Les autorités internationales de protection des données

ARCHIVÉ - Les autorités de contrôle : Données personnelles et francophonie

Paul-André Comeau
Commissariat à la protection de la vie privée du Canada
September 2007



Haut de la pageTable des matièresMot de la Commissaire à la protection de la vie privée du Canada

Au cours des dernières annĂ©es, le monde a Ă©tĂ© le théâtre d’une explosion technologique qui remet en question les dynamiques relationnelles entre l’économie, la sociĂ©tĂ© et les personnes. Avec la mondialisation et la portĂ©e toujours croissante d'Internet, de nombreux ponts ont Ă©tĂ© Ă©rigĂ©s entre les pays, les cultures, les marchĂ©s. Si ces nouvelles voies permettent un rapprochement favorable Ă  plusieurs Ă©gards, elles ne sont pas en mesure, Ă  dĂ©faut de rĂ©glementation prĂ©cise identifiĂ©e et acceptĂ©e universellement, de protĂ©ger les donnĂ©es personnelles qui y circulent.

Face Ă  cette problĂ©matique, les autoritĂ©s francophones de la protection des donnĂ©es reconnaissent la valeur inestimable du partage des connaissances et des pratiques afin de tirer profit de l’expĂ©rience de chacun; car les dĂ©fis sont essentiellement similaires. Forts de l’appui de l’Organisation internationale de la francophonie (OIF) Ă  l'Ă©laboration d'un instrument international qui garantirait le respect du droit Ă  la vie privĂ©e, les reprĂ©sentants de 14 pays ont convenu de crĂ©er une Association des autoritĂ©s francophones en charge de la protection des donnĂ©es personnelles, Ă  l’issu d’une première rencontre Ă  Monaco en septembre 2006. Ă€ cette rencontre, M. Raymond D'Aoust, commissaire adjoint Ă  la protection de la vie privĂ©e du Canada (CPVP), appuyĂ© par Mme Marie Georges de la CNIL, a proposĂ© d’obtenir les services d'un expert pour rĂ©aliser une Ă©tude exhaustive qui sonderait divers rĂ©gimes existants de protection des donnĂ©es. Cette nouvelle fut accueillie favorablement par les autoritĂ©s prĂ©sentes.

C'est avec grand plaisir que nous prĂ©sentons cette Ă©tude aujourd'hui. Ce prĂ©cieux document procède Ă  un diagnostic de la situation de la protection de la vie privĂ©e dans la francophonie, d'abord en cartographiant les rĂ©gimes de protection des donnĂ©es qui existent dans divers pays francophones; ensuite en effectuant une analyse approfondie des fonctions de ces rĂ©gimes et des activitĂ©s des autoritĂ©s qui en ont la responsabilitĂ©. Ainsi peut s'amorcer une dĂ©marche de mise en commun des expertises et des expĂ©riences aux problèmes rencontrĂ©s par des institutions de cultures juridiques diffĂ©rentes – mais dont les objectifs sont pratiquement les mĂŞmes.

Je tiens Ă  saluer l'auteur de ce document, M. Paul-AndrĂ© Comeau, qui fut prĂ©sident de la Commission d’accès Ă  l’information de 1990 Ă  2000. Par sa vaste expĂ©rience et son regard perspicace, il a contribuĂ© d’une manière significative Ă  la rĂ©alisation de notre projet. Je tiens Ă©galement Ă  remercier chaleureusement les membres du Groupe canadien de travail sur les statuts de l'Association : Me Jacques Saint-Laurent, prĂ©sident de la Commission d’accès Ă  l’information du QuĂ©bec, M. Raymond D'Aoust, commissaire adjoint du CPVP, Me Christian Whalen, avocat du Bureau de l’ombudsman du Nouveau-Brunswick, et du CPVP, Me Nathalie Daigle, avocate du contentieux, et enfin Mme Florence M.C. Nguyen, conseillère principale en communication. Ensemble, ils ont menĂ© Ă  bien ce projet.

Nous espérons que l'Association des autorités francophones profitera grandement de cette étude en vue de s'inscrire dans un mouvement plus vaste pour sauvegarder le droit à la protection des renseignements personnels, lesquels font partie du patrimoine des droits humains. L'assemblée constitutive de l'Association aura lieu à Montréal en septembre 2007, dans le cadre de la 29e Conférence internationale des commissaires à la protection des données et de la vie privée, dont l'une des préconférences portera sur la protection des données dans le monde de la francophonie.
Nous espérons que ce travail alimentera vos réflexions autant qu'il a éclairé les nôtres.

La commissaire à la protection de la vie privée du Canada
Jennifer Stoddart

Haut de la pageTable des matièresAvant propos

Ce rapport a Ă©tĂ© mis au point en vue de la fondation, Ă  MontrĂ©al, en septembre 2007, du regroupement des autoritĂ©s de contrĂ´le des donnĂ©es nominatives ou renseignements personnels des pays de la francophonie. Il rĂ©sulte d’une dĂ©marche pilotĂ©e par la Commissaire Ă  la protection de la vie privĂ©e du Canada, Me Jennifer Stoddart au nom de ses collègues de la francophonie,

Le portrait très schĂ©matique des huit organismes de contrĂ´le Ă  l’oeuvre dans les pays de la francophonie en juin 2007 a Ă©tĂ© esquissĂ© Ă  la faveur d’une double dĂ©marche. Dans un premier temps, un examen des textes disponibles a permis de dĂ©gager un certain nombre de pistes et d’hypothèses quant Ă  l’origine et Ă  l’évolution de ces entitĂ©s administratives. De mĂŞme, une interview en bonne et due forme menĂ©e auprès des dirigeants de chacune de ces autoritĂ©s de contrĂ´le a permis d’approfondir les notions et hypothèses prĂ©cĂ©demment alignĂ©es.

L’auteur de cette Ă©tude tient Ă  exprimer ses remerciements aux responsables des organismes de contrĂ´le et Ă  leurs collaborateurs qui ont rĂ©pondu Ă  chacune de ses demandes avec empressement. De mĂŞme, il avoue une importante dette de reconnaissance envers Mme Marie-Pierre Busson et M. Maxime Laverdière qui l’ont Ă©paulĂ© tout au long de cette dĂ©marche.

Enfin, selon la formule consacrĂ©e, l’auteur assume seul la responsabilitĂ© des affirmations et hypothèses contenues dans ