Communiqué des autorités de protection des données et de la vie privée du G7
Table ronde des autorités de protection des données et de la vie privée du G7
« La vie privée à l’ère des données »
Le 11 octobre 2024
Ce document est une traduction non officielle du communiqué rédigé par les autorités de protection des données des pays membres du G7. En cas d’incohérence, seule la version originale fait foi.
Introduction
- Nous, les autorités de protection des données et de la vie privée (les autorités) du G7Note de bas de page 1, nous sommes réunies les 10 et 11 octobre 2024 dans le cadre d’une table ronde organisée par la Garante per la protezione dei dati personali (Autorité de protection des données personnelles de l’Italie) à Rome, en Italie, pour discuter de certains des problèmes les plus complexes liés à la protection des données et de la vie privée à l’ère des données. En nous appuyant sur les travaux réalisés au cours des dernières années par notre Table ronde, nous avons poursuivi nos travaux sur trois piliers, soit la libre circulation des données dans la confiance (LCDC), les technologies émergentes et la coopération en matière d’application de la loi, et nous nous sommes aussi concentrés sur les défis liés à l’intelligence artificielle (IA) qui touchent la protection de la vie privée et des données et d’autres droits et libertés fondamentaux.
- Nous sommes heureux que la Déclaration des ministres de l’Industrie, des Technologies et du Numérique du G7 du 15 mars 2024 attire l’attention sur les [traduction] « défis complexes en constante évolution que les technologies numériques, y compris l’IA, posent en ce qui concerne la protection des droits de la personne, y compris la vie privée, et […] des risques pour la protection des données personnelles ».
- En misant sur nos valeurs et principes fondamentaux communs comme la liberté, la démocratie, les droits de la personne et la primauté du droit, nous confirmons notre engagement à protéger les droits et intérêts des individus en assurant un haut niveau de protection des données et de la vie privée dans une société en plein essor axée sur l’information et les communications.
- Nous reconnaissons aussi que l’échange de données personnelles et l’utilisation de systèmes d’intelligence artificielle (IA) procurent de plus en plus d’avantages pour l’économie et la société, mais nous sommes conscients qu’une telle utilisation peut présenter des risques. Étant donné que de nombreuses technologies d’IA, notamment l’IA générative, reposent sur le traitement de données personnelles, il est plus important que jamais de protéger le droit à la vie privée et à la protection des données. Nous continuerons de coopérer pour garantir un haut niveau de protection de ces droits, tout en contribuant à stimuler l’innovation et à promouvoir une IA sûre, sécuritaire et digne de confiance.
- Les autorités sont considérées comme des acteurs clés du domaine de la gouvernance de l’IA, qui tirent parti de leur expertise en matière de protection des données pour faire respecter les normes de confidentialité les plus élevées. Leur rôle est essentiel afin de promouvoir des technologies d’IA dignes de confiance et de veiller à ce que celles‑ci soient développées et utilisées de manière responsable, conformément aux règles et principes de protection des données qui s’appliquent aussi à ces technologies. En tirant parti de leur vaste expérience et en collaborant, les autorités peuvent améliorer la compréhension des complexités de la gouvernance de l’IA et promouvoir le respect de la loi et des droits de la personne au moment de développer et de déployer ces technologies. Dans cette optique, l’indépendance complète des autorités est cruciale afin que celles‑ci puissent contribuer à garantir une gouvernance responsable et efficace du développement des technologies de l’IA. Les autorités peuvent jouer un rôle clé en sensibilisant le public aux technologies de l’IA dans le cadre de la protection des données et de la vie privée et en lui permettant de mieux les comprendre, en contribuant à une société mieux informée et mieux préparée, et en faisant respecter la loi le cas échéant.
