Sélection de la langue

Logo du Commissariat Commissariat à la protection de la vie privée du Canada

Recherche

Communiqué des autorités de protection des données et de la vie privée du G7

Table ronde des autorités de protection des données et de la vie privée du G7

Efforts déployés en faveur de la mise en œuvre de la libre circulation des données dans la confiance et du renforcement de la coopération en matière de réglementation

21 juin 2023

Ce document est une traduction non officielle du communiqué rédigé par les autorités de protection des données des pays membres du G7. En cas d’incohérence, seule la version originale en anglais fait foi.

Introduction

  1. Nous, les autorités de protection des données et de la vie privée des pays du G7, nous sommes rencontrés les 20 et 21 juin 2023 dans le cadre d’une réunion présidée par Tanno Mieko, présidente de la commission de la protection des renseignements personnels du Japon, pour discuter de questions importantes se rapportant à la protection des données et de la vie privée, notamment l’élaboration du concept de libre circulation des données dans la confiance et sa future mise en œuvre, les technologies émergentes et l’amélioration de la coopération en matière d’application de la loi.
  2. Nous confirmons notre engagement à protéger les droits et les intérêts des individus en assurant un haut niveau de protection des données et de la vie privée, tout en reconnaissant que les données personnelles procurent de plus en plus d’avantages pour l’économie et la société, et qu’elles ont une incidence de plus en plus importante dans une société en plein essor axée sur l’information et les communications. En réitérant nos valeurs et nos principes fondamentaux communs, comme la liberté, la démocratie, les droits de la personne et la primauté du droit, nous continuerons d’approfondir et de renforcer davantage nos relations de coopération en vue de garantir un haut niveau de protection des données personnelles, ce qui deviendra alors un moteur de développement économique et social pour les membres du G7.
  3. Nous saluons la Déclaration des ministres du numérique et des technologies du G7 du 30 avril 2023, dans laquelle les ministres ont répété leur intention de mettre en œuvre les travaux sur la libre circulation des données dans la confiance et de miser sur les points communs, les complémentarités et les éléments de convergence entre les approches réglementaires existantes et les instruments permettant aux données de circuler librement dans la confiance, afin de favoriser l’interopérabilité future. La Déclaration témoigne du solide appui des ministres des autorités de protection des données et de la vie privée du G7 en vue d’intensifier la coopération en matière de réglementation et de collaborer davantage à des échanges de connaissances dans le cadre de la Table ronde des autorités de protection des données et de la vie privée des pays du G7 et d’autres forums internationaux qui réunissent de nombreux participants. Nous reconnaissons que l’Annexe I de la Déclaration des ministres, qui a été approuvée par les dirigeants du G7 au sommet d’Hiroshima dans le communiqué publié le 20 mai 2023, met l’accent sur la coopération en matière de réglementation entre les autorités de protection des données et de la vie privée, notamment en recensant les points communs dans les approches en matière de réglementation pour le transfert transfrontalier des données et les exigences en matière de protection des données, et en facilitant la coopération en ce qui concerne les technologies d’amélioration de la confidentialité (TAC), les clauses contractuelles types, la certification, l’accès à l’information sur la réglementation et les bonnes pratiques en matière de réglementation, telles qu’une plus grande transparence.
  4. Nous constatons que les ministres s’efforcent de conclure l’arrangement institutionnel de partenariat et misent sur cet accord pour rassembler des parties prenantes du domaine de la protection des données et de la vie privée, y compris les autorités de protection des données et de la vie privée pertinentes, afin qu’elles se penchent ensemble sur les enjeux liés aux approches de réglementation mentionnées précédemment. Dans ce contexte, nous croyons que les autorités de protection des données et de la vie privée doivent jouer un rôle clé pour ce qui est de contribuer à des domaines qui relèvent de leur champ de compétence en vertu de cet accord, afin de garantir le respect de normes élevées en la matière.
  5. Déterminés à nous attaquer à des enjeux mondiaux et à élaborer des mesures concrètes de coopération en matière de réglementation dans le domaine de la protection des données et de la vie privée, nous nous sommes penchés sur 3 piliers importants proposés par la Commission de protection des renseignements personnels du Japon à la Table ronde de 2022, et avons formé des groupes de travail spécialisés pour faciliter les discussions dans les domaines suivants :
    • Pilier 1 – Libre circulation des données dans la confiance;
    • Pilier 2 – Technologies émergentes;
    • Pilier 3 – Coopération en matière d’application de la loi.

