Plan d’action des autorités de protection des données et de la vie privée du G7

Nous, les autorités de protection des données et de la vie privée du G7, approuvons le plan d’action suivant selon les trois piliers énoncés dans le Communiqué de 2023 : (I) Libre circulation des données dans la confiance; (II) Technologies émergentes; (III) Coopération en matière d’application de la loi. Ainsi, nous prenons les engagements suivants :

Pilier I – Libre circulation des données dans la confiance

Élaboration de la libre circulation des données dans la confiance

1. Demeurer attentifs aux efforts qui sont déployés pour élaborer le concept de la libre circulation des données dans la confiance, et soutenir ces efforts, dans divers fora internationaux, comme notre groupe de travail du G7, l’Assemblée mondiale pour la protection de la vie privée (AMVP) et l’Organisation de coopération et de développement économiques (OCDE), notamment en annonçant un nouvel accord organisationnel pour le partenariat, et souligner que la confiance constitue un élément essentiel de la circulation des données à l’échelle mondiale.
2. Parvenir à une compréhension commune de la notion de libre circulation des données dans la confiance et de ses principaux éléments en ce qui concerne les données personnelles, et établir des objectifs communs afin d’assurer un niveau élevé de protection des données et de la vie privée.

Outils de transfert de données

3. Miser sur les conclusions qui ont été tirées à la table ronde des autorités de protection des données et de la vie privée du G7 à Bonn, en 2022, où les outils de transfert de données ont été reconnus comme un moyen important pour réaliser la libre circulation des données dans la confiance.
4. Continuer à travailler sur les éléments de convergence pour favoriser l’interopérabilité future de ces outils, dans la mesure du possible, et cerner les cas d’utilisation particulière d’interopérabilité afin d’atteindre un niveau élevé de protection des données et de faciliter la libre circulation des données dans la confiance.
5. Soutenir les travaux entrepris par le groupe de travail sur les normes et les cadres mondiaux de l’AMVP et y contribuer par l’entremise des autorités de protection des données et de la vie privé du G7 qui en sont membres.
6. Transmettre les connaissances relatives aux outils pour réaliser des transferts sécuritaires et fiables, notamment en comparant les exigences de certification du Forum mondial sur les règles relatives aux transferts transfrontaliers de données et celles de l’Union européenne, ainsi qu’en comparant des modèles existants de clauses contractuelles. Ces travaux permettront d’évaluer le niveau d’interopérabilité et de convergence entre les différents mécanismes de certification et d’autres outils pour les transferts de données, et de recenser les points communs et les différences possibles ainsi que les points à améliorer.
7. Cerner les occasions de mener des initiatives à long terme pour le groupe de travail sur la libre circulation des données dans la confiance, notamment en faisant progresser les discussions sur la manière dont les autorités de protection des données et de la vie privée peuvent participer activement à l’élaboration de l’accord organisationnel pour le partenariat.

Accès des gouvernements aux données

8. Saluer la résolution de 2021 de l’AMVP sur l’accès des gouvernements aux données, la vie privée et l’État de droit.
9. Encourager l’OCDE à poursuivre son travail sur l’accès des pouvoirs publics, dans des conditions de confiance, aux données, y compris en envisageant d’autres mesures pour promouvoir et élaborer des approches à l’appui de la Déclaration sur l’accès des pouvoirs publics aux données à caractère personnel détenues par des entités du secteur privé, adoptée lors de la réunion ministérielle de l’OCDE en décembre 2022.
10. En raison de la portée universelle de cette déclaration, encourager les pays qui ne sont pas membres de l’OCDE à en tenir compte dans l’élaboration de leurs propres politiques.

Pilier II – Technologies émergentes

11. Chercher à promouvoir le développement et l’utilisation des technologies émergentes de façon à renforcer la confiance et le respect de la vie privée.

Document de référence terminologique

12. Faciliter la collaboration et les discussions sur la dépersonnalisation, l’anonymisation, la pseudonymisation et les technologies d’amélioration de la confidentialité (TAC) pour favoriser une compréhension commune des principaux termes et concepts utilisés dans tous les pays du G7.
13. Élaborer un document de référence terminologique portant sur les principaux termes et caractéristiques liés à la dépersonnalisation, à l’anonymisation, à la pseudonymisation et aux TAC, utilisés parmi les autorités de protection des données et de la vie privée du G7, afin de faciliter la collaboration et les discussions.
    • Le document contiendra des définitions, des explications sur les caractéristiques communes parmi les différents pays et des indications sur les différences importantes parmi les pays. Les définitions et utilisations de termes à l’échelle internationale (p. ex. les normes de l’Organisation internationale de normalisation [ISO]) y figureront également, de même que des références aux sources d’information, des orientations et les définitions des principaux termes utilisés par les pays du G7.