- À la suite de la « Déclaration sur l’IA générative » des autorités (21 juin 2023), nous avons adopté la déclaration de la Table ronde du G7 sur « Le rôle des autorités de protection des données dans la promotion d’une intelligence artificielle digne de confiance ».Cette déclaration invite les décideurs politiques et les organismes de réglementation à adopter des approches qui reconnaissent le rôle essentiel des autorités lorsqu’il s’agit de veiller à ce que les technologies de l’IA soient développées et déployées de manière responsable ainsi que de cerner et de régler à la source les problèmes liés à l’IA. Nous soulignons que les autorités adoptent une approche axée sur l’être humain dans la réalisation de leur mandat, et que les autorités possèdent déjà une vaste expérience du traitement fondé sur les données et de la mise en œuvre de nombreux principes généraux de protection des données qui peuvent s’appliquer aux cadres de gouvernance de l’IA plus larges, plus particulièrement en ce qui concerne l’équité, la responsabilité, la transparence et la sécurité.
- Nous sommes heureux que le Conseil de l’Europe, l’Organisation de coopération et de développement économiques (OCDE), les autorités de protection de la vie privée de la zone Asie‑Pacifique (APPA), le Global Privacy Enforcement Network (réseau mondial d’application des lois sur la protection de la vie privée – GPEN) et l’Assemblée mondiale pour la protection de la vie privée (AMVP) aient contribué à nos discussions. Nous sommes reconnaissants qu’ils nous aient fait part de leur expérience et de leurs connaissances au cours de la séance sur les défis liés à l’IA digne de confiance et sur les discussions à ce sujet au sein des forums mondiaux. Nous tenons à réitérer que la coopération et le partage de connaissances entre la Table ronde des autorités de protection des données et de la vie privée du G7 et d’autres forums internationaux sont d’une grande importance pour harmoniser les efforts visant à protéger les droits et intérêts des individus, et ce, en assurant un haut niveau de protection des données et de la vie privée.
- Nous nous réjouissons que les ministres de l’Industrie, des Technologies et du Numérique du G7 aient répété leur intention de mettre en œuvre le concept de la LCDC et de [traduction] « miser sur les points communs, les complémentarités et les éléments de convergence entre les approches et les instruments réglementaires existants qui permettent aux données de circuler dans la confiance afin de favoriser l’interopérabilité future »Note de bas de page 2.
- Nous notons également l’engagement des ministres [traduction] « à poursuivre les travaux visant à promouvoir la LCDC, compte tenu de l’importance de renforcer la gouvernance mondiale des données » et leur accueil favorable au [traduction] « partage des connaissances dans le contexte des tables rondes des autorités de protection des données du G7 », ainsi que leur appel à un accord organisationnel pour le partenariat, actuellement sous la forme d’une communauté d’experts de la LCDC à l’OCDE, afin de mettre à jour et d’échanger régulièrement de l’information sur les progrès réalisés, les prochaines étapes et les priorités, et de collaborer avec le G7 lors des réunions subséquentes. Nous remercions les ministres pour leur soutien continu visant à ce que les autorités du G7 intensifient leur coopération et le partage des connaissances dans le cadre de leur Table ronde et d’autres forums internationaux qui réunissent de nombreux participants. Nous reconnaissons que la communauté d’experts de la LCDC de l’OCDE rassemble des parties prenantes de la protection des données et de la vie privée, et nous réitérons l’importance d’y inclure également les autorités de protection des données et de la vie privée. Nous sommes fermement convaincus que les autorités ont un rôle essentiel à jouer dans les domaines qui relèvent de leur compétence, afin de garantir que des normes élevées en matière de protection des données et de la vie privée continuent d’être respectées.
- En vue de faire face à ces défis mondiaux et de contribuer de manière concrète, nous avons poursuivi nos travaux sur les trois piliers par l’entremise de groupes de travail mis sur pied à cette fin :
- Pilier 1 – Libre circulation des données dans la confiance
- Piller 2 – Technologies émergentes
- Piller 3 – Coopération en matière d’application de la loi
Pilier I – Libre circulation des données dans la confiance
- Nous prenons note de l’attention croissante que portent la communauté internationale et les parties prenantes aux avantages que peuvent procurer les transferts transfrontaliers de données liées à la mondialisation des activités économiques et sociales. Nous tenons aussi à faire valoir que la croissance de ces transferts transfrontaliers peut poser des défis de taille sur le plan de la protection des données personnelles et de la vie privée et que la « confiance » est un élément essentiel dans les cas où des données personnelles traversent les frontières. Soulignons également que nous devons pouvoir compter sur des mécanismes de transfert de données qui garantissent une protection des données personnelles lorsqu’elles traversent les frontières – cette condition est essentielle pour que les données soient transférées librement et en toute sécurité.
