui a trait au transfert de renseignements bancaires vers les États-UnisNote de bas de page 13.Cette enquête a été menée de concert avec des organismes de contrôle de certains pays de l’Union européenne. La Commission belge avait accepté de piloter le dossier qui a débouché sur un constat de violation de la directive européenne de 1995.

De façon générale, la Commission belge souhaite tirer profit de son nouveau statut d’organisme collatéral de la Chambre pour envisager ses responsabilités d’une façon plus proactive. Au lieu d’être «captive» et tributaire de facteurs extérieurs – demande d’avis, plainte des citoyens, etc. - elle souhaite prendre une série d’initiatives en vue de mieux remplir sa mission.

Sur la place de Bruxelles

L’évolution de l’Union européenne en matière de protection des renseignements personnels a profondément marqué le cheminement belge en la matière. Aujourd’hui, la Commission belge joue, on vient de le voir, un rôle de premier plan au sein du «Groupe 29»Note de bas de page 14 qui réunit les responsables de la protection des données de tous les pays-membres; deux des membres de son personnel y assurent le suivi des réunions plénières et des travaux des sous-comités. 

Sur un mode bilatéral, la CPVP offre conseils et appuis à ses homologues de pays occidentaux, à commencer par le Luxembourg voisin, et aux nouveaux venus au sein de l’Union européenne, comme la Roumanie. Cet accompagnement discret, la Corée du Sud  le Japon et le Burkina Faso en ont également profité, ces dernières années.

Dans son plan de gestion déposé au Parlement, la Commission ne fait pas mystère de ses visées dans le contexte international : elle cherche à y «occuper une place essentielle?». Bref, elle entend amplifier «la dimension internationale de ses activités, en raison de la  mondialisation des problèmes » Note de bas de page 15.

2. Canada – Commissaire à la protection de la vie privée

En 1977, le Parlement fédéral du Canada jette les bases de son régime de protection des renseignements personnels dans le secteur public et s’inscrit dans le peloton de file des États occidentaux où se manifeste une vive inquiétude devant l’apparition des premiers ordinateurs géants. D’un même souffle, il désigne un Ombudsman pour chapeauter la surveillance de ce régime. Le recours à cette formule s’écartait des choix arrêtés en Suède et dans le land de Hesse, en Allemagne fédéraleNote de bas de page 16, qui avaient créé un tout autre dispositif. Cette décision allait également à l’encontre du choix effectué par Washington qui préférait voir les tribunaux assumer cette fonctionNote de bas de page 17.

En 2000, autre surprise de taille : le Président de l’Association canadienne du marketing direct adresse ses félicitations au gouvernement fédéral du Canada pour avoir légiféré en matière de protection des renseignements personnels dans l’ensemble du secteur privéNote de bas de page 18. Cette législation constitue, elle-même, une innovation: elle est structurée autour d’un code d’autorégulation dessiné par l’Association canadienne des normes.

Le cheminement législatif

La mise en place d’une législation en matière de protection des renseignements personnels par le Parlement fédéral du Canada découle d’interrogations principalement menées au sein de la haute fonction publique, devant la montée en puissance de l’informatique. Ainsi, le groupe de travail mis sur pied à Ottawa publie, en 1972, son rapport précisément intitulé L’Ordinateur et la vie privéeNote de bas de page 19.

La notion de renseignements personnels, dimension de la vie privée, est d’abord insérée dans la Loi canadienne sur les droits de la personne, adoptée en 1977Note de bas de page 20. C’est le prélude à l’adoption d’une loi en bonne et due forme qui vise l’ensemble du secteur public fédéral à travers le CanadaNote de bas de page 21. Un quart de siècle plus tard, la loi de 1982 n’a pas encore été revue et modifiée par le Parlement.

Au fil des années, la protection des renseignements personnels s’est étoffée grâce à l’adoption de lignes directricespar l’OCDENote de bas de page 22 et aux travaux menés au Conseil de l’Europe, à Strasbourg durant les années 1980 et relancés au milieu des années 1990Note de bas de page 23. La décision de l’Union européenne d’adopter une directive majeure en 1995Note de bas de page 24 ajoute un nouvel élément à la réflexion en cours à Ottawa. Dans ce même cheminement, le Québec avait pris les devants en Amérique du Nord en votant une législation pour régir l’ensemble du secteur privéNote de bas de page 25. C’est vraisemblablement le Commissaire à la protection de la vie privée de l’époque qui a joué le rôle déterminant dans ce dossier en recommandant  au législateur d’en faire autant. En 2000, le Parlement fédéral vote une loi sur la protection des renseignements personnels dans le secteur privé.

La loi de 2000 ne manque pas d’innover, à plus d’un titre. Il s’agit en effet d’une législation fondée sur le pouvoir exclusif du Parlement fédéral en ce qui a trait au commerce interprovincial. La loi sur la protection des renseignements personnels et les documents électroniquesNote de bas de page 26 s’est modelée sur l’ensemble des dix principes du Code élaboré sous la direction de l’Association canadienne des normes. Cette législation porte aussi l’empreinte des travaux du Comité consultatif sur l’autoroute de l’information; établi au début des années 1990Note de bas de page 27. Cette loi fédérale vise l’ensemble du secteur privé à travers tout le Canada, là où les Assemblées législatives n’ont pas mis en place de législation  «essentiellement similaire»Note de bas de page 28.

Le choix d’un modèle

En novembre 2003, l’actuelle Commissaire à la protection de la vie privée a dû, durant plus de deux longues heures, faire face au barrage de questions qui fusaient de la part des membres des quatre formations politiques du comité des Comptes des opérations gouvernementales et des prévisions budgétaires de la Chambre des CommunesNote de bas de page 29. Tout, ou à peu près, y est passé durant cette séance qui évoquait des scènes analogues au Sénat des Etats-Unis. Il s’agissait en fait d’une première : la candidate du Premier ministre au poste de Commissaire était interviewée par un comité parlementaire qui devait scruter sa candidature.

Au terme de cette épreuve, la candidate est devenue «haut fonctionnaire» du Parlement»Note de bas de page 30, statut qui lui assure une réelle indépendance à l’égard du gouvernement et de l’ensemble de l’appareil administratif. La Commissaire dépose ses rapports annuels au Parlement. Suite à la recommandation d’un groupe consultatif indépendant sur le financement des «hauts fonctionnaires», le Parlement approuve son budget annuel.

Le législateur a doté le poste de Commissaire de pouvoirs analogues à ceux d’un Ombudsman; aussi n’a-t-elle que le pouvoir de faire des recommandations. Elle ne dispose pas de l’arsenal de contrainte d’un tribunal. Elle peut cependant utiliser de vastes pouvoirs en vue d’obtenir les preuves nécessaires à ses enquêtes et vérifications. La Commissaire mise sur le prestige de son poste pour encourager le respect des deux lois. Dans ses rapports annuels, elle peut réprimander les institutions fédérales récalcitrantes. Elle peut aussi rendre publique toute information relative aux pratiques des entreprises du secteur privé en matière de gestion des renseignements personnels, si elle en juge l’intérêt pour le grand public.

La Commissaire peut enfin porter devant la Cour fédérale les cas qui n’ont pas été réglés à sa satisfaction et dans lesquels sont menacés les droits des citoyens. La presque totalité des recommandations promulguées par la Commissaire sont toutefois mises en oeuvre avant que ne s’impose la décision de solliciter de la Cour une ordonnance exécutoire.

Avec l’appui de commissaires adjoints, la Commissaire assume la direction des quelque 130 membres du personnel de cette autorité de contrôle. Le Commissariat est structuré autour de sept directions : recherche,  analyse et relations avec les intervenants, enquêtes et demande de renseignements, vérification et revue, sans oublier les services juridiques et des politiques, la communication et sensibilisation du grand public, ainsi que les ressources humaines et la gestion intégrée.

A la canadienne

Le système canadien n’impose ni déclaration de fichiers, ni demande d’autorisation des traitements. La loi fédérale de 1982 n’établit ni distinction, ni hiérarchie entre les renseignements personnels; c’est ainsi que la notion de renseignements sensibles n’y apparaît pas.

Le système canadien vise à assurer aux citoyens le respect de leurs droits, objectif qui suppose de la Commissaire la mise en oeuvre de mesures correctives et de programme de sensibilisation, tout à la fois. Examen des plaintes formulées par les citoyens, campagne d’information auprès de la population, tenue de vérifications : voilà ce qu’on retrouve dans le coffre à outils de la Commissaire et de son personnel.

Le traitement des plaintes se fait, dans la plupart des cas, à la faveur de démarches informelles menées par les membres du personnel de la Commissaire. L’objectif du dialogue avec les parties consiste précisément à aboutir à une entente qui soit satisfaisante. De fait, c’est à l’amiable que se règlent la plupart des 1600 plaintes fondées, portées bon an, mal an devant la Commissaire à la protection de la vie privée.

La Commissaire s’est vu reconnaître, dès 1982, un pouvoir d’initiative pour lancer vérification ou enquête, ce qui lui confère un pouvoir réel. On l’a vu, en 2006, lorsqu’une grande entreprise de notation de crédit à la consommation a sollicité l’intervention des tribunaux pour empêcher les enquêteurs de la Commissaire de vérifier ses procédures et systèmesNote de bas de page 31.

La mise en oeuvre du régime de protection des renseignements personnels dans l’administration publique fédérale repose sur un partage des tâches, «manière canadienne». C’est ainsi que le Secrétariat du Conseil du Trésor, l’un des organes centraux du gouvernement, est responsable de la promulgation des normes et règlements en matière de protection de renseignements personnels. L’une des directions de cette agence centrale intervient à titre de conseil auprès des ministères et organismes et tient des séances de formation à l’intention du personnel. Le Ministère de la Justice conserve ses fonctions de conseiller juridique auprès du gouvernement en la matière. Enfin, le Ministère de l’Industrie – qui est à l’origine de la loi sur le secteur privé – conserve un rôle important en ce qui a trait à la reconnaissance de la valeur des législations établies par les Assemblées législatives dans le secteur privé.

La voie des initiatives

Cette manière canadienne peut paraître complexe. Elle favorise toutefois des initiatives  plurielles. C’est ainsi que le Canada est devenu le premier pays au monde à imposer «une évaluation des facteurs relatifs à la vie privée» (ÉVFP) à tous les ministères et organismes au moment de lancer ou de modifier des programmes qui pourraient avoir un impact sur la vie privée des citoyens. Il s’agit en fait de véritables études de faisabilité qui visent ultimement l’instauration d’une culture de respect de la vie privée et des renseignements personnels dans l’ensemble de l’appareil gouvernemental.

Techniques et procédures de l’ÉVFP ont été mises au point par le Secrétariat du Conseil du Trésor qui a même développé un cours en ligne pour les responsables de tels projetsNote de bas de page 32. Il s’agit d’un processus multidisciplinaire qui exige la collaboration d’experts gouvernementaux, de consultants externes, de grandes sociétés d’informatique et de cabinets de comptables et de vérificateurs. Le résultat de ces évaluations doit être soumis à la Commissaire à la protection de la vie privée avant l’entrée en vigueur des nouveaux programmes. Cette dernière peut proposer des renforcements du cadre administratif ainsi que des politiques et pratiques régissant les programmes évalués. L’objectif est évidemment de prévenir ou de minimiser les risques d’intrusion excessive dans la vie privée, ainsi que les abus de renseignements personnels.

Évidemment, la Commissaire lance aussi des démarches qui visent à favoriser des pratiques respectueuses des droits des citoyens en matière de renseignements personnels. C’est ainsi qu’elle a mis au point une fiche de conseils pratiques en ce qui a trait aux diverses formes de surveillance – depuis la vidéo camera jusqu’aux logiciels espions -  qui peuvent être utilisées à l’encontre des travailleurs. Il en est de même des «lignes directrices en matière d’identification et d’authentification», fort appréciées dans un pays qui ne connaît pas de système de carte d’identité nationale, ni de registre de population.