Pilier I – Libre circulation des données dans la confiance

  1. Nous sommes conscients de l’augmentation des transferts transfrontaliers des données en raison de la mondialisation des activités économiques et sociales, découlant de l’omniprésence des possibilités qu’offrent les technologies numériques. Tout en reconnaissant les avantages que peuvent procurer les transferts transfrontaliers de données, nous tenons aussi à souligner que ces transferts peuvent poser des défis de taille sur le plan de la protection des données personnelles et de la vie privée. C’est dans ce contexte que les autorités de protection des données et de la vie privée du G7 ont discuté du concept de libre circulation des données dans la confiance, qui avait d’abord été proposé par le gouvernement japonais en 2019. La libre circulation des données dans la confiance est devenue un objectif commun pour les pays aux vues semblables et dans le cadre de divers forums. Nous insistons sur le fait que de préserver la « confiance », notamment au moyen d’une norme élevée de protection des données personnelles, constitue une exigence fondamentale et une condition préalable pour faciliter la libre circulation des données.
  2. Nous réitérons notre engagement à discuter des approches en cours dans les différents systèmes juridiques et cadres internationaux, et nous continuons à définir les points communs et les recoupements entre les approches et les instruments de réglementation existants permettant la circulation des données dans la confiance, dans le but de favoriser l’interopérabilité future, lorsque cela est possible, et de faciliter les transferts transfrontaliers de renseignements personnels en assurant un niveau élevé de protection des données et de la vie privée. Nous sommes conscients de la diversité des lois visant à protéger les renseignements personnels, qui se fondent sur divers principes appliqués à l’échelle nationale. Nous sommes aussi conscients que les discussions sur de telles approches devraient être inclusives et non pas exclusives. En tenant compte des exigences en matière de protection des données personnelles et des besoins des entités et des organisations, y compris des exploitants d’entreprises, nous croyons qu’il est nécessaire de créer des options pour les entreprises afin qu’elles puissent choisir des outils de transfert transfrontalier qui conviennent à la nature de leurs intérêts et à la portée de leurs activités. Par conséquent, nous souhaitons continuer de défendre et de promouvoir l’élaboration d’outils de transfert des données à l’échelle mondiale, et de donner des conseils à ce sujet, pour aider les entreprises à se conformer aux exigences en matière de protection des données et de la vie privée en vigueur partout dans le monde.
