Déclaration commune sur les attentes mondiales en matière de protection de la vie privée à l'égard du réseau Libra

Le 5 août 2019

En tant que représentants de la collectivité mondiale des autorités chargées de la protection des données et de l’application des lois en matière de protection des renseignements personnels, collectivement responsables de la promotion de la vie privée de plusieurs millions de personnes dans le monde, nous unissons nos voix pour exprimer nos préoccupations communes concernant les risques pour la vie privée posés par l'infrastructure et la monnaie numérique Libra. D’autres instances ainsi que des législateurs respectueux de la démocratie ont exprimé des préoccupations au sujet de cette initiative. Ces risques ne se limitent pas à la protection des renseignements financiers puisque la participation de Facebook Inc., conjuguée à ses vastes catégories de collecte de données sur des centaines de millions d'utilisateurs, soulève bien d’autres préoccupations. Les autorités de protection des données travailleront aussi en étroite collaboration avec d’autres organismes de réglementation.

Bon nombre d'entre nous, dans le milieu de la réglementation, ont dû composer avec des situations antérieures dans le cadre desquelles le traitement des renseignements personnels par Facebook n'a pas répondu aux attentes des organismes de réglementation, ni à celles de ses propres utilisateurs. C'est pour cette raison que nous communiquons nos attentes à l'égard de l'association Libra, de la filiale Calibra de Facebook et de tout futur fournisseur de portefeuille numérique Libra (collectivement appelé le réseau Libra) quant à la protection des renseignements personnels qu'il traitera.

Nous, signataires de cette déclaration, représentons un échantillon représentatif de la collectivité de la réglementation de la protection des données. Il existe certes des différences entre nos cadres réglementaires et nos cultures, mais nous avons tous en commun la perspective des risques potentiels associés au réseau Libra et nos attentes à son égard en ce qui concerne la protection des renseignements personnels. Nous reconnaissons les avantages économiques et sociaux que les nouvelles technologies peuvent apporter, mais cela ne peut se faire au détriment de la vie privée des personnes.

À l’ère du numérique, il est essentiel que les organisations soient transparentes et responsables de leurs pratiques en matière de traitement des renseignements personnels. Une bonne gouvernance de la protection de la vie privée et l'intégration de la protection de la vie privée dès la conception sont des facteurs clés de l'innovation et de la protection des données - elles ne sont pas incompatibles. 

Jusqu'à présent, même si Facebook et Calibra ont fait des déclarations publiques générales sur la protection de la vie privée, elles ont omis de préciser quelles pratiques en matière de traitement de l'information seront adoptées pour sécuriser et protéger les renseignements personnels.

De plus, étant donné les plans actuels pour une mise en œuvre rapide de Libra et Calibra, nous sommes surpris et inquiets du fait que ce détail ne soit pas encore connu. 

Le fait que Facebook Inc. soit l'un des membres fondateurs de l'association Libra est susceptible de favoriser une adhésion rapide des consommateurs du monde entier, y compris dans les pays qui ne disposent peut-être pas encore de lois sur la protection des données. Lorsque le réseau Libra sera opérationnel, il pourrait instantanément devenir le gardien des renseignements personnels de millions de personnes.

La combinaison de vastes quantités de renseignements personnels avec des renseignements financiers et une cryptomonnaie accentue nos préoccupations relatives à la protection de la vie privée au regard de la conception du réseau Libra et des accords sur le partage des données.

Nous nous attendons à ce que le réseau Libra réponde de façon satisfaisante aux questions suivantes :

1. Comment les autorités mondiales chargées de la protection des données et de l’application des lois sur la protection des renseignements personnels peuvent-elles être sûres que le réseau Libra dispose de mesures rigoureuses pour protéger les renseignements personnels des utilisateurs du réseau?
   