La fédération et le monde

La Commissaire fédérale joue aussi un rôle particulier auprès des organes de contrôle établis dans les entités fédérées et dans les «territoires» de la fédération. Avec son homologue, le Commissaire à l’information, elle réunit, deux fois l’an, les dirigeants des autorités de contrôle de la fédération canadienne. À l’égard des pays étrangers, depuis le Mexique jusqu’à la Chine, sans oublier le Japon, elle accueille régulièrement des missions de juristes et de hauts fonctionnaires engagés dans l’élaboration et la mise en oeuvre de législations en matière de protection des renseignements personnels.

La Commissaire a piloté, au cours des derniers mois, les travaux  qui viennent de mener à l’adoption de la nouvelle mouture des lignes directrices de l’OCDE, qui visent précisément le renforcement et l’harmonisation de l’application transfrontière des lois de protection de la vie privéeNote de bas de page 33. Dans une même veine, elle s’est jointe, depuis quelques mois, aux juristes et experts des pays de l’Association économique de la zone Asie-Pacifique (APEC). Ces derniers ont reçu mandat d’élaborer des lignes directrices pour la protection des renseignements personnels dans cette région du monde.

Voilà quelques mois, le directeur des enquêtes du bureau de la Commissaire et un membre des services juridiques ont participé à une réunion du «Groupe de l’Article 29» au siège des institutions européennes, à Bruxelles. Ils ont exposé aux représentants des 27 organes de contrôle de l’Union européenne, la démarche engagée par le Canada dans ce qu’il est convenu d’appeler l’affaire SWIFTNote de bas de page 34. Cette démarche inédite illustrait concrètement le rôle particulier de la Commissaire fédérale dans un dossier délicat tout droit sorti de la lutte antiterroriste engagée par les Etats-Unis au lendemain des attentats du 11 septembre 2001.

3. France – La Commission nationale de l’Informatique et des Libertés

La CNIL – Voilà sans doute l’acronyme le plus connu chez les  responsables de la protection des renseignements personnels. La Commission nationale de l’Informatique et des Libertés est un organisme pionnier, au sens fort du terme. En créant la CNIL en 1978, le Parlement français a établi un précédent dans le paysage politique de la Ve République. Il venait d’instituer la première des Autorités administratives indépendantes (AAI)Note de bas de page 35.

L’adoption par l’Assemblée nationale de la loi de 1978 sur «l’informatique et les libertés» et la mise sur pied de la CNIL concrétisaient une réponse institutionnelle à la perception du problème que dessinait l’apparition de la première génération des «ordinateurs géants», selon l’expression du moment. La sonnette d’alarme avait été activée peu de temps auparavant par un texte publié, en 1974, dans le quotidien Le MondeNote de bas de page 36. Le projet de création d’un super fichier de l’ensemble de la population française, doublé de l’attribution d’un identifiant unique à chaque citoyen, avait profondément inquiété un certain nombre de hauts fonctionnaires et quelques intellectuels. L’affaire SAFARI avait d’abord entraîné la création d’une commission de travail qui devait proposer au gouvernement l’élaboration de la loi de 1978.

Le cheminement législatif

La loi française de 1978 ne manque pas d’impressionner les observateurs et les juristes. Elle englobe les secteurs public et privé et vise toutes les informations qui permettent d’identifier une personne et la distinguer d’une autre. Elle place sous l’autorité d’un collège original – la CNIL – la surveillance et le contrôle des dispositions nombreuses qui établissent un véritable régime de «traitement des données » et d’utilisation des fichiers de renseignements personnels.

C’est à la suite de l’adoption en 1995, par l’Union européenne, d’une directive sur les renseignements personnelsNote de bas de page 37 que le Parlement français modifiera substantiellement, en 2004, sa loi originale, sans pour autant changer la nature de la CNIL.

La loi de 2004 comporte des dispositions majeures qui orientent l’activité et les préoccupations de la CNIL vers de nouveaux chantiers. C’est le cas notamment du pouvoir de sanctions pécuniairesNote de bas de page 38. Cette mesure est lourde de conséquences : la CNIL a le pouvoir d’imposer des sanctions financières qui peuvent, en cas de récidive, atteindre 5% du chiffre d’affaires de l’entreprise incriminée.

Une institution collégiale

Véritable institution collégiale, la CNIL constitue, d’une certaine façon, un microcosme du système politique français. Cette institution reflète et traduit le pluralisme des pouvoirs publics de la France. Du Président de la République au Conseil économique et social, sans oublier le Conseil d’État, ni la Cour de cassation ou la Cour des comptes, les diverses instances désignent, ou choisissent par scrutin, un certain nombre des 17 membres de la CNIL qui héritent d’un mandat de 5 ans.

En tant qu’Autorité administrative indépendante, la CNIL jouit d’une marge de manoeuvre appréciable. «(Le gouvernement) n’exerce donc en principe (...) ni tutelle, ni pouvoir hiérarchique»Note de bas de page 39. Certes, la CNIL est saisie, par le gouvernement, des projets de lois ou de règlements qui pourraient avoir un impact sur la protection des données ou le respect de la vie privée. Ses avis, transmis au Parlement et rendus publics, sont souvent repris dans les médias. Ils ne lient pas le gouvernement. Ce dernier maintient cependant un lien avec la CNIL grâce à la présence d’un représentant qui ne participe pas aux délibérations de la Commission.

Les membres de la CNIL élisent leur Président, qui compte sur l’appui de deux vice-présidents, également élus. C’est à la faveur de deux ou trois réunions plénières mensuelles que s’arrêtent les décisions, avis ou recommandations de la CNIL. C’est à ce niveau que se concrétise la dimension collégiale de cet organisme. De plus, chacun des membres du collège se voit confier la responsabilité d’un secteur d’activités - affaires économiques, affaires sociales, affaires culturelles, justice, sécurité, collectivités territoriales, travail, santé, etc. Chacun agit comme représentant de la CNIL à l’extérieur et comme rapporteur devant l’ensemble de la Commission. Enfin, le Président, les deux vice-présidents et trois autres membres élus par leurs pairs composent la «formation restreinte» de la CNIL qui, en vertu de la loi de 2004, prend en charge le nouveau volet des sanctions.

La permanence de la CNIL est assumée par un personnel, recruté par elle-même, agents contractuels de l’État ou détachés de la fonction publique. Ce personnel est réparti entre les trois directions établies au sein de la CNIL – direction des affaires juridiques, internationales et de l’expertise, direction des relations avec les usagers et des contrôles, direction des ressources humaines, financières et administratives - et deux services : communication externe et interne, information et documentation. Les membres de ce personnel préparent les dossiers sur lesquels les Commissaires devront se prononcer. Ils assument le contact quotidien avec les citoyens, organismes et entreprises de l’ensemble du pays, ainsi qu’avec leurs homologues de l’Union européenne et des pays tiers.

L’empreinte de la CNIL

La CNIL doit assurer le respect des règles et principes édictés en vue de protéger les libertés individuelles et la vie privée des citoyens. Conformément à la loi de 1978, elle a mis en oeuvre une série de procédures qui imposent la déclaration préalable des traitements ou manipulations de données à caractère sensible (religion, appartenance syndicale, origine ethnique, etc.) et la constitution d’un «fichier des fichiers» qui répertorie l’ensemble de ces déclarations.

Afin de ne pas confiner à la bureaucratie le mandat d’encadrement des traitements, le législateur a conféré à la CNIL un pouvoir réglementaire. C’est ainsi qu’environ 80% des traitements de données les plus courants sont soumis à une déclaration simplifiée. Les autres projets de traitement de données du secteur public étaient à l’origine soumis à l’avis favorable de la CNIL. Sous l’emprise de la loi de 2004, ce régime de déclaration préalable est maintenu, mais il est assorti de nombreuses possibilités d’exonérations. Par contre, les responsables de fichiers, publics ou privés, doivent obtenir l’assentiment ou l’avis préalable de la CNIL avant de procéder aux traitements de données dits «à risques» qui pourraient entraîner des conséquences graves pour les personnes.

La Commission s’est rapidement signalée par la formulation d’une doctrine inédite qui constitue un acquis important et dont s’inspirent les tribunaux en France, voire même certains pays tiers. Ce corps de doctrine développe les principes de base qui doivent régir la protection des données nominatives et assurer le respect de la vie privée.

Cette doctrine résulte, en partie, de l’examen de projets de traitement de données et de certaines plaintes dont la CNIL a été saisie. Elle découle aussi des activités de veille poursuivies au fil des années. C’est sans doute l’émergence de nouvelles technologies qui permet de mieux saisir cet aspect du travail de la CNIL. L’expertise de la commission s’est déployée, dès 2003, dans un examen attentif de la question de la radiolocalisation (RFID)Note de bas de page 40 et, en 2005, en ce qui concerne les nanotechnologies. Il faut y lire au-delà du fruit du travail des opérations de contrôle menées par les ingénieurs informatiques que la CNIL compte dans son personnel, une capacité prospective développée à partir d’une longue expérience collective et pluridisciplinaire.

Dans le sillage de la mise en place de divers services de géolocalisation, la CNIL a été amenée à préciser la marge de manoeuvre dont pouvaient disposer les entreprises dans leur souhait de recourir à ces instruments pour contrôler, dans le cas des assureurs, la vitesse des jeunes conducteurs, ou encore le travail effectivement consenti par les camionneurs au long cours.

De même, les droits des mineurs ont pu faire l’objet d’une actualisation grâce à la synthèse des observations dégagées lors de la cueillette sur internet de renseignements personnels auprès des enfants, ainsi qu’en ce qui concerne l’ouverture de services de suivi de mineurs dotés d’un téléphone portable. Ces réflexions de la CNIL ont cheminé jusqu’à leur intégration dans divers avis adoptés par l’ensemble de leurs homologues sur le plan européen.Note de bas de page 41.

Cette doctrine a peu a peu pénétré les cercles juridiques concernés. Certains de ces éléments ont été invoqués devant les tribunaux, notamment le Conseil d’État, instance suprême en matière de doit administratif, qui a validé ou confirmé bon nombre des thèses énoncées par la CNILNote de bas de page 42.

De façon peut-être plus spectaculaire, la CNIL a lancé certaines initiatives qui ont frappé l’imagination populaire. Ainsi, en 2002, l’opération «boîte à spams» a permis de recueillir, en moins de trois mois, quelque 325.000 courriels non-sollicitésNote de bas de page 43. C’était illustrer un fléau du marketing électronique, démarche qui a contribué à justifier les initiatives du Parlement européen en la matière.

Nouvelles voies

Sur un mode pédagogique, la CNIL a profité de l’adoption de la réforme de la loi  pour promouvoir la fonction de «correspondant informatique et libertés» (CIL). Toutes les entités visées par la loi sont désormais invitées à se doter d’un correspondant qui a mandat de favoriser, dans son milieu, le respect de la loi, en échange d’un allègement appréciable des formalités de déclaration préalables de traitements ou de fichiers. Ce correspondant, qui n’est pas le maître des fichiers ou le responsable des traitements informatiques, bénéficie d’une protection d’ordre juridique pour exercer ses fonctions conseils en toute indépendance. La CNIL a déjà constitué un réseau de ses correspondants et met peu à peu en place une série d’activités concrètes en vue de donner sens et poids à cette fonction en amont.

La CNIL procède aussi à des tournées régionales destinées à établir un contact direct avec les entreprises et autres entités qui colligent et utilisent des données personnelles. Le site Internet de la CNIL a déjà retenu l’attention par ses innovations et par ses rubriques qui visent tout aussi bien l’information que la sensibilisation des citoyens.

Sur la scène internationale

La CNIL est intervenue tôt sur la scène internationale. Elle a d’abord attiré l’attention sur la question du transfert de données personnelles d’un État à l’autre, lors de l’affaire FIAT, fin des années 80Note de bas de page 44. La CNIL a, dès lors, esquissé les principes de base qui ont largement inspiré les dispositions de la directive européenne régissant le transfert de renseignements personnels au-delà de l’Union.

La CNIL joue également un rôle conseil important auprès de certaines commissions nationales à la recherche d’exemples ou d’appuis. Ce rôle a été exercé lors de l’adhésion de nouveaux membres à l’Union européenne. Même chose en ce qui concerne juristes et politiques de pays du Sud interpellés par la problématique de la protection des renseignements personnels.

Enfin, au sein de la « conférence internationale des commissaires à la protection des données et à la vie privée», instituée au début des années 80, la CNIL exerce une influence manifeste. Ainsi, «l’initiative de Londres» lancée, en novembre 2006, à l’instigation du président Alex TurkNote de bas de page 45, a été soutenue par une dizaine de commissaires de différents États. Cette proposition vise, face au double défi posé par l’accélération des nouvelles technologies et la vague de normes en matière de sécurité, à lancer des initiatives coordonnées notamment d’information, de communication et d’expertise. De même, elle englobe les travaux qui devraient mener à la reconnaissance effective d’un droit universel à la protection des données personnelles. Note de bas de page 46.

4. Luxembourg – Commission nationale  pour la  protection des données

Le Grand Duché de Luxembourg est venu tôt et tardivement, tout à la fois, à la mise en place d’un régime de protection des renseignements personnels. Ce petit pays figure en effet parmi les premiers États qui ont activement pris part, au cours des années 1970, aux travaux du Conseil de l’Europe en vue du développement de règles spécifiques pour protéger la vie privée et de faire adopter des lois nationales pour préserver l’espace de liberté des individus face au défi informatique. Il aura cependant  fallu attendre  presqu’un quart de siècle avant que soit installé un organe de contrôle indépendant pour assurer le respect des principes de la loi novatrice de 1979.

Ce paradoxe s’inscrit  dans la réalité d’un pays qui ne fait pas un demi-million de citoyens, mais qui abrite le siège du plus grand groupe sidérurgique et l’une des grandes places financières d’Europe, si ce n’est du monde. L’histoire du Luxembourg en matière de protection des données nominatives reflète  une réelle volonté politique d’assurer aux citoyens le respect de leur vie privée, tout en tenant compte des impératifs du développement économique très particulier. Cette conciliation délicate, mais omniprésente se vit à l’heure des directives européennes adoptées à Bruxelles depuis un bon moment déjà.

Le cheminement législatif

C’est dans le sillage de la France que s’inscrit la décision du Parlement luxembourgeois d’adopter, fin 1979, une loi sur la protection des données nominatives. Cette législation est très rigoureuse : elle est structurée autour du principe de l’interdiction de la collecte de renseignements personnels, sauf autorisation préalable.

Cette loi connait une première révision en 1992Note de bas de page 47. C’est à ce moment que s’engagent à Bruxelles les travaux en vue de l’adoption de la directive de l’Union européenne qui modifiera radicalement le tableau de la protection des renseignements personnels sur le Vieux continent certes, mais ailleurs dans le mondeNote de bas de page 48. Le gouvernement luxembourgeois veut, entre autres, souscrire aux règles sur les transferts de renseignements personnels d’un État à l’autre adoptées par le Conseil de l’Europe en 1980Note de bas de page 49.

En 2002, le Luxembourg remanie profondément la loiNote de bas de page 50 de 1992 pour s’acquitter des obligations que lui avaient imposées, en 1995, la directive européenne. Il faut rappeler que la Cour européenne de justice avait condamné le Grand-duché pour n’avoir pas traduit en droit national dans le délai prévu les dispositions de cette directive contraignante pour tous les États-membres de l’Union européenne.

Le mouvement s’accélère lorsqu’en février 2007, le gouvernement annonce qu’il saisira la Chambre des députés d’un projet de loiNote de bas de page 51 qui vise une transformation significative de la législation entrée en vigueur tout juste trois ans auparavant. Ce projet répond en fait aux recommandations formulées par l’organe de contrôle en vue de la simplification des formules administratives et de la clarification de certaines difficultés d’application.

L’organe de contrôle luxembourgeois

Au printemps 2002, les quotidiens luxembourgeois publiaient dans leur rubrique «offres d’emploi» un appel de candidatures pour les trois postes de la nouvelle Commission nationale pour la protection des données (CNDP). L’avis précisait que les candidats devaient être juristes ou informaticiens de formation. Parmi les candidats retenus à la suite d’une première sélection, le Ministre des Médias et de la Communication a soumis ses choix au gouvernement. Finalement, c’est le Grand Duc lui-même, en sa qualité de Chef de l’État, qui a entériné la nomination du Président de la commission et des deux autres commissaires.

La nouvelle commission prenait en fait le relais d’un organe consultatif, établi en 1979, au moment de l’adoption de la première loi sur la protection des données à caractère personnel, mais qui n’avait jamais joué de rôle significatif. Faut-il préciser que le législateur n’avait alors prévu aucun effectif, ni appui administratif pour cette organisation?

Nantis d’un mandat de six ans, les Commissaires luxembourgeois sont pourvus de membres suppléants. Sous l’autorité administrative du Président, ils décident collégialement de l’accomplissement de leur mission et de la suite à donner aux dossiers et projets qui relèvent de leurs attributions. La Commission est statutairement rattachée au gouvernement par l’intermédiaire du Ministre des Médias et de la Communication. Ce contrôle ministériel se limite essentiellement aux questions budgétaires et à la nomination et au statut de ses fonctionnaires.

Première démarche,  la nouvelle commission a dû procéder au recrutement de son personnel au sein même de la fonction publique, en fonction d’une échelle précisée dans la loi elle-même. Une dizaine de personnes composent aujourd’hui les effectifs de cet organe de contrôle.

Initiative originale, le législateur a confié l’examen du rapport annuel de la CNPD à la «Commission consultative des droits de l’Homme» qui regroupe des représentants des organisations de la société civile particulièrement concernés par la défense des libertés fondamentales et la lutte contre les discriminations, dont, à titre d’exemple, Amnesty International. Cette commission, qui conseille le gouvernement chaque fois que des questions de droits de l’homme sont en jeu, joue, entre autres, le rôle de «chien de garde» de la CNPD. A ce titre, elle a émis, en 2005, un rapport qui approuve les orientations de la Commission nationale de protection des données nominatives, énoncées dans son premier rapport annuel Note de bas de page 52.

Le style Grand Duché.

En décembre 2005, un grand nombre de familles du Luxembourg ont reçu par la poste un calendrier très particulier. Il s’agissait d’une initiative de la CNDP pour favoriser, sur un mode simple et intriguant tout à la fois, une découverte et une appropriation des objectifs et principes de la législation sur la protection des renseignements personnels. La Commission avait d’ailleurs  engagé, dès ses débuts,  une campagne de sensibilisation bien ciblée grâce à des rencontres d’information avec les différents secteurs de l’activité économique et commerciale.

Cette démarche mettait ainsi en lumière l’un des moyens d’action de la Commission. Lorsque leurs droits en la matière  semblent menacés, les citoyens sont eux aussi  invités à s’adresser à la Commission qui peut alors instituer une enquête. Ces enquêtes donnent  éventuellement lieu à des sanctions de type administratif, mais la Commission favorise une approche conciliatrice et pédagogique, tout à la fois.

C’est dans cet esprit que la CNPD accompagne  de nouveaux chantiers qui vont de la mise en place de ce qu’on désigne sous l’anglicisme d’e-government à l’adoption d’une carte santé de type VITALENote de bas de page 53, étape préalable à l’accès centralisé pour les médecins aux renseignements relatifs à leurs patients.

La CNPD se penche aussi sur la question du projet  de réforme  du matricule d’identité attribué depuis 1979 à chaque citoyen du Grand Duché, réforme qui s’impose devant les dangers de dérive de ce système. En plus de limiter l’utilisation de cet identifiant à ses fins propre, la loi autorisera, grâce à des outils technologiques testés en Autriche,  la mise au point d’identifiants  sectoriels dérivés du matricule national, mais qui ne  permettront pas l’interconnexion des fichiers, à moins d’une autorisation expresse de la CNPD elle-même.

La Commission peut intervenir dans de tels domaines, de sa propre initiative ou lorsque saisie, conformément d’ailleurs à la directive de l’Union européenne, par le gouvernement à l’égard de projets de loi ou de règlements  qui risquent d’avoir des impacts sur la protection des données nominatives.  Les avis et recommandations de la Commission sont automatiquement insérés dans la documentation remise aux Parlementaires, lors du dépôt de chaque projet de loi.

La CNPD s’est  rapidement heurté à un problème de taille qui l’a incitée à préconiser une simplification significative des démarches administratives prévues par la loi. En moins de trois ans, plus de 10.000 dossiers se sont en effet accumulés sur les bureaux de la Commission. Dans la très grande majorité des cas, cette avalanche découlait de l’obligation, pour les entreprises et organismes, de déclarer l’existence de fichiers de renseignements personnels ou d’obtenir l’autorisation préalable de la Commission avant de mettre en oeuvre le traitement de ces données. La Commission mettait l’accent surtout sur l’information du public, sur la «guidance» des responsables de fichiers et la promotion des bonnes pratiques et, s’il le faut, sur l’assistance à apporter aux citoyens désireux d’exercer les droits qui leur sont reconnus par la loi.

Les Commissaires ont alors dégagé des conclusions importantes. Ils ont recommandé au gouvernement de réviser en profondeur la loi de 2002, ce qui a contribué à la mise au point du projet de loi déposé à la Chambre des députés en février 2007.

Une réorientation majeure

Le projet de loi suscrit, semble-t-il, aux deux grands objectifs visés par les membres de la Commission. Il s’agit, dans un premier temps, de réduire les formalités administratives  et les procédures lourdes héritées des lois dites de première génération dans le domaine de la protection des renseignements personnels. Tout le volet relatif  déclarations et autorisations préalables sera considérablement allégé. Ne subsistera que l’obligation de déclarer à la CNPD «les traitements de données comportant véritablement des risques particuliers»Note de bas de page 54. C’est répondre de façon pragmatique au constat simple établi par la Commission: toutes ces mesures n’apportent aucune valeur ajoutée à la mise en place d’une véritable culture du respect de la vie privée.

Du même souffle, les membres de la Commission veulent enrichir et élargir leur démarche pédagogique et pratiquer une forme de «guidance» et de sensibilisation auprès des responsables de fichiers aussi bien dans le secteur privé que dans l’administration publique. À l’égard des citoyens, le pari répond à un objectif similaire : «créer ou améliorer la confiance (...), être une force de propositions, un centre de compétence qui apporte des solutions dans le domaine de la protection des données», selon les termes mêmes de l’actuel Président de la CommissionNote de bas de page 55.

La démarche du CNDP s’inscrit aussi dans la pratique gouvernementale affichée de «maintenir l’attractivité du site luxembourgeois et d’éviter qu’une régulation excessive ne joue un rôle dissuasif pour les groupes internationaux désireux de venir s’implanter au Grand-Duché»Note de bas de page 56.

Au coeur de l’Europe

Bref, la Commission nationale pour la protection des données a d’abord tiré parti de l’expérience de ses voisins, Allemands, Belges et Français, entre autres. Elle tente maintenant de faire valoir sa différence en s’engageant dans une voie originale, axée sur la communication et la collaboration constructive., singulière même. Elle maintient le cap sur les grandes orientations établies à Bruxelles et à Strasbourg. A preuve, l’éclat donné à la «journée européenne de la protection des données personnelles», initiative du Conseil de l’Europe Note de bas de page 57qui  a fait du 28 janvier un temps fort où les Européens sont amenés à réfléchir sur cette dimension de leurs droits.