Étude de cas d’utilisation de TAC

14. Encourager l’adoption et le développement de TAC en élaborant un cas d’utilisation qui démontre comment une TAC en particulier (les données synthétiques) peut être utilisée pour diminuer les risques pour la vie privée tout en servant l’intérêt public.
15. Dans une perspective réglementaire pour ce marché émergent, encourager l’utilisation de ces technologies en démontrant, grâce au cas d’utilisation, comment les données synthétiques peuvent être utilisées pour transmettre des données sur la santé, afin de mettre au point une méthode sûre qui améliore la confidentialité en vue d’obtenir de l’information à partir de données sensibles.
    • Le cas d’utilisation visera à expliquer comment la production d’ensembles de données synthétiques d’ordonnances à l’échelle locale peut permettre d’obtenir de l’information à une échelle plus large géographiquement sans qu’il soit nécessaire de transmettre les renseignements sensibles contenus dans chacune des ordonnances. Il permettra aussi d’éclairer le fonctionnement d’un tel processus, de préciser les mesures techniques et organisationnelles qu’il faut prendre, et de définir les facteurs relatifs à la protection de la vie privée qui s’appliquent dans ce contexte.
16. Transmettre les connaissances, faire connaître le travail déjà fait dans ce domaine et cerner les possibilités de mobiliser les experts en la matière ainsi que d’autres parties prenantes concernées.
17. Examiner la manière de procéder avec d’autres TAC au sein de ce groupe de travail, sans se limiter à l’utilisation d’études de cas, une fois que l’analyse d’un type de TAC (les données synthétiques) est terminée.

III. Soutien à la résolution de l’AMVP sur les principes concernant l’utilisation de la technologie de reconnaissance faciale

18. Saluer la Résolution sur les principes et les attentes concernant l'utilisation appropriée des informations personnelles dans la technologie de reconnaissance faciale, adoptée en 2022, qui vise à établir un ensemble de principes communs pour l’utilisation de la technologie de reconnaissance faciale par les organisations publiques et privées à l’échelle internationale.
19. Promouvoir ces principes et attentes auprès des parties prenantes partout dans le monde :
    • en insérant des citations et des hyperliens relativement aux principes et aux attentes, s’il y a lieu, dans les textes portant sur l’intelligence artificielle (IA) et la reconnaissance faciale rédigés par les membres du groupe de travail sur les technologies émergentes;
    • en favorisant le soutien aux principes et aux attentes, s’il y a lieu, parmi les groupes de parties prenantes externes;
    • en prônant des mesures de sécurité conformes aux principes et aux attentes, s’il y a lieu, en fonction du ressort des membres.

IV. Collaboration en matière de protection des données personnelles en ce qui concerne l’IA générative

20. Collaborer dans le dossier de la protection des données personnelles en ce qui concerne l’IA générative, du point de vue éthique, légal, social et technique.
21. Participer aux discussions sur l’IA générative dans d’autres fora internationaux, tout en soulignant la nécessité de porter une attention particulière aux questions de protection des données et de la vie privée.
22. Examiner les meilleurs moyens de protéger la vie privée en ce qui concerne l’IA générative.

Pilier III – Coopération en matière d’application de la loi

Accroître le dialogue sur l’application de la loi parmi les autorités de protection des données et de la vie privée du G7 ainsi qu’au sein de la communauté plus large de protection des données et d’application de la loi en matière de vie privée

23. Renforcer le dialogue, par l’intermédiaire du groupe de travail du G7 sur la coopération en matière d’application de la loi et avec la communauté plus large d’application de la loi en matière de vie privée, sur les questions de coopération dans ce contexte, notamment pour ce qui est de l’application de lois et de règlements, afin d’assurer un niveau élevé de protection des données et de la vie privée et de cerner et de surmonter les difficultés légales et pratiques sur le plan de la coopération transfrontalière.
24. Rechercher des occasions de discuter de ces sujets, les promouvoir et y prendre une part active dans les forums existants, comme le Groupe de travail sur la coopération internationale en matière d’application de la loi de l’AMVP et le Global Privacy Enforcement Network (GPEN – réseau mondial d’application des lois sur la protection de la vie privée), entre autres.
25. Transmettre les pratiques exemplaires nationales et internationales de collaboration efficace en matière d’application de la loi, notamment pour ce qui est des initiatives fructueuses de coopération.
26. Discuter des façons de promouvoir la mise en œuvre des principes de minimisation des données ainsi que les efforts visant à diffuser ces principes partout dans le monde, et faire connaître les leçons à retenir et les exemples de solutions pour minimiser les données.
27. Examiner les différences en matière d’application de la loi concernant la dissuasion, la responsabilité et la protection des personnes.