- Nous reconnaissons que le concept de la LCDC est devenu un objectif commun pour les pays et les forums internationaux qui partagent les mêmes idées. Nous insistons sur le fait que le concept de base de la LCDC est de permettre le transfert international de données personnelles d’une manière responsable et digne de confiance, tout en respectant en permanence des normes élevées de protection des données personnelles et de la vie privée.
- En nous appuyant sur la décision prise pendant la table ronde tenue par le Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (le commissaire fédéral allemand chargé de la protection des données et de la liberté de l’information [BfDI]) à Bonn, en 2022, et sur les engagements énoncés dans le communiqué de la table ronde tenue par la Personal Information Protection Commission (commission de la protection des renseignements personnels [PPC]) du Japon à Tokyo en 2023, nous avons poursuivi nos discussions sur la LCDC dans le cadre du Groupe de travail sur la libre circulation des données dans la confiance des autorités de protection des données et de la vie privée du G7, qui est coprésidé par le UK Information Commissioner’s Office (commissariat à l’information du Royaume-Uni [ICO]) et par la Commission nationale de l’informatique et des libertés (CNIL) de la France.
- Suite à notre engagement de continuer à travailler sur des éléments de convergence pour favoriser l’interopérabilité future des outils de transfert afin d’atteindre un niveau élevé de protection des données et de faciliter la LCDC, le Groupe de travail a élaboré, sous la direction du BfDI et de la CNIL, une analyse comparative des éléments de base de la certification du Règlement général sur la protection des données (RGPD) de l’Union européenne en tant qu’outil pour les transferts et du système du Forum mondial sur les règles relatives aux transferts transfrontaliers de données dans un scénario de contrôleur à contrôleur. Cette analyse comparative met en évidence à la fois les points communs et les différences entre les systèmes. Nous observons que les deux systèmes sont fondés sur divers principes clés similaires (tels que la légalité, la limitation des fins, la sécurité du traitement des données et la transparence). Parallèlement, il existe des différences notables dans leurs fondements juridiques, leur structure et leur objectif ainsi que dans les dispositions particulières, notamment l’applicabilité et les recours juridiques et les règles concernant la surveillance indépendante et l’accès du gouvernement. Le Groupe de travail s’appuiera sur l’analyse comparative pour recenser d’autres travaux de collaboration sur les outils de transfert et contribuer au dialogue mondial qui tend vers des éléments de convergence favorisant une interopérabilité future.
- En plus des travaux entrepris par le Groupe de travail sur la LCDC du G7, nous reconnaissons et soutenons les précieux efforts déployés par d’autres instances internationales et soulignons le travail du Groupe de travail sur les normes et les cadres mondiaux de l’AMVP et sa résolution de 2023 sur l’établissement de normes mondiales de protection des données et sur les principes pour assurer un niveau élevé de protection des données et de confidentialité dans le monde entier (Achieving global data protection standards: Principles to ensure high level of data protection and privacy worldwide – en anglais seulement). Nous saluons en outre la comparaison des clauses contractuelles types de différents cadres de protection des données réalisée en 2023 (en cours de mise à jour), qui s’avère être une ressource utile pour les organisations qui effectuent des transferts transfrontaliers de données personnelles. Reconnaissant que les clauses contractuelles modèles sont parmi les outils les plus utilisés en transfert de données dans le monde, nous encouragerons de plus amples discussions sur la coopération dans l’utilisation de ces instruments et sur la convergence vers ces derniers tel que les autorités du G7 l’ont convenu dans le plan d’action qu’ils ont adopté à Tokyo.
- Nous soulignons et soutenons également le travail que le Groupe de travail sur les normes et les cadres mondiaux entreprend en ce qui concerne la LCDC et sur les éléments essentiels pour parvenir à des flux de données transfrontaliers sûrs et fiables et nous chercherons de nouvelles occasions d’harmoniser nos efforts dans ce domaine. Nous reconnaissons en outre le travail d’opérationnalisation de la LCDC au sein de la communauté d’experts de la LCDC à l’OCDE et nous chercherons des occasions de soutenir ces efforts.