Au sein de l’association internationale des commissaires à la vie privée, l’organe de contrôle du Grand Duché a fait sien le mot d’ordre lancé lors du Sommet de novembre 2006 tenu à Londres : la stratégie de communication constitue «le plus grand enjeu et le principal chantier actuel» en ce qui a trait à la protection des données nominatives.

5. Nouveau Brunswick – Bureau de l’Ombudsman

A l’entrée en vigueur de la Loi sur la protection des renseignements personnels (LPRP),en 2001, c’est l’Ombudsman de la Province qui se voit confier la responsabilité d’en assurer le respect dans l’ensemble de l’administration gouvernementaleNote de bas de page 58. Il ajoute à ses fonctions la supervision de la Loi sur l’accès à l’information, en vigueur, elle, depuis 1980Note de bas de page 59.

Au printemps 2007, le Groupe de travail sur la révision du droit à l’information et de la protection des renseignements personnels lance un appel aux citoyens de cette province et les invite à transmettre commentaires et suggestions sur un site WEB créé à cette finNote de bas de page 60. Au même moment, le Groupe de travail sur les renseignements personnels sur la santé lance ses travaux de consultation du grand public. Une seule phrase résume le but de cette démarche : «Le gouvernement du Nouveau-Brunswick estime qu’il est temps d’avoir une loi plus sévère (...) afin de protéger la confidentialité des renseignements personnels sur la santé»Note de bas de page 61.

En somme, la dernière province à s’être dotée d’une législation en matière de renseignements personnels remet sur la planche à dessin une loi qui n’a pas encore franchi le cap des dix ans.

Le cheminement législatif

Le Nouveau Brunswick avait été la deuxième province à mettre en place une loi d’accès à l’information à la fin des années 70. En matière de protection des renseignements personnels, cette même province est lanterne rouge au sein de la fédération canadienne.

Dès 1995, le gouvernement de Fredericton avait pourtant incité les entreprises et les ministères et organismes à s’engager résolument et de façon volontaire en matière de protection des renseignements personnels. Cette approche volontariste, selon l’expression utilisée à l’époque, était pilotée par le Ministère du développement économique.

A l’évidence, le gouvernement de Fredericton misait sur la démarche, de type autorégulation, engagée à Ottawa, sous l’impulsion du ministère fédéral de l’Industrie, qui allait mener à l’adoption du code de l’Association canadienne des normes (ACN). Il  suivait aussi avec intérêt ce qui se préparait aussi bien dans la capitale fédérale qu’au siège des institutions européennes, à Bruxelles

A la fin des années 1990, le gouvernement change d’attitude et opte en faveur d’une législation en bonne et due forme – La loi sur la protection des renseignements personnels (LPRP). «La LPRP, signale l’Ombudsman dans une décision rendue en 2006, a été édictée notamment pour aider le gouvernement du Nouveau-Brunswick et les autorités canadiennes en général à convaincre leurs partenaires commerciaux, surtout en Europe, que les échanges commerciaux pouvaient donner lieu à la circulation transfrontalière  des données sans que soit remis en cause le niveau de protection de la vie privée qui est garanti à leurs citoyens»Note de bas de page 62.

C’est le code de l’ACN qui a servi de pilier à la loi présentée par le gouvernement à l’Assemblée législative du Nouveau Brunswick, en 1998. Il s’agit sans doute de l’un des plus brefs documents du genre : 10 articles et, en annexe, le code de l’ACN et un guide d’interprétation de ce code. La nouvelle loi, entrée en vigueur en 2001, ne vise que le secteur public. Elle donne une valeur juridique au code élaboré par les représentants de l’entreprise privée.

En ce qui a trait au secteur privé, il est soumis, en l’absence de législation provinciale, à la loi édictée par le Parlement fédéral en 2001. C’est le Commissaire fédéral à la protection de la vie privée qui en assure le respect et agit comme ombudsman à l’égard des plaintes et litiges qui pourraient surgir dans l’ensemble du Nouveau-Brunswick.

Un ombudsman pluriel

En désignant l’ombudsman pour assurer le respect de la nouvelle loi sur la protection des renseignements personnels dans le secteur public, l’Assemblée législative du Nouveau-Brunswick s’est inspirée du choix arrêté par le Manitoba, quelques années plus tôt. Elle souscrivait aussi au jumelage «accès à l’information, protection des renseignements personnels», qui s’est imposé dans toutes les autres provinces de la fédération canadienne, depuis le précédent établi par le Québec en 1982.

L’ombudsman a hérité, depuis la création de ce poste, en 1967, de plusieurs mandats. Il intervient à la demande des citoyens dans les problèmes éprouvés dans l’ensemble de l’appareil public, y compris les municipalités. Il agit aussi comme défenseur des droits des enfants. Il s’acquitte de ses multiples mandats en misant sur l’autorité morale de cette fonction dont il est investi par l’Assemblée législative. Il a rang de «haut fonctionnaire» de la chambre et rend ses comptes aux parlementaires dont il est en quelque sorte le mandataire.

Il dispose d’un bureau relativement modeste pour assumer les différents mandats qui lui ont été confiés depuis 40 ans : 14 collaborateurs et un conseiller juridique. Trois des membres de son personnel sont affectés à temps partiel au traitement des dossiers aussi bien de l’accès à l’information que de la protection des renseignements personnels.

Enfin, au bureau du Conseil exécutif – cadre supérieur de l’appareil décisionnel de la fonction publique qui relève du Premier ministre -, une personne assume la responsabilité de la mise en oeuvre de la loi sur la protection des renseignements personnels dans l’ensemble de l’appareil administratif. Ce fonctionnaire informe et conseille les représentants des différents ministères et agences responsables de l’application de la loi.

Façons de faire

L’ombudsman n’a enregistré que fort peu de plaintes depuis qu’il assume cette nouvelle fonction. Par contre, en quelques mois, deux coups d’éclat ont attiré l’attention des médias et du grand public en matière de protection des renseignements personnels. Et pour cause, l’une des  interventions de l’Ombudsman a entraîné la démission d’un ministre!

A peine entré en fonction, le nouveau titulaire de la fonction d’ombudsman a confié à un juge à la retraite le soin d’examiner la plainte formulée par un député de l’Opposition contre une ministre du gouvernement. Cette dernière avait dévoilé des renseignements personnels au sujet de l’un des membres de l’Opposition aussi bien à l’intérieur qu’à l’extérieur de la Chambre. Au terme de son enquête, le juge a conclu que la ministre n’avait pas respecté trois des principes de base du code de l’ACN intégré dans la loi de 1998Note de bas de page 63. Dans les heures qui ont suivi, la ministre a présenté sa démission à la grande surprise des observateurs.

Dans un domaine analogue, l’Ombudsman s’est lui-même saisi d’une plainte portée par le chef de l’Opposition officielle contre le ministre des Transports et le bureau du Premier ministre. Dans une décision minutieusement rédigée, l’Ombudsman en arrive à la conclusion que deux sous-ministres n’avaient pas respecté un des principes du code de pratique statutaire  de la Loi sur la protection des renseignements personnels. A la toute fin de son propos, il s’inquiète surtout de l’utilisation, à des fins partisanes, de cette nouvelle loi. D’où l’intérêt soulevé par ce rapport d’enquête, rendu public à l’encontre de la réserve pratiquée par les titulaires de la fonction d’ombudsman.

Perspectives d’avenir

L’actuel ombudsman du Nouveau-Brunswick attend évidemment les résultats des groupes de révision de la loi de 1998. Rien ne laisse prévoir, semble-t-il, des recommandations en faveur de l’adoption d’une législation qui couvrirait le secteur privé. Qu’en sera-t-il du mandat de l’ombudsman à l’égard de l’actuelle loi sur le secteur public?

Dans l’attente de ces réponses, l’ombudsman propose un programme ambitieux de réforme législative. Il recommande d’établir un nouveau Code des droits à l’information et au respect de la vie privée. Fondé sur les droits humains fondamentaux, le Code pourrait rassembler toutes les dispositions législatives en la matière, aussi bien à l’égard du secteur public que du secteur privé. Le respect de ces droits serait garanti par un bureau indépendant, titulaire d’un large mandat d’enquête et d’un pouvoir d’ordonnance effectif.

Sur la scène internationale, l’ombudsman considère que ce modèle peut être utile pour des pays dont les structures gouvernementales ne sont pas fortement ancrées dans l’histoire et ne peuvent pas multiplier les agences ou les organismes de contrôle. Une voie minimaliste qui pourrait inspirer certains pays de la francophonie intéressés à mettre en oeuvre un régime de protection des renseignements personnels.

6. Québec – Commission d’accès à l’information

En 1982, l’Assemblée nationale du Québec créée une réelle surprise en adoptant une loi consacrée à la fois à l’accès à l’information et à la protection des renseignements personnels dans le secteur publicNote de bas de page 64. Cette décision allait à l’encontre des précédents établis en Europe où l’on distingue nettement ces deux objets législatifs. De même, en confiant le mandat de surveillance de ces deux «volets» de la nouvelle loi à un seul organisme de contrôle, la loi de 1982 établit le «modèle québécois» en la matièreNote de bas de page 65.

Début janvier 1994, autre surprise à la dimension du continent nord-américain : l’adoption d’une législation sur la protection des renseignements personnels dans le secteur privé. Dans la capitale fédérale canadienne, on dissimule à peine un certain agacement. De même, la décision de l’Assemblée nationale ne passe pas inaperçue à Washington au moment où l’Union européenne progresse vers l’adoption de la directive de 1995, dont l’une des dispositions importantes interpellera les pays tiersNote de bas de page 66.

Le cheminement législatif

C’est grâce à l’intérêt de certains leaders politiques pour – l’accès à l’information que le Québec est venu, au milieu des années 70, à la protection des renseignements personnels. L’appui personnel du Premier ministre René Lévesque donnera l’impulsion définitive à un projet qui n’avait pas donné lieu à de grands débats dans l’opinion publiqueNote de bas de page 67.

La loi de 1982 découle directement des travaux d’une commission d’étude instituée pour examiner la faisabilité d’une législation qui établirait à la fois un régime d’accès à l’information et de protection des renseignements personnels. L’Assemblée nationale adopte à l’unanimité cette loi qui créée du même coup la Commission d’accès à l’information (CAI) qui a mandat de chapeauter le respect de ces deux objets.

L’Assemblée nationale achève en juin 1993 la mise en place de son régime de protection des renseignements personnels en adoptant, toujours à l’unanimité, la Loi sur la protection des renseignements personnels dans le secteur privéNote de bas de page 68. Deux facteurs permettent de rendre compte de cette décision qui parait même exotique à plusieurs, à ce moment-là. Il s’agit tout d’abord de l’inclusion, dans le nouveau Code civil du Québec, de dispositions précises sur le droit au respect de la vie privée et des renseignements personnelsNote de bas de page 69. De plus, l’évolution des travaux à la Commission européenne à Bruxelles vers l’adoption de la directive de 1995 fait l’objet d’un suivi très intéressé au sein de l’appareil gouvernemental québécois.

L’Assemblée nationale a complété, en 2006, la révision de ces deux lois à la suite d’un long processus. La loi de 1982 prévoyait une révision quinquennale – obligation menée à bon port en 1990. Depuis, les diverses tentatives lancées à Québec avaient toutes été laissées en planNote de bas de page 70. A la veille du 25e anniversaire de la mise en place de sa législation dans l’ensemble du secteur public, le Québec a procédé à une refonte de son régime de protection des renseignements personnels et des mandats de l’autorité de contrôle qu’est la Commission d’accès à l’informationNote de bas de page 71.