   En particulier, de quelle façon le réseau Libra s'assurera-t-il que ses participants vont :
   1. fournir de l’information claire sur l’utilisation prévue des renseignements personnels (y compris sur le recours au profilage et à des algorithmes, et l’échange de renseignements personnels entre les membres du réseau Libra et des tierces parties), de façon à permettre aux utilisateurs de donner un consentement explicite et éclairé, le cas échéant;
   2. créer des paramètres par défaut qui protègent la vie privée des utilisateurs et qui n’utilisent pas de techniques d’incitation ou d’interfaces truquées pour encourager les personnes à communiquer leurs renseignements personnels avec des tiers ou à affaiblir leurs mesures de protection de la vie privée;
   3. veiller à ce que les paramètres de contrôle de la vie privée soient bien en vue et faciles à utiliser;
   4. recueillir et traiter seulement les renseignements personnels strictement nécessaires à l’atteinte des objectifs visés par le produit ou le service, et assurer la licéité du traitement;
   5. assurer une protection adéquate de toutes les données à caractère personnel;
   6. offrir aux utilisateurs des procédures simples pour exercer leur droit à la vie privée, y compris la suppression de leurs comptes, et acquiescer à de telles demandes en temps opportun.
2. De quelle façon le réseau Libra incorporera-t-il les principes de prise en compte de la protection de la vie privée dès la conception dans le développement de son infrastructure?
3. De quelle façon l'association Libra s'assurera-t-elle que tous les responsables du traitement des données au sein du réseau Libra sont désignés et qu'ils respectent leurs obligations respectives en matière de protection des données?
4. Comment le réseau Libra entend-il réaliser des évaluations de l’incidence sur la protection des données et que fera le réseau pour s'assurer que ces évaluations sont prises en compte sur une base continue?
5. De quelle façon le réseau Libra s'assurera-t-il que ses politiques, normes et contrôles en matière de protection des données et de protection de la vie privée sont appliqués avec cohérence dans toutes les activités du réseau Libra dans tous les pays?
6. Quand les données sont partagées entre les membres du réseau Libra :
   1. quels éléments de données seront visés?
   2. dans quelle mesure seront-ils dépersonnalisés et quelle méthode sera utilisée pour les dépersonnaliser?
   3. quels moyens le réseau Libra prendra-t-il pour s'assurer que les données ne soient pas repersonnalisées, notamment par le biais d'engagements contractuels exécutoires avec les parties à qui elles sont communiquées?

Nous nous réjouissons à la perspective de recevoir une réponse du réseau Libra à ces questions, lesquelles ne sont pas exhaustives. Les autorités chargées de la protection des données pourraient, séparément, faire un suivi auprès de Libra en soulevant des questions plus précises au fur et à mesures que les propositions et les offres de service se multiplient.

Nous attendons également de toutes les organisations concernées qu'elles se conforment aux lois pertinentes sur la protection des données et de la vie privée. Ces lois s'appliquent en ligne, tout comme dans le monde matériel.

De solides mesures de protection de la vie privée sont à la base de l'innovation dans le monde numérique. En tant qu'autorités chargées de la protection des données et de l'application des lois en matière de protection des renseignements personnels, nous unirons nos efforts pour faire valoir ce principe à l'échelle mondiale, et nous encourageons toutes les organisations à collaborer avec ces autorités lors du développement de services ayant une incidence importante sur la vie privée.

Besnik Dervishi Commissaire au droit à l'information et à la protection des données Albanie	Angelene Falk Commissaire à l’information et à la protection de la vie privée de l’Australie Australie
Daniel Therrien Commissaire à la protection de la vie privée Canada	Marguerite Ouedraogo Bonane Présidente de la Commission de l’Informatique et des Libertés Burkina Faso
Giovanni Buttarelli Contrôleur européen de la protection des données Union Européenne
Elizabeth Denham, OEB Commissaire à l’information Royaume-Uni	Rohit Chopra Commissaire de la Federal Trade Commission États-Unis

Contexte

Le 18 juin 2019, l'association Libra a annoncé un projet de création d'une cryptomonnaie mondiale utilisant la technologie de la chaîne de blocs (la blockchain Libra). Facebook, membre fondateur de l'association Libra, a également annoncé la création de sa filiale, Calibra, qui participera à la blockchain Libra.