Interventions du groupe de travail du G7 sur la coopération en matière d’application de la loi à l’appui d’activités existantes de coopération

28. Établir une liste de personnes-ressources parmi les autorités de protection des données et de la vie privée du G7 pour favoriser l’échange continu d’information et encourager le GPEN à élargir et à actualiser sa propre liste de personnes-ressources, notamment en y incorporant la liste de personnes-ressources du G7.
29. Miser sur l’influence qu’exercent les autorités de protection des données et de la vie privée du G7 pour favoriser une coopération souple et efficace, notamment : i) en améliorant le formulaire existant de demande d’information du groupe de travail du G7 sur la coopération en matière d’application de la loi; ii) en envisageant de travailler à l’établissement d’un nouveau protocole d’entente bilatéral ou d’un mémoire de coopération pour ces autorités; iii) en ajoutant le formulaire de demande d’information ainsi que le protocole d’entente et le mémoire de coopération dans le Guide de l’AMVP sur la coopération dans l’application des lois, qui serviront d’exemples pour les autres autorités.
30. Donner l’exemple en recherchant les occasions de participer à des initiatives concrète de coopération bilatérale ou multilatérale en matière d’application de la loi parmi les autorités membres du G7, et en échangeant de l’information ou en prenant des mesures conjointes ou coordonnées d’application de la loi concernant des questions de protection des données et de la vie privée qui revêtent une grande importance à l’échelle mondiale.

Soutien général et élargissement des activités actuelles de coopération en matière d’application de la loi

31. Encourager la communauté mondiale des autorités de protection des données et de la vie privée à participer aux forums mondiaux et régionaux, et la soutenir à cet égard, pour tirer parti des divers outils et mécanismes de coopération en matière d’application de la loi offerts par ces réseaux, et ce, en vue d’accroître notre capacité collective d’application de la loi et de jeter les bases d’une coopération fructueuse. Pour ce faire, le groupe de travail du G7 sur la coopération en matière d’application de la loi fera ce qui suit.
32. Encourager la participation à l’AMVP :
    • l’entente de coopération transfrontalière dans l’application des lois (l’Entente de Maurice);
    • le Groupe de travail sur la coopération internationale en matière d’application de la loi de l’AMVP : nous accueillons favorablement les efforts visant à mettre à jour le Guide de l’AMVP sur la coopération dans l’application des lois et le répertoire de coopération en matière d’application de la loi;
    • le Groupe de travail sur le citoyen et le consommateur numérique (GTCCN) de l’AMVP, qui favorise le dialogue interréglementaire et la coopération pratique là où la vie privée touche d’autres sphères réglementaires (p. ex. la concurrence).
33. Encourager la participation au GPEN ainsi qu’à ses divers outils et initiatives, comme les ratissages pour la protection de la vie privée, les webinaires de renforcement des capacités et le forum de discussion en ligne, et appuyer la mise en œuvre de son plan d’action actualisé.
34. Accueillir favorablement le travail continu de l’OCDE dans l’examen de sa recommandation sur la coopération transfrontalière en matière d’application de lois visant à protéger la vie privée, et encourager l’OCDE à collaborer avec les forums d’application de la loi comme le G7, l’AMVP et le GPEN pour établir les chevauchements, les points communs, les points complémentaires et les occasions de coordination dans les cadres et réseaux existants de coopération en matière d’application de la loi.
35. Prendre note des nouveautés dans les réseaux régionaux afin de favoriser la coopération mondiale en matière d’application de la loi parmi les autorités de protection des données et de la vie privée, notamment :
    1. la trousse du Comité européen de la protection des données (EDPB) sur les mesures de sécurité essentielles à la protection des données pour la coopération en matière d’application de la loi entre l’Espace économique européen et d’autres autorités de protection des données et de la vie privée;
    2. le travail continu dans le cadre de l’entente mondiale de coopération en matière d’application de la loi pour protéger la vie privée (CAPE), qui sous-tendra l’éventuel système de Règles relatives aux transferts transfrontaliers de données.

Groupes de travail et évaluation

36. Poursuivre le dialogue parmi les autorités de protection des données et de la vie privée du G7 et les groupes de travail sur la libre circulation des données dans la confiance, sur les technologies émergentes et sur la coopération en matière d’application de la loi.
37. Évaluer les progrès réalisés et les réussites obtenues, dans le cadre de ce plan d’action, à la table ronde de 2024 des autorités de protection des données et de la vie privée du G7, qui aura lieu en Italie.