Un organisme complexe

La Commission d’accès à l’information est un organisme collégial, complexe et pluriel : tribunal administratif, organe consultatif, organisme de contrôle, tout à la foisNote de bas de page 72. Le Président et les quatre autres membres de la CAI sont élus, pour un mandat de cinq ans, par le vote des deux tiers des membres de l’Assemblée nationale. Leur candidature est d’abord soumise au chef de l’Opposition officielle par le Premier ministre. La tradition favorise l’élection à l’unanimité des titulaires de ces fonctions pour mieux asseoir leur crédibilité.

La Commission est maintenant composée de deux sections distinctes – section juridictionnelle et section de surveillance. Il s’agit d’un organe collégial, car le Président ne détient de prérogatives qu’en matière administrative. Chacun des membres exerce, au nom de la Commission, des pouvoirs précis.

Les membres de la Commission sont investis d’un statut à tout le moins particulier. Nommés par l’Assemblée nationale, ils prêtent serment devant son PrésidentNote de bas de page 73. Par contre, la Commission transmet son rapport annuel à l’Assemblée nationale par l’intermédiaire d’un ministre, responsable de cet organisme indépendant et de la mise en oeuvre de la loiNote de bas de page 74. Le budget de la CAI provient d’ailleurs d’une enveloppe remise par ce ministre. Ce dernier joue le rôle de conseiller du gouvernement en matière de renseignement personnel et d’accès à l’information et il peut solliciter la Commission à cette fin. Il a aussi mandat de soutenir les ministères et organismes dans la mise en oeuvre de la loi

Dès le début, le ministre responsable s’est entouré d’un petit nombre de fonctionnaires,  parfois même d’une direction générale dite de l’accès à l’information et de la protection des renseignements personnels, dont la taille et l’importance ont varié au fil des années. C’est grâce à cette équipe – le Secrétariat à la réforme des institutions démocratiques et à l’accès à l’information (SRIDAI) - que le ministre responsable vient de piloter la révision statutaire de la loi et qu’il doit préparer, à l’intention du Conseil des ministres, certains  projets de règlement qui en découlent. Cette direction de l’accès, selon le terme utilisé à Québec, joue également le rôle de conseiller auprès du gouvernement et répond, dans les faits, aux demandes et questions des ministères et organismes.

La CAI compte un personnel d’environ 45 cadres, professionnels et fonctionnaires, y  compris le Président et les Commissaires. Ces derniers proviennent tous de la fonction publique et sont répartis dans quatre directions : la direction des affaires juridiques, la direction de l’analyse et de l’évaluation, sans oublier le secrétariat et la direction de l’administration.

Enfin, l’Association de l’accès et de la protection de l’information (AAPI) regroupe les responsables de l’accès à l’information et de la protection des renseignements personnels de l’ensemble de l’appareil public, y compris dans ses structures décentralisées. L’AAPI se veut  un lieu de travail et de  concertation Note de bas de page 75. Elle dispense à ses membres des cours de formation en ligne, en plus d’organiser colloques et rencontres.

A l’oeuvre

Le régime de protection des renseignements personnels du Québec englobe les secteurs public et privé, conformément à la ligne suivie en Europe depuis les années 1970. Les deux lois de 1982 et 1993 bénéficient d’un statut exceptionnel dans l’arsenal juridique du Québec. Elles ont été érigées au rang de «loi prépondérante» et, à ce titre, ont préséance sur toutes les autres lois et sur les règlements qui en découlent. Pour y déroger ou pour soustraire ne serait-ce qu’une disposition d’une nouvelle loi ou de la modification d’une loi, l’Assemblée nationale doit l’énoncer expressément, c'est-à-dire recourir à une clause dérogatoire.

Le législateur québécois n’a pas imposé d’obligation de déclaration préalable de fichiers ou de demandes d’autorisation avant de procéder à des traitements. Les deux lois de 1982 et 1994 n’établissent pas, non plus, de distinction entre les types de renseignements personnels. Par contre, certaines législations sectorielles, notamment dans le domaine de la santé, reconnaissent l’existence de données sensibles, sans pour autant utiliser ce terme, et elles  prévoient des mesures particulières à leur sujet.

Le régime québécois est structuré autour du cycle de vie des renseignements personnels. Chacune des étapes de ce cycle – collecte, utilisation, communication, conservation et destruction de ces données - doit être entourée de mesures et de précautions qui assurent le respect des droits des citoyens, conformément aux principes de base du Code civil et des deux lois sur la protection des renseignements personnels. La Commission d’accès à l’information veille précisément au respect de ces principes. Elle s’acquitte de ce large mandat en développant des mesures de prévention et de correction.

La Commission peut, de sa propre initiative, formuler ses recommandations à l’égard de tout projet de loi ou de règlement. Son intervention préalable est obligatoire en ce qui concerne certains projets d’échange de renseignements personnels entre ministères ou organismes. Ces avis ne lient pas le gouvernement, mais, en cas de rejet, doivent être publiés dans la Gazette officielle du Québec. Cette exigence de transparence prévaut aussi à l’égard de tous les fichiers de renseignements personnels détenus dans l’appareil public. Enfin, la CAI doit être préalablement informée de la création de toute banque de données biométriques et elle peut également émettre son avis à ce sujet, voire même prononcer une ordonnance.

Des avenues originales

Comment cerner la notion de renseignements personnels? Dans quelles circonstances, l’accès au dossier médical d’une personne peut-il lui être refusé? Jusqu’où peut-on aller en matière de radiation d’un renseignement personnel contenu dans un fichier? Voilà quelques unes des questions prises en compte dans la jurisprudence développée à la suite de décisions rendues par la CommissionNote de bas de page 76. Ces décisions de la direction juridictionnelle concluent les audiences, de type contradictoire, convoquées pour régler un différend. Les décisions de la CAI sont exécutoires et, dans certains cas, peuvent être portées en appel devant la Cour du Québec, d’où l’élaboration de cette jurisprudence.

Devant la multiplication des caméras de surveillance dans les lieux publics, la Commission a édicté, en 2004 des règles d’utilisation de la vidéosurveillance  en vue de sauvegarder le droit des individus à leur vie privée. Pour ce faire, elle a tenu des audiences publiques à Montréal et à Québec où une vingtaine d’entreprises, de corps policiers, de ministères, d’organismes hospitaliers ont tenu à présenter des mémoires.

Bon an, mal an, une centaine de chercheurs, particulièrement en sciences humaines et dans le domaine de la santé, sollicitent l’avis de la Commission d’accès à l’information avant d’engager leurs travaux. Démarche certes imposée par la loi, cette procédure vise à préserver la vie privée des citoyens dont les renseignements sont jugés nécessaires aux objectifs des recherches envisagées. Les exigences de la CAI ont peu à peu pénétré les codes d’éthique dont se sont dotés aussi bien les chercheurs que les organismes qui voient leurs fichiers de renseignements personnels être convoités à des fins de recherche.

Au large du Cap Diamant

Le modèle mis au point par le Québec – une seule loi, un seul organisme de contrôle en matière d’accès à l’information et de protection des renseignements personnels - a essaimé, d’abord au sein de la fédération canadienne où la plupart des autres provinces y ont souscritNote de bas de page 77. Par la suite, la Hongrie (1992), le Royaume-Uni (2000), l’Allemagne (2001) et la Suisse (2004) se sont engagés dans cette même voie.

La Commission d’accès à l’information s’est associée, dès le milieu des années 90, aux travaux engagés au siège de l’Union européenne à Bruxelles et consacrés à l’examen de l’impact éventuel sur la vie privée de l’utilisation de la carte à microprocesseur dans le domaine de la santé. Elle y a même assumé la coprésidence de deux groupes de recherche parrainés par la Commission européenne.

Enfin, à ses touts débuts, la CAI a été l’hôte, en 1987, d’une des premières conférences internationales des Commissaires à la protection des données et de la vie privée, à l’époque où les pays dotés de législation en ce sens n’étaient pas légion. En 1997, elle a été à l’origine d’une conférence internationale dont le thème – Vie privée sans frontières - faisait écho à l’une des préoccupations dérivées de la mondialisation. En septembre 2007, la table est mise pour la création à Montréal d’une conférence internationale à l’intention des autorités de contrôle des pays de l’ensemble de la francophonie.

7. Roumanie – Autorité nationale de contrôle du traitement des données personnelles

Au siège social de l’autorité nationale de contrôle du traitement des données personnelles, en plein coeur de Bucarest, le visiteur étranger peut être intrigué par le défilé de citoyens de ce pays Note de bas de page 78. Ces derniers y sont accueillis par les membres du personnel de cet organisme mis sur pied, il y a tout juste deux ans. Ils peuvent y obtenir tous les renseignements nécessaires à la compréhension d’une loi qui vise à assurer le respect d’une dimension de leurs droits fondamentaux.

À son entrée au sein de l’Union européenne, le premier janvier 2007, la Roumanie disposait précisément d’une législation et d’une autorité de contrôle des données personnelles qui se conforment aux exigences de la directive adoptée en 1995 par le Conseil et le Parlement européens. C’est grâce à l’initiative du premier titulaire de la fonction d’ombudsman – ou Avocat du Peuple - que ce pays des Balkans s’était résolument engagé dans cette voie, dès avant les négociations en vue de son adhésion à l’Union européenne.

Le cheminement législatif

Cette démarche de la Roumanie répond à la volonté affirmée au lendemain du changement de régime, en 1989, de la mise en place des composantes d’un véritable état de droit. C’est ce choix déterminé qui explique l’inclusion dans la constitution d’une disposition concrète au sujet des données ou renseignements personnelsNote de bas de page 79. D’où le fondement juridique de la campagne lancée par l’Ombudsman de la République en faveur de l’adoption, par le Parlement, d’un régime de protection des données personnelles, à l’image de ce qui se pratique dans la plupart des pays d’Europe occidentale et dans certains États d’Europe centraleNote de bas de page 80.

En souscrivant à cet objectif en 2001, les parlementaires roumains ont fait d’une pierre, deux coups. Ils ont d’abord élargi et étoffé la sphère des droits individuels. Leur décision s’inscrivait également dans l’un des objectifs majeurs poursuivis par Bucarest, dès le début des années 1990 : l’adhésion à l’Union européenne, dont les États-membres venaient d’imprimer un approfondissement significatif en signant le traité de Maastricht.

La rédaction de la loi de 2001Note de bas de page 81, qui vise indifféremment les secteurs public et privé, s’est visiblement inspirée de  la directive européenne de 1995Note de bas de page 82. D’ailleurs, la filiation juridique s’est matérialisée grâce au travail de coopération mené par les juristes roumains et les experts de la Commission européenne.

L’Autorité de contrôle

Au moment de l’adoption par le Parlement de la loi sur la protection des données personnelles, c’est l’Ombudsman qui a hérité de la mission de constituer, au sein de son bureau, une cellule ou une direction, pour  assumer ces nouveaux mandats.

En 2005, le Parlement a remis en question cet arrangement. D’un point de vue strictement juridique, une évidence s’était rapidement imposée. Le pouvoir de sanction, en matière de protection des renseignements personnels, dont avait été investi l’Ombudsman, était difficilement conciliable avec son statut de médiateur, habilité à n’émettre que des recommandations. De plus, en vertu de la directive européenne de 1995, l’autorité de contrôle devait bénéficier d’une réelle indépendance au sein de l’appareil de l’ÉtatNote de bas de page 83. D’où la création, en 2005, d’une autorité nationale indépendante de toutes les composantes de l’appareil public.