- Nous prenons également note des discussions et des développements en cours concernant les flux de données et les outils de transfert dans divers groupes régionaux et internationaux et forums, tels que le Conseil de l’Europe (CE), le Comité européen de la protection des données (CEPD), le Forum mondial sur les règles relatives aux transferts transfrontaliers de données, l’Association of Southeast Asian Nations (association des nations de l’Asie du Sud-Est [ASEAN]) et le Ibero-American Data Protection Network (réseau ibéro-américain de protection des données [RIPD]), et nous encourageons les discussions entre ces organisations.
- En outre, nous réaffirmons notre soutien à la Déclaration de 2022 de l’OCDE sur l’accès des gouvernements aux données personnelles détenues par des entités du secteur privé et continuons d’encourager les gouvernements à réfléchir et à s’appuyer sur son contenu ainsi que sur la résolution de 2021 de l’AMVP sur l’accès du gouvernement aux données, la vie privée et l’État de droit dans leur propre élaboration de politiques (Government Access to Data, Privacy and the Rule of Law’ in their own policy making – en anglais seulement).
Pilier II – Technologies émergentes
- En nous appuyant sur les travaux du Groupe de travail sur les technologies émergentes du G7, présidé par le Commissariat à la protection de la vie privée du Canada (CPVP), nous avons pour objectif de promouvoir le développement et l’utilisation des technologies émergentes de manière à renforcer la confiance et la protection de la vie privée.
- Compte tenu de l’importance accrue des solutions technologiques qui pourraient promouvoir le développement et l’utilisation des technologies émergentes de manière à renforcer la confiance et la protection de la vie privée, et comme précisé dans notre plan d’action adopté en 2023, le Groupe de travail a élaboré et publié, sous la direction de l’ICO, un cas d’utilisation hypothétique sur les technologies d’amélioration de la confidentialité (TAC) pour démontrer comment un type de TAC (données synthétiques) pourrait être utilisé afin d’établir une méthode sécuritaire et respectueuse de la vie privée en vue d’obtenir de l’information à partir de données sensibles. Nous croyons que l’élaboration d’une étude de cas contribuera à éclairer ce marché émergent et à encourager l’utilisation responsable de ces technologies.
- Nous croyons également qu’une compréhension commune des principaux termes et concepts utilisés au sein des administrations du G7 dans le domaine des technologies émergentes peut faciliter la collaboration et les discussions. À cette fin, nous publions un document de terminologie sur les notions d’anonymisation, de pseudonymisation et de dépersonnalisation (Réduire l’identifiabilité dans la perspective internationale : définitions législatives et politiques relatives à l’anonymisation, la pseudonymisation et la dépersonnalisation dans les pays du G7). Les travaux, dirigés par le CPVP, décrivent la façon dont les termes sont définis, expliquent les caractéristiques communes entre les administrations du G7 et soulignent aussi d’importantes différences entre ces administrations.
- En raison des occasions importantes que les technologies numériques, comme l’IA, offrent aux enfants et aux jeunes, ainsi que des répercussions que celles-ci pourraient avoir sur la protection des données et le droit à la vie privée, nous avons entamé des discussions collaboratives sur la question de la protection des données personnelles dans le contexte de l’IA et sur la meilleure façon de protéger la vie privée des enfants, en particulier, compte tenu de la vulnérabilité de ces derniers par rapport à cette technologie.
- Sous la direction de la Garante et du CPVP, le Groupe de travail a produit la « Déclaration sur l’intelligence artificielle et les enfants ». Le document présente des exemples de risques pour la vie privée et la protection des données découlant du développement et de l’utilisation de la technologie de l’IA pour ce qui touche les enfants, et appelle les parties prenantes à prendre des mesures pour protéger la vie privée des enfants dans ce contexte. Dans la déclaration on met l’accent sur la nécessité de « promouvoir le développement et l’utilisation des technologies émergentes de façon à renforcer la confiance et le respect de la vie privée », une mesure qui cadre avec notre plan d’action et qui s’inscrit dans la foulée des travaux entamés et des engagements pris dans la déclaration des autorités de la protection des données et de la vie privée du G7 sur l’IA générative, qui a été adoptée à Tokyo en 2023.