  3. Le Groupe de travail sur la libre circulation des données dans la confiance des autorités de protection des données et de la vie privée du G7, qui est coprésidé par l’Information Commissioner’s Office (ICO) du Royaume-Uni et par la Commission nationale de l’informatique et des libertés (CNIL) de la France, a déployé des efforts importants pour amener dans les discussions le concept de libre circulation des données dans la confiance et pour traiter de la façon dont les objectifs communs que nous avons en tant qu’autorités pourraient collectivement apporter une valeur ajoutée à ce concept important. Le Groupe de travail a réfléchi aux objectifs et aux engagements énoncés lors de la Table ronde tenue par le commissaire fédéral allemand chargé de la protection des données et de la liberté de l’information (BfDI) à Bonn, en 2022, et s’est engagé à poursuivre le travail visant à définir des éléments de convergence pour favoriser l’interopérabilité future de ces outils de transfert, lorsque cela est possible, en vue d’obtenir un niveau élevé de protection des données et de faciliter la libre circulation des données dans la confiance. Les objectifs pour le Groupe de travail à l’avenir ont également été étudiés. Dans un tel contexte, le Groupe de travail poursuivra ses efforts en procédant à l’analyse comparative des outils existants de transfert des données, comme les mécanismes de certification et les clauses contractuelles types.
  4. De plus, nous appuyons les divers efforts déployés dans des fora internationaux relativement à la libre circulation des données dans la confiance. Nous encourageons la poursuite de ces efforts et nous continuerons de travailler ensemble pour proposer des solutions concertées. Plus précisément, nous saluons les travaux en cours qui ont été entrepris par le groupe de travail sur les normes et les cadres mondiaux, de l’Assemblée mondiale pour la protection de la vie privée (AMVP), qui visent à comparer les clauses contractuelles types, ainsi que ceux menés par le groupe de travail sur la gouvernance des données et la protection de la vie privée dans l’économie numérique, de l’Organisation de coopération et de développement économiques (OCDE). Nous saluons également la Déclaration sur l’accès des pouvoirs publics aux données à caractère personnel détenues par des entités du secteur privé, qui a été adoptée en décembre 2022 à la Grande Canarie. En raison de la portée mondiale de cette déclaration, nous encourageons les gouvernements de pays qui ne sont pas membres de l’OCDE à reprendre, dans leur propre processus d’élaboration des politiques, les principes qui y sont énoncés. Finalement, nous tenons aussi à souligner, entre autres, les discussions en cours et les progrès réalisés en ce qui concerne les outils de transfert comme les clauses types [Conseil de l’Europe, Association des nations de l’Asie du Sud-Est (ANASE), Réseau ibéro-américain de protection des données (RIPD)] et la certification [Forum mondial sur les règles relatives aux transferts transfrontaliers de données et Comité européen de la protection des données (CEPD)]. Par ailleurs, nous encourageons la discussion entre ces organisations et ces réseaux en vue de mettre au point des mécanismes de transfert convergents afin de favoriser l’interopérabilité tout en ayant à l’esprit les outils de transfert élaborés dans les cadres respectifs.

Pilier II – Technologies émergentes

  1. Nous sommes conscients de l’émergence de diverses technologies numériques, qui ont procuré des avantages considérables pour nos économies et nos sociétés, ainsi que dans nos vies personnelles. Grâce à ces technologies, comme l’intelligence artificielle (IA), l’Internet des objets (IdO) et les services d’infonuagique, il est devenu plus facile de recueillir, de traiter et d’analyser de grandes quantités de données d’une manière qui n’était pas possible auparavant, ouvrant de nouvelles voies sur le plan des services, des industries, des communications, etc. Parallèlement, nous sommes aussi conscients que ces mêmes technologies peuvent causer de graves préjudices et miner les droits et les intérêts des individus, y compris la protection de leur vie privée, si leur utilisation n’est pas encadrée.
  2. Nous constatons qu’il y a de plus en plus de préoccupations à l’échelle mondiale à propos des risques accrus pour le droit à la vie privée et d’autres droits fondamentaux qui découlent de l’élaboration, de l’application et de l’utilisation de technologies d’IA, y compris l’IA générative. Ces technologies émergentes peuvent nécessiter la collecte et au traitement automatisés de grandes quantités de renseignements personnels d’une manière qui, en l’absence de mesures de protection adéquates, peut compromettre la conformité à d’importants principes internationaux de protection des données et de la vie privée. C’est dans ce contexte que nous insistons sur la nécessité, pour les développeurs et les utilisateurs de ces technologies, de démontrer la conformité aux obligations imposées par la loi et de s’assurer de mettre en œuvre des mesures d’atténuation des risques, en consultation avec les autorités de protection des données et de la vie privée concernées lorsqu’il est nécessaire ou approprié de le faire. Nous réitérons qu’il est essentiel d’assurer la « confiance » des individus, des autorités réglementaires et de notre société pour élargir l’utilisation de telles technologies et continuer de les utiliser.
  3. Nous observons également que, parmi les technologies d’IA, la reconnaissance faciale est devenue une technologie particulièrement préoccupante pour les États membres du G7, et aussi partout dans le monde. Son utilisation peut nécessiter la collecte et l’analyse de renseignements personnels de nature très sensible à l’aide de procédés pouvant être automatisés, utilisés à grande échelle et déployés dans un vaste éventail d’environnements. L’utilisation de la technologie de reconnaissance faciale à la fois par des organisations publiques et privées peut avoir des conséquences graves et durables pour les individus et pour la société dans son ensemble. Dans ce contexte, nous accueillons favorablement la Résolution sur les principes et les attentes concernant l'utilisation appropriée des informations personnelles dans la technologie de reconnaissance faciale, qui a été adoptée récemment par l’AMVP, ainsi que les efforts subséquents de l’AMVP pour promouvoir à l’échelle mondiale les principes contenus dans la Résolution.
  4. Les autorités de protection des données et de la vie privée du G7 comprennent l’importance et les avantages des technologies d’amélioration de la confidentialité (TAC). Nous sommes conscients, avec l’arrivée de ces nouvelles méthodes, qu’il est nécessaire d’obtenir des orientations de la part des autorités pour mieux comprendre les répercussions de l’utilisation des TAC sur le plan de la protection des données.
  5. Nous insistons sur le fait que les TAC peuvent aider les entités ou les organisations à appliquer efficacement les principes de protection des données et à intégrer les mécanismes de protection des données qui sont nécessaires dans diverses activités de traitement des données. Nous tenons toutefois à souligner que les TAC ne constituent pas une « solution miracle » pour assurer la conformité aux principes de protection des données. De plus, au moment de déployer lesdites technologies, il faudra se pencher sur les interactions avec les autres sphères réglementaires afin d’assurer la conformité avec ces sphères. Par exemple, les autorités de la concurrence pourraient être préoccupées par l’utilisation anticoncurrentielle des TAC. Des évaluations des risques au cas par cas sont toujours nécessaires pour établir comment, et dans quelle mesure, les TAC peuvent, sur une base individuelle, renforcer la conformité avec les principes et les exigences en matière de protection des données.
  6. Nous accordons de l’importance aux discussions de travail qui se tiennent au sein du groupe de travail sur les technologies émergentes, qui est présidé par le Commissariat à la protection de la vie privée du Canada (CPVP). Le Groupe de travail s’est engagé à élaborer un cas d’utilisation de TAC pour démontrer comment un type de TAC (les données synthétiques) peut être utilisé dans un but précis pour mettre au point une méthode sûre et respectueuse de la vie privée visant à obtenir de l’information de données sensibles. L’élaboration d’une étude de cas aura pour objectif d’éclairer la situation de ce marché émergent et, ce faisant, d’encourager l’utilisation de telles technologies. Le Groupe de travail prévoit aussi de produire un document de référence terminologique sur l’anonymisation, la pseudonymisation et la dépersonnalisation pour s’assurer que toutes les juridictions comprennent les principaux termes de la même façon. Par ailleurs, le Groupe de travail a l’intention de travailler en collaboration à la question de la protection des données personnelles dans le contexte de l’IA générative et de se pencher sur la meilleure façon de protéger la vie privée dans le contexte de cette technologie.