C’est le Parlement qui nomme, pour un mandat de 5 ans, le président et le vice-président de cette autorité de contrôle. L’un et l’autre, nécessairement juristes, ont auparavant été proposés au Parlement par l’ensemble des partis politiques. Le choix final du titulaire de ces deux postes incombe à une Commission du Sénat qui s’acquitte de cette tâche en interviewant, en séance publique, l’ensemble des candidats.

La Commission roumaine est directement rattachée au Parlement, plus particulièrement à l’une des commissions du Sénat. C’est devant cette commission qu’est déposé le rapport annuel de la Commission, avant d’être publié dans le Journal officiel de la Roumanie.  Le même traitement est d’ailleurs réservé aux décisions de portée normative et aux lignes directrices de la Commission, qui connaissent ainsi une diffusion officielle très importante.

L’indépendance de l’autorité de contrôle est enfin renforcée grâce au mécanisme d’élaboration de son budget annuel qui figure, à titre distinct, dans le cahier budgétaire de l’État. En cas de désaccord avec le gouvernement au sujet de son enveloppe,  le Président de la Commission peut, en vertu d’une disposition de la loi Note de bas de page 84, demander l’intervention du Parlement en vue de lever ce litige.

La loi de 2005 a été complétée, un an plus tard, par un règlement qui, non seulement établit l’effectif, mais dessine également l’architecture interne de l’autorité de contrôleNote de bas de page 85. Avec un peu moins de 40 personnes en fonction au printemps 2007 - la plupart d’entre eux ayant fait leurs premières armes sous l’autorité de l’Ombudsman - l’autorité en question pourra éventuellement compter 50 fonctionnaires et experts. Les nouveaux venus seront embauchés par le Président qui assume la direction et la responsabilité de cet organisme.

Conformément à ce règlement très détaillé, l’organe de contrôle comporte sept services ou directions générales, dotés de mandats précis, depuis l’organisation d’enquêtes jusqu’à l’autorisation de transferts de renseignements personnels vers un autre État, sans oublier les affaires juridiques.

Les premiers pas de l’autorité

L’organisme de contrôle roumain doit évidemment s’acquitter des mandats et obligations que lui impose une législation calquée sur la directive européenne. C’est ainsi que l’Autorité a déjà rendu un certain nombre d’avis et de recommandations, sollicités par le gouvernement, au sujet de projets de lois ou de règlements. Parmi les enquêtes déjà lancées à la suite de plaintes portées, entre autres, contre des banques ou des agences de crédit, il faut signaler la démarche conjointe menée avec l’organisme de contrôle de l’ItalieNote de bas de page 86. Enfin, l’Autorité roumaine s’est prévalue, à quelques reprises, du pouvoir de sanction que lui a conféré le législateur.

C’est sans doute au chapitre de ses relations avec les citoyens que la commission a rapidement imaginé des initiatives d’information et de caractère pédagogique, tout à la fois. Ainsi, les citoyens roumains ont pu découvrir le sens et l’importance de la protection de leurs données personnelles grâce notamment aux renseignements concrets qui défilent régulièrement au bas de l’écran durant les émissions d’une station de télévision de type communautaire.

Les membres du personnel de la Commission ont tenu des séminaires d’information à l’intention de différents secteurs de l’activité économique et sociale. De même, ils ont organisé, dans diverses régions du pays, des séances d’information grand public en vue d’assurer la plus large diffusion aux objectifs de la loi et aux services offerts aux citoyens.

Sur la scène européenne

Dès avant son entrée au sein de l’Union européenne, l’Autorité roumaine s’était soumise au contrôle de son fonctionnement, de ses structures et de ses procédures, par des experts de la Commission européenne. Cet audit s’est soldé par un satisfecit de la part de Bruxelles qui reconnaissait la valeur des efforts déployés par Bucarest en la matière.

Tout au long des négociations d’adhésion à l’Union européenne, les fonctionnaires de l’organisme de contrôle ont d’ailleurs été associés aux réunions et travaux du «Groupe de l’article 29» de la Commission européenneNote de bas de page 87. L’habitude était créée et aujourd’hui l’autorité roumaine de contrôle participe activement aux chantiers menés par ce Groupe dans des domaines de pointe, comme la biométrie et le e-government dans ses multiples déclinaisons.

À la faveur de la dernière conférence des Chefs d’état ou de gouvernement des pays de la Francophonie, tenue en octobre 2006 à Bucarest, la Roumanie a été plongée au coeur des travaux menés depuis bientôt un quart de siècle par les responsables de la protection des données personnelles. C’est à cette occasion qu’a été lancé l’appel en faveur de l’élaboration d’un instrument juridique contraignant, de portée internationale en matière de protection des renseignements personnels.

D’une disposition judicieuse dans la toute nouvelle constitution, au Sommet de la Francophonie, voilà le pari lancé et relevé par la Roumanie au chapitre de la protection des données personnelles.

8. Suisse – Le Préposé fédéral à la protection des données et à la transparence

La Suisse s’est dotée en 1992 d’un régime de protection des données personnelles, devant le développement fulgurant de l’informatique et des craintes que suscitait ce changement. Deux crises ont également marqué l’opinion publique. Dans les deux cas, c’est la découverte de fichiers établis à des fins de contrôle policier qui a alerté les médias et interpellé le Parlement fédéral.

En 2004, le Parlement fédéral a voté une loi sur l’accès à l’information basé sur la recherche d’une plus grande transparence administrative. En ce qui concerne l’accès aux documents officiels, il a confié le mandat de médiation au Préposé fédéral qui assumait déjà la responsabilité de surveillance en matière de protection des données personnellesNote de bas de page 88.

Le cheminement législatif

Il s’est écoulé presque 20 ans entre les premières interpellations au Parlement fédéral et l’adoption de la loi de 1992. De la découverte, en 1974, d’un fichier constitué par un colonel à la retraite qui recensait les sympathisants aux causes d’extrême gauche, aux révélations, début des années 1990, au sujet d’un méga fichier secret établi par la police fédérale : tels auront été les incidents majeurs qui ont jalonné le parcours  vers la création d’un régime de protection des renseignements personnels.

Ce cheminement parlementaire s’est d’abord matérialisé par la création de deux commissions d’experts qui ont élaboré un avant-projet de loi. Le gouvernement a ensuite lancé, en 1983, une large consultation publique. L’administration fédérale, avec l’aide d’experts, a poursuivi des travaux à ce sujet, tout au long de ces années. En 1988, le gouvernement a soumis au Parlement un projet de loi en bonne et due forme.

La loi de 1992Note de bas de page 89 établit un régime général de protection des renseignements personnels dans le secteur public fédéral et dans le secteur privé, régime qui s’inspire des lignes directrices de l’OCDE, édictées à Paris, en 1980Note de bas de page 90. Elle met en oeuvre les principes de base énoncés dans la Convention adoptée par le Conseil de l’Europe en 1981Note de bas de page 91.

L’élaboration de cette loi a donné lieu à l’examen systématique des législations déjà en place, en particulier en Allemagne, en Autriche, en France et en Scandinavie. Il aura fallu au législateur suisse composer avec la résistance à peine feutrée du monde économique et financier et de la méfiance tout aussi vive d’une partie de l’administration pour aboutir à ce résultat. On peut sans doute deviner, dans ce parcours législatif, la recherche d’un large consensus, caractéristique importante de la vie politique et sociale de ce pays.

En 2004, le Parlement fédéral a procédé à des modifications significatives du régime de protection des renseignements personnelsNote de bas de page 92. Il faut signaler à ce sujet l’intervention déterminée de deux commissions parlementaires qui souhaitaient renforcer la transparence des traitements de données personnelles. Ces dernières voulaient, du même coup, entourer de précautions rigoureuses le déroulement d’expériences-pilotes qui impliquent le recours à des données sensibles et à des profils de personnalité. Cette révision a également introduit une norme incitative à l’intention des fournisseurs de systèmes de logiciels et de traitements de données et des responsables de traitements : le législateur leur recommande de soumettre leurs systèmes et procédures à une évaluation prise en charge par des organismes de certification agréés et indépendants.

Cette modification législative a permis à la Suisse de ratifier le protocole de la Convention 108 du Conseil de l’Europe concernant les autorités de contrôle et les flux transfrontaliers de données personnelles. Elle renforce aussi les pouvoirs de l’organisme de contrôle quant aux procédures judiciaires. De même, le droit sectoriel intègre aussi certaines des dispositions mises en oeuvre au sein de l’Union européenne auxquelles le gouvernement helvétique a décidé de souscrireNote de bas de page 93.

Un Préposé fédéral

C’est le Préposé fédéral  à la protection des données qui dirige les travaux quotidiens relatifs à la surveillance des dispositions légales en matière de protection des données nominatives. Il chapeaute également tout ce dispositif  qui permet aux citoyens d’obtenir «les documents officiels» produits et détenus par le secteur public fédéral, en assurant la médiation en cas de refus d’accès.

Le Préposé fédéral est nommé par le Conseil fédéral – le gouvernement – et il est rattaché administrativement à la Chancellerie fédérale. Il s’acquitte de ses tâches de manière autonome. Il a à sa disposition un secrétariat permanent d’une vingtaine de personnes, la plupart juristes ou informaticiens, secrétariat qui est dirigé par le préposé fédéral suppléant. Il s’agit de fonctionnaires de carrière de l’appareil administratif fédéral.

Le Préposé fédéral dépose, chaque année, au gouvernement, un rapport d’activités qui est publié. En outre, il est régulièrement auditionné par des commissions parlementaires sur des sujets de sa compétence.

Les cantons de la confédération helvétique, ainsi que certaines villes, à commencer par Zurich, la métropole du pays, disposent également d’organismes de contrôle et de surveillance. Le Préposé fédéral n’exerce aucun droit de regard sur ces entités qui, dans les faits, complètent le dispositif global mis en place en Suisse pour veiller au respect de la loi en matière de renseignements personnels.

La manière suisse

Le Préposé fédéral tient, auprès du Parlement et du Gouvernement suisses, un rôle consultatif. La loi prévoit expressément qu’il doit être consulté au sujet des projets de loi et de règlements qui peuvent avoir des incidences sur la vie privée ou la protection des renseignements personnels. Il n’a pas d’accès direct au gouvernement; c’est le Chancelier de la fédération qui transmet et, le cas échéant, défend les propositions du Préposé devant le Conseil fédéral.

Le Préposé fédéral a des tâches de contrôle, de conseil et d’information. Il a aussi mandat d’étudier les plaintes qui lui sont acheminées. Ses enquêtes peuvent donner lieu à des recommandations formulées aussi bien à l’intention des entreprises du secteur privé que des entités de l’administration publique. Il ne dispose pas, à l’instar de la CNIL, par exemple, de pouvoirs de sanction, ce qui ne semble pas constituer un problème quant à l’efficacité de ses démarches.

Le Préposé fédéral ne peut qu’émettre des recommandations. Ses décisions sont-elles ignorées ou rejetées? Il peut en appeler au nouveau Tribunal administratif qui, lui, rendra une décision s’il s’agit d’une recommandation émise à l’intention d’un responsable de traitement dans le secteur privé. En cas de recommandation visant un organe fédéral, le Préposé fédéral, aura, d’ici peu, la latitude de transmettre pareil dossier au Tribunal administratif.

En Suisse, le pouvoir de recommandation relève pratiquement de l’artillerie lourde. Dans le milieu des entreprises et dans le secteur bancaire, la hantise de toute forme de publicité négative que pourrait entraîner une recommandation publique, incite à la recherche d’une solution en concertation avec le Préposé. Autre indice du poids de ce pouvoir, les recommandations du Préposé fédéral peuvent maintenant être portées devant le Tribunal administratif.