Pilier III – Coopération en matière d’application de la loi
- Dans l’économie numérique d’aujourd’hui, qui se caractérise de plus en plus par des technologies nouvelles et émergentes qui ont des répercussions à l’échelle mondiale et des flux de données importants, la coopération entre les autorités dans le contexte de l’application de leurs différents pouvoirs est cruciale. Nous poursuivons donc nos efforts pour favoriser la coopération internationale entre les autorités afin d’exercer efficacement nos pouvoirs de réglementation. Nous sommes fermement convaincus que la coopération en matière d’application de la loi permet de mieux protéger les droits et les intérêts des individus tout en assurant une clarté et une cohérence accrue pour les organisations.
- À cette fin, nous avons accru les discussions et l’échange d’information et cherchons, s’il y a lieu, à prendre des mesures d’application de la loi bilatérales ou multilatérales concrètes et coordonnées, tant au sein du G7 qu’avec d’autres autorités.
- Pour faciliter une coopération efficace en matière d’application de la loi dans le Groupe de travail sur la coopération en matière d’application de la loi du G7, coprésidé par la Federal Trade Commission (commission fédérale du commerce) des États-Unis d’Amérique et la commission de protection des renseignements personnels du Japon, nous avons échangé des pratiques exemplaires en matière d’application de la loi et cerné les priorités en la matière qui se recoupent. Nous avons signalé ces cas dans l’exposé visant à promouvoir la coopération dans l’application des lois, qui décrit plusieurs cas d’application de la loi représentatifs et qui comporte des liens vers ceux-ci, afin de favoriser une collaboration accrue sur les priorités communes.
- Reconnaissant l’importance de promouvoir une coopération efficace entre les autorités de protection des données et de la vie privée du G7, nous avons poursuivi nos travaux afin de favoriser l’utilisation du formulaire de demande de renseignements adopté en 2023 à Tokyo, notamment en encourageant son intégration dans les instruments de coopération existants comme les protocoles d’entente et les protocoles de coopération. Dans ce cadre, un protocole de coopération a été établi entre le ICO et la commission de protection des renseignements personnels du Japon (17 octobre 2023) et des protocoles d’entente ont été établis entre le ICO et le Contrôleur européen de la protection des données (9 novembre 2023) ainsi qu’entre le ICO et le BfDI (10 juin 2024), respectivement.
- Nous prenons note des initiatives en cours visant à améliorer davantage la coopération en matière d’application de la loi au sein du CEPD, ainsi que du travail des parties à l’entente mondiale de coopération en matière d’application de la loi pour protéger la vie privée (Global Cooperation Arrangement for Privacy Enforcement) (qui sous-tend le système du Forum mondial sur les règles relatives aux transferts transfrontaliers de données) et continuera d’appuyer et de tirer parti des activités de collaboration en matière d’application de la loi dans les forums internationaux, y compris le Groupe de travail sur la coopération internationale en matière d’application de la loi de l’AMVP et le GPEN.
Prochaines étapes
- Alors que nous, les autorités de protection des données et de la vie privée du G7, entrons dans notre cinquième année de collaboration en tant que table ronde, nous avons l’intention d’évaluer et, le cas échéant, de recalibrer les processus et les procédures de gouvernance interne, afin d’assurer l’efficacité des travaux effectués et d’optimiser l’incidence de nos efforts.
- Sur la base des points de vue partagés susmentionnés, nous avons approuvé un plan d’action général pour 2024-2025 (en annexe) pour continuer à renforcer notre coopération, en affrontant les défis énoncés dans les trois piliers, afin de protéger la vie privée, les droits fondamentaux des individus et les valeurs démocratiques sociétales partagées entre les pays du G7.
- En nous fondant sur les résultats de la Table ronde et des réunions de nos trois groupes de travail en 2024, nous poursuivrons les discussions entre experts dans le but d’étoffer les sujets cernés dans le Plan d’action sous la présidence du CPVP en 2025.
Notes
- Date de modification :