Pilier III – Coopération en matière d’application de la loi

  1. L’une des fonctions les plus importantes des autorités de protection des données et de la vie privée consiste à exercer l’ensemble de leurs pouvoirs en matière de réglementation afin de prévenir les cas de non-conformité, de donner des sanctions en cas d’atteinte à la vie privée et de dissuader d’éventuels contrevenants. Les pouvoirs en matière d’application de la loi sont un élément fondamental de l’approche globale des autorités de protection des données et de la vie privée pour assurer la conformité.
  2. Nous réaffirmons qu’il est nécessaire que les autorités de protection des données et de la vie privée collaborent à l’échelle internationale afin que nous puissions exercer efficacement nos pouvoirs réglementaires dans l’économie numérique actuelle, en particulier compte tenu de l’adoption à l’échelle mondiale de nouvelles technologies émergentes et de l’augmentation de la circulation des données. La coopération internationale en matière d’application de la loi contribue à mieux protéger les droits et les intérêts des individus et apporte clarté et cohérence aux organisations, peu importe où elles se trouvent dans le monde. La coopération vient renforcer notre capacité d’agir collectivement, en particulier en ce qui a trait aux enjeux transfrontaliers et mondiaux, qui sont difficiles à prendre en charge pour les autorités de protection des données et de la vie privée si elles s’y prennent seules.
  3. Par conséquent, nous réaffirmons notre engagement à accroître la coopération en vue de trouver et d’appliquer des solutions appropriées face à de tels enjeux, de façon générale et pour des cas précis. Pour y parvenir, il faudra avoir des discussions sur la réglementation et échanger de l’information, en plus de chercher des occasions de prendre des mesures d’exécution bilatérales ou multilatérales concrètes et coordonnées par les autorités de protection des données et de la vie privée du G7.
  4. Pour faciliter une application efficace des lois dans la pratique, nous encourageons le dialogue. Cela permet de mieux comprendre les lois et les pouvoirs des uns et des autres et d’échanger sur les pratiques exemplaires nationales et internationales tant au sein du G7 qu’avec d’autres autorités de réglementation de manière bilatérale et dans le cadre de réseaux de coopération en matière d’application de la loi. Un tel dialogue nécessite des discussions sur la mise en œuvre efficace du principe de minimisation des données.
  5. Nous accordons une grande valeur aux activités de collaboration dans le domaine de l’application de la loi qui se tiennent dans le cadre de forums internationaux. Nous continuerons d’apporter notre soutien à ces activités et d’en tirer parti. Cela comprend, entre autres, le Groupe de travail sur la coopération internationale en matière d’application de la loi de l’AMVP, qui a mis à jour récemment le Guide sur la coopération dans l’application des lois et le répertoire de coopération en matière d’application de la loi, ainsi que le Global Privacy Enforcement Network (GPEN – réseau mondial d’application des lois sur la protection de la vie privée), qui offre des possibilités et des outils pratiques aux autorités de protection des données et de la vie privée participantes dans le but d’accroître leur niveau de coopération en matière d’application de la loi.
  6. Nous saluons les progrès réalisés par le groupe de travail sur la coopération en matière d’application de la loi du G7, qui est coprésidé par la Federal Trade Commission des États-Unis et la Commission de protection des renseignements personnels du Japon. L’élaboration d’un formulaire de demande d’information et d’une liste de coordonnées des personnes-ressources du G7, qui a eu lieu lors de la Table ronde des autorités de protection des données et de la vie privée du G7 de 2023, constitue un pas concret vers le renforcement de la coopération en matière d’application de la loi entre les membres du G7 et avec d’autres autorités de protection des données et de la vie privée.

Prochaines étapes

  1. En tenant compte des points de vue communs susmentionnés, nous avons approuvé le Plan d’action 2023-2024 (qui se trouve en annexe) afin de continuer d’approfondir notre coopération en matière de réglementation. Avec l’adoption du Plan d’action, nous montrons à quel point nous sommes déterminés à renforcer la coopération, à nous attaquer aux défis cernés dans les trois secteurs prioritaires, à nous acquitter de nos responsabilités et à tracer la voie à suivre pour atteindre un haut niveau de protection de la vie privée et des données.
  2. En nous fondant sur les résultats de la Table ronde et des réunions des groupes de travail sur la libre circulation des données dans la confiance, les technologies émergentes et la coopération en matière d’application de la loi tenues en 2023, nous poursuivrons les discussions entre experts dans le but d’étoffer les sujets cernés dans le Plan d’action et de préparer la Table ronde qui sera présidée par l’autorité italienne en 2024.
Date de modification :