Le chemin de l’innovation

Dans la recherche de solutions concrètes aux problèmes éprouvés par les citoyens, le Préposé fédéral n’hésite pas à emprunter à la technologie de pointe. C’est ainsi qu’il a fait accepter par la direction d’une chaîne de supermarchés le recours à une technique de cryptage qui permet de masquer le visage des personnes captées par les caméras de vidéosurveillance installées un peu partout dans l’ensemble des magasinsNote de bas de page 94. En cas d’incident, ces images peuvent être «débrouillées» par une personne ou une autorité désignée à cette fin, à l’instar de ce qui se pratique en matière d’écoutes téléphoniques.

Dans un domaine similaire, un centre sportif a renoncé à stocker dans un fichier central les données biométriques de ses clients dans une démarche avouée de fidélisation. La direction du centre  a accepté d’offrir à ses clients une carte munie d’un microprocesseur – carte à puce, selon la terminologie courante – qui, elle, contient certaines données biométriques. A l’entrée du magasin, un appareil vérifie si les données lues sur la carte correspondent bien aux caractéristiques physiques de son porteur.

Les entreprises ont d’ailleurs créé en Suisse une association pour assurer la défense et la promotion de leurs points de vue. Ce regroupement ne craint pas d’exprimer des opinons divergentes à l’égard des solutions préconisées par le Préposé fédéral. Elle organise également des séminaires et ateliers de formation à l’intention des responsables de la protection des données personnelles dans les entreprises  et organisations.

Le Préposé fédéral a créé une petite révolution dans le monde des organismes de contrôle en annonçant, en mai 2007, sa décision de renoncer à répondre à toutes les demandes individuelles qui lui sont adressées et à ouvrir des enquêtes au sujet de chacune des plaintes déposées à son secrétariat. La faiblesse des ressources financières mises à sa disposition l’ont incité à établir «un service personnalisé de conseil téléphonique» à des moments précis de la journéeNote de bas de page 95 et à développer son site internet. Les plaintes seront toutefois recueillies et, le cas échéant, intégrées dans les activités de surveillance.

L’entrée en vigueur de la loi sur l’accès à l’information et l’augmentation des tâches sans ajout de ressources supplémentaires ne sont pas étrangères à cette mesure qui s’est d’ailleurs traduite par la réorganisation des services du Préposé fédéral. Ainsi, deux des unités de son administration se consacrent maintenant aux différentes tâches rattachées à la protection des renseignements personnels, une troisième assume, elle, la mise en oeuvre du volet de la transparence administrative.

Regards sur le monde

Au chapitre de la protection des renseignements personnels, l’organe de contrôle de la Suisse participe étroitement au cheminement juridique piloté à la fois depuis Strasbourg et Bruxelles.

Même s’il n’est pas soumis à la directive européenne de 1995Note de bas de page 96, le Préposé fédéral suit attentivement les travaux du «Groupe de l’article 29» et reflète, dans sa pratique, les avis qui y sont adoptés. En outre, à la faveur d’accords bilatéraux, la Suisse rapproche son droit de protection des données personnelles, du droit européen. Suite à une évaluation par la Commission  européenne, le régime helvétique de protection des renseignements personnels a d’ailleurs été reconnu offrir un niveau adéquat dans ce domaine.

C’est au sein du comité consultatif de «l’article 108» du Conseil de l’Europe que le Préposé fédéral intervient de plein droit dans la mise au point des nouvelles mesures en matière de protection des données personnelles. Il est également appelé, par le Conseil de l’Europe, à participer à des programmes de formation à l’intention des États qui viennent d’adhérer à l’organisation de Strasbourg.

Enfin, depuis ses débuts, l’organe de contrôle helvétique participe pleinement aux travaux des Conférences internationale et européenne des Commissaires à la protection des données et à la vie privée.

Conclusion – Tendances et perspectives

Ce document vise à présenter un état de la situation de la protection des données ou renseignements personnels au sein des États membres de l’Organisation internationale de la Francophonie. Il s’agit en fait de cibler l’originalité des autorités indépendantes qui assument le mandat de mise en oeuvre et de respect des régimes juridiques mis en place à cette fin.

Rédigé sur le mode descriptif, ce rapport schématise pour chacun des huit gouvernements un portrait sommaire du cheminement législatif qui a mené  à la création et à l’implantation de ces «autorités de contrôle». Il décrit sommairement le mandat et le cadre opérationnel de l’une et l’autre de ces institutions pour déboucher sur un certain nombre d’innovations ou de d’originalités imaginées pour mettre en oeuvre les principes et mandats édictés par le législateur.

Cette démarche constitue une réponse partielle aux voeux formulés par les chefs d’État ou de gouvernement  de l’Organisation de la francophonie lors de leurs dernières rencontres au sommet à Bucarest et à Ouagadougou. A deux reprises, ces derniers ont clairement préconisé la mise en place, dans l’ensemble des pays de la francophonie, de régimes juridiques qui assurent la protection des données personnelles. Cette esquisse de la carte des organismes de contrôle se présente comme un répertoire des institutions imaginées dans certains pays de la francophonie : législateurs et représentants de la société civile, engagés dans la recherche d’une solution concrète au problème de la mise en oeuvre de ce droit au respect de la vie privée, pourront y puiser enseignement et inspiration.

Les huit organismes de contrôle repris dans ce document témoignent de l’histoire de la formulation du concept juridique de la protection des données personnelles et de sa traduction en véritables régimes juridiques. Ils sont apparus à divers moments depuis le milieu des années 1970  jusqu’à tout récemment, c’est à dire au début du nouveau millénaire. Dans un premier temps, l’irruption de l’informatique et l’arrivée des premiers superordinateurs ont inspiré, dans certains pays de la Francophonie en Europe et en Amérique du Nord, les premières législations dans le domaine : c’est le cas de la France, du Québec et du Canada, entre autres.

Dans certains cas, les événements, voire même des crises intérieures, ont  induit ce cheminement. On peut songer à la découverte de fichiers secrets en Suisse, ou à la mise en place de banques de données géantes, comme en Belgique. Dans un cas comme dans l’autre, le facteur informatique est primordial.

La prise en charge de ces questions par au moins deux institutions internationales – le Conseil de l’Europe et l’OCDE – a aussi fortement contribué à l’évolution de ce dossier dans ces mêmes pays. Le démantèlement du Mur de Berlin a également exercé un impact indirect considérable sur un bon nombre de pays qui ont sollicité et obtenu leur adhésion à l’Union européenne. Dérivée des critères de Copenhague, l’adoption d’un régime juridique de protection des données personnelles a en effet été imposée à titre de condition préalable aux pays candidats. Déjà engagée dans cette voie sous l’influence du premier médiateur établi au lendemain de l’adoption de la nouvelle constitution, la Roumanie a ainsi pu satisfaire aux exigences européennes avant son entrée au sein de l’Union, le 1er janvier 2007.

De part et d’autre de l’Atlantique, cette évolution législative a emprunté des voies différentes quant à l’universalité des droits et obligations qui en découlent. En Europe, ces dispositions visaient indistinctement l’ensemble des acteurs, publics et privés, qui manipulaient des données personnelles. En Amérique du Nord, le législateur a d’abord assujetti la totalité du secteur public avant d’imposer pareilles obligations aux entreprises et autres entités du secteur privé.

Dans presque tous les cas, la promulgation d’une législation a été assortie de la mise en place d’un organe de contrôle, doté de pouvoirs en vue d’assurer, d’une part, le respect des droits ainsi garantis aux citoyens et, d’autre part, des obligations qui en découlent. Diverses considérations peuvent sans doute rendre compte de la différence de pouvoirs et de mandats conférés à ces «autorités de contrôle» pour utiliser le terme qui va s’imposer durant les années 90. C’est sous l’influence de la directive de l’Union européenne de 1995Note de bas de page 97 que s’est imposé l’octroi d’un statut de réelle indépendance, à tout le moins d’autonomie réelle à ces nouvelles autorités ou institutions.

Les autorités de contrôle créées par les pays de la Francophonie répondent à des objectifs communs. Les législateurs ont dessiné des organismes qui témoignent certes d’une culture institutionnelle propre, mais dont la variété épouse ou presque l’ampleur des choix retenus dans l’ensemble des États dotés d’un régime de protection des données personnelles. Bon nombre de ces organismes sont rattachés, selon des modalités diverses, au Parlement du pays; c’est marquer la distance avec les organes gouvernementaux et administratifs et ainsi élargir leur marge de manoeuvre.

Les autorités de contrôle au sein de la Francophonie peuvent donner lieu à l’élaboration d’une typologie sommaire.

Le modèle de l’ombudsman ou du médiateur se fonde sur l’autorité morale dont cette institution est investie depuis sa création, déjà fort ancienne, dans les pays scandinaves. Au lieu de décisions contraignantes, le titulaire de cette fonction émet des «recommandations». Le Parlement fédéral du Canada et l’Assemblée législative du Nouveau-Brunswick ont opté pour ce modèle, avec quelques variantes. A Ottawa, la Commissaire à la protection de la vie privée exerce pleinement ses fonctions à l’égard des deux lois qui structurent le régime de protection des renseignements personnels; ombudsman sectoriel, serait-on tenté de préciser. A Fredericton, on a ajouté ce mandat à l’Ombudsman qui veille au respect des citoyens dans l’ensemble de l’appareil administratif.

D’autres États disposent d’une institution collégiale pour assumer des fonctions analogues. C’est évidemment la CNIL qui fait figure de chef de file, non seulement par son ancienneté, mais aussi par son rayonnement. Ces «collèges», dont le nombre de membres peut varier de trois – c’est le cas du Luxembourg – à une quinzaine – comme au sein de la CNIL – sont évidemment structurés selon un partage des mandats qui permet, entre autres, de saisir les priorités retenues par le collège lui-même ou, dans certains cas, par le législateur.

Ces mêmes pouvoirs peuvent être conférés à un titulaire unique qui dispose, tout comme les collèges, d’une organisation administrative. C’est le choix qui a été retenu en Suisse et aussi en Roumanie.

Enfin, dernier élément de cette typologie élémentaire, le tribunal administratif, au sens strict de ce terme. Ce statut confère à cette autorité des pouvoirs de décision contraignants et peut mener à l’élaboration d’une forme de jurisprudence. L’Assemblée nationale du Québec a retenu ce modèle, dès l’adoption de sa législation en la matière.

Cette typologie n’a d’autre prétention que d’illustrer la variété des décisions arrêtées par le législateur des pays de la Francophonie quant aux caractéristiques élémentaires de l’autorité de contrôle mise en place au moment de l’adoption de leur législation en matière de protection des renseignements personnels. Elle résume bien, à deux exceptions près, la gamme complète des choix effectués à ce chapitre dans le monde entier. Dans certains cas, ce qui tient lieu d’autorité de contrôle est logé au sein d’un ministère ou d’un organisme; on devinera  que pareille structure ne peut guère revendiquer indépendance ou autonomie. Enfin, de rares États ont rejeté l’option d’établir un mécanisme ou une autorité de contrôle, tout en se dotant d’une législation de Congrès a préféré remettre aux tribunaux la sanction de ces droits et principes.

Ces autorités de contrôle exercent les fonctions et mandats qui leur sont confiés par la loi constitutive. Encore ici, il est possible de regrouper ces activités selon plusieurs critères. Aux fins de cette démarche, c’est la nature du ou des destinataires de ces interventions qui a été retenue..

Les autorités de contrôle ont été établies en vue d’assurer le respect des droits conférés aux citoyens par la loi au chapitre de la protection des données personnelles et du respect de la vie privée. Les unes interviennent plutôt de façon préventive; c’est le cas notamment des organismes européens qui imposent la déclaration préalable à divers traitements de données. En Amérique du Nord, l’accent est mis sur la résolution des problèmes ou des litiges qui découlent du non-respect des principes et des obligations inscrites dans la loi et qui affectent directement les citoyens.

Au delà de cette classification schématique, toutes les agences indépendantes ont imaginé et mis en place des mécanismes ou engagent des activités aussi bien à titre préventif que dans un esprit thérapeutique. C’est ainsi que s’expliquent la multiplication des démarches d’information et la publication de guides en vue de renseigner les citoyens sur leurs droits. De même, relève-t-on une série d’initiatives lancées en vue de venir en aide au citoyen qui se sent lésé ou dont les droits sont brimés.

L’État, l’appareil administratif et l’ensemble du secteur public font aussi l’objet de démarches et d’initiatives de la part des autorités de contrôle. Au sein de l’Union européenne, ces dernières sont saisies par leurs gouvernements respectifs de tout projet de loi ou de règlement qui pourrait avoir un impact sur la protection des données personnelles : c’est l’une des exigences de la directive de 1995. Ce rôle conseil est partagé, à des degrés divers, par l’ensemble des agences au sein de la Francophonie. Ces responsabilités s’exercent selon des modes et dans des styles qui s’inspirent de la culture de chacun des systèmes politiques; d’où une réelle diversité des modes d’intervention. A titre d’exemple, on peut signaler la mise en oeuvre d’études de faisabilité – une variante des études d’impact bien connues en environnement – imposées lors de l’adoption ou de la modification de législations dans le but d’en minimiser les atteintes à la vie privée des citoyens.

On relève aussi certaines différences en ce qui a trait à la mise en oeuvre des obligations et exigences de ce nouveau régime juridique au sein de l’appareil politique. Ainsi, au Québec et au Canada, le législateur a confié le dessin et l’implantation des mesures, procédures et autres obligations à l’un des ministères, tandis que l’autorité de contrôle veille au respect de ces dispositions et à leur conformité aux principes de la loi. Pareille distinction ne se constate pas en Europe.

L’ensemble du secteur privé fait aussi l’objet d’initiatives de la part de ces mêmes autorités de contrôle. Ces dernières prodiguent conseils et appui aux responsables de la protection des données personnelles au sein des entreprises et organisations soumises à la loi. En France, la CNIL a même créé, depuis quelques années, un véritable réseau à l’intention de ces responsables en vue de maintenir un contact réel et de favoriser la dissémination de l’information. Les autorités de contrôle engagent, lors d’incidents ou de problèmes, des enquêtes et peuvent procéder à des vérifications in situ.

Similitude de mission et de méthodes ont amené les titulaires de ces fonctions à se regrouper en vue de partager leurs expériences et problèmes et d’imaginer des formes de coopération au-dessus des frontières. C’est vraisemblablement en Europe que cette concertation s’est développée très tôt et de façon très intense. Dès le lancement au Conseil de l’Europe, à Strasbourg, des travaux qui devaient mener à l’adoption de la convention sur les transferts de renseignements personnels entre pays, les «commissaires» à la protection des données personnelles ont amorcé leurs travaux en commun. Depuis à peu près le même moment, ils se retrouvent régulièrement et mènent des chantiers importants sur une base paneuropéenne. C’est depuis l’adoption de la directive de 1995 par l’Union européenne que s’est intensifiée cette coopération au sein du groupe de travail dit de l’article 29 où s’élaborent des positions communes et s’engagent des projets très concrets.

Sur un front plus large, la préparation des «lignes directrices» par l’OCDE a aussi suscité un regroupement des autorités nationales et bientôt des responsables de la protection des données. Ce regroupement a été réactivé, il y a peu, et a mené à la mise à jour de ces importantes lignes directrices qui ont influencé les législateurs de nombreux pays au moment de la rédaction des lois nationales. Toujours sur une base internationale, les «Commissaires à la protection des données et à la vie privée» se sont rapidement constitués en conférence et Montréal accueille cette année leur 30e rencontre au sommet.

Enfin, les autorités de contrôle se sont engagées dans des démarches de coopération bilatérale et ont prêté main forte aux pays qui songeaient à se doter de régimes de protection des données personnelles. Cette coopération s’est intensifiée lors des travaux préparatoires au grand élargissement de l’Union européenne, en 2004. Elle s’exerce sur tous les continents et s’est intensifiée entre autres, avec la promotion des thèses en faveur de la bonne gouvernance.

Du survol rapide du cheminement des autorités de contrôle au sein de la Francophonie des tendances se dessinent, qui retiennent l’attention et permettent de dégager des pistes d’avenir.

Innovation importante, certaines autorités disposent depuis peu, d’un pouvoir de sanction dont l’un des objectifs relève davantage de la dissuasion, mais dont les effets ne sont pas négligeablesNote de bas de page 98.

Au sein de certaines agences, on voit poindre une recherche en faveur d’une modification des priorités et des tâches à accomplir. Ces dernières penchent en faveur de l’adoption d’un rôle plus systémique qui amènerait à privilégier des chantiers pour répondre aux défis de la prolifération des NTIC en ce qui a trait au respect de la vie privée. En fait, il s’agit d’un véritable questionnement sur la façon de mieux remplir les mandats et tâches ; d’où l’intention franchement avouée d’alléger un certain nombre de procédures. C’est le cas notamment du Luxembourg et de la Suisse.

Protection des renseignements personnels et accès à l’information : ces deux dimensions du droit des citoyens se sont parfois développées de pair, notamment en Amérique du Nord. Concrétisé par la mise au point du «modèle québécois», le mouvement a été relancé, voilà peu, en 2004 plus précisément, par la décision du Parlement suisse de confier au Préposé fédéral le mandat de gérer le respect  de la Loi fédérale sur le principe de la transparence dans l’administration. De son côté, l’Ombudsman du Nouveau Brunswick vient tout juste de prendre position en faveur de la cohabitation de ces deux régimes – accès à l’information et protection des renseignements personnels. Note de bas de page 99 En 2005, le gouvernement fédéral du Canada a renoncé à s’engager dans cette voie sur base des recommandations formulées par un ancien juge de la Cour suprême du Canada.

Ces tendances, ces interrogations  se traduisent directement sur la scène internationale. Elles expliquent, entre autres, le mouvement en faveur de regroupements régionaux aussi bien parmi les autorités nationales déjà constituées que de la part des gouvernements engagés dans un processus d’adoption de législations dans le domaine. C’est l’objectif poursuivi depuis quelque temps par les pays membres de l’APEC qui regroupe la plupart des pays industrialisés de la zone du Pacifique et de l’Asie. C’est dans cette voie que s’engagent les pays de laFrancophonie en créant leur propre regroupement.

C’est probablement à l’adoption de la Déclaration de Londres, à l’automne 2006, que les dirigeants des agences de contrôle ont le mieux attiré l’attention sur les problèmes les plus manifestes dans l’ensemble des pays au chapitre du respect de la vie privée. A l’initiative du Président de la CNIL, les participants à la conférence de Londres ont dégagé les leçons de deux ensembles de facteurs. Dans un premier temps, ils ont mis en lumière l’ampleur des défis entrainés par la mondialisation et par le développement fulgurant des NTIC. Ils ont, d’un même souffle, signalé les conséquences indirectes, en matière de vie privée, des événements du 11 septembre 2001 à la suite de la multiplication des lois et mesures imaginées en vue de combattre le terrorisme. C’est dans ce contexte que se profile le projet d’une convention internationale qui assurerait à tous les humains le respect dû à leur vie privée et à leurs renseignements personnels.

Fiches signalétiques des autorités de contrôle

Belgique
Commission de protection de la vie privée

Willem Debeuckelaere, Président
Rue Haute, 139
1000 Bruxelles
Téléphone : 32(0)2/213.85.40
Télécopieur : 32(0)2/213.85.65

Courriel : commission@privacycommission.be
Site Web : http://www.privacycommission.be

Canada
Commissariat à la protection de la vie privée

Jennifer Stoddart, Commissaire
112 Kent Street, Tour B (3ième étage)
Ottawa, Ontario K1A 1H3
Téléphone : (613) 947-1698
Télécopieur : (613) 947 6850

Site Web : http://www.priv.gc.ca

France
Commission nationale de l’Informatique et des Libertés

Alex Türk, Président
8 rue Vivienne
CS 30223
75083 Paris
Cedex 02
Téléphone : 01 53 73 22 22
Télécopieur : 01 53 73 22 00

Courriel : rh@cnil.fr
Site Web : http://www.cnil.fr

Luxembourg
Commission nationale pour la protection des données

Gérard Lommel, Président
41, avenue de la gare (4ième étage)
L-1611 Luxembourg
Téléphone : 352 26 10 60 – 1
Télécopieur : 352 26 10 60 – 29

Courriel : info@cnpd.lu
Site Web : http://www.cnpd.lu

Nouveau – Brunswick
Bureau de l'Ombudsman

Bernard Richard, Ombudsman
Maison Sterling
767, rue Brunswick
C.P. 6000
Fredericton
E3B 5H1
Téléphone : (506) 453-2789
Télécopieur : (506) 453-5599

Courriel : nbombud@gnb.ca
Site Web : http://www.gnb.ca/0073/index-f.asp

Québec
Commission d'accès à l'information

Me Jacques Saint-Laurent, Président
575, rue Saint-Amable
Bureau 1.10
Québec (Québec)
G1R 2G4
Téléphone : (418) 528-7741
Télécopieur : (418) 529-3102

Courriel : Cai.Communications@cai.gouv.qc.ca
Site Web : http://www.cai.gouv.qc.ca/

Roumanie
L’Autorité nationale du contrôle du traitement des données personnelles

Georgeta Basarabescu, Présidente
Str.Olari nr. 32
Sector 2
024057 Bucarest
Téléphone : 40-21 252 55 99
Télécopieur : 40-21 252 57 57

Courriel : anspdcp@dataprotection.ro
Site Web : http://www.dataprotection.ro

Suisse
Préposé fédéral à la protection des données et à la transparence

Jean-Philippe Walter, Préposé suppléant
Feldeggweg 1
CH-3003 Berne
Téléphone : 41 (0)31 322 43 95
Télécopieur : 41 (0)31 325 99 96

Site Web : http://www.edoeb.admin.ch

Bibliographie sommaire

DOCUMENTATION INTERNATIONALE

  • CE, Directive 2002/58/CE du Parlement européen et du Conseil du 12 juillet 2002 concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques, [2002] J.O.L. 201/37.
  • CE, Directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, [1995] J.O.L. 281/31.
  • Conseil de l’Europe, Convention pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel, Strasbourg, 28.I.1981.
  • OCDE, Lignes directrices de l'OCDE sur la protection de la vie privée et les flux transfrontières de données de caractère personnel, 23 septembre 1980.

RÉFÉRENCES GÉNÉRALES

  • Comeau, Paul-André et Maurice Couture. « Accès à l’information et protection des renseignements personnels », Canadian Public Administration / Administration publique du Canada, vol.46, no.3 (fall / automne), p.364-389, 2003.
  • De Terwangne, Cécile, Yves Poullet et Paul Turner. Vie privée : nouveaux risques et enjeux / Privacy : new risks and opportunities, Bruxelles, Éditions Stroy-Scientia, 1997.
  • Benyekhlef, Karim. La protection de la vie privée dans les échanges internationaux d'informations, Montréal : Éditions Thémis, 1992.
  • Oble-Laffaire, Marie-Laure. Protection des données à caractère personnel, Paris : Éditions d'Organisation, 2005.
  • Flaherty, David H. Protecting privacy in surveillance societies : the Federal Republic of Germany, Sweden, France, Canada, and the United States, Chapel Hill, University of North Carolina Press, 1989.
  • Perrin, Stéphanie; Black, Heather, H; Flaherty, David H. et Rankin, T. Murray. The Personal Information Protection and Electronic Documents Act : An Annotated Guide, Toronto, Irwin Law, 2001.

SITES INTERNET UTILES

Date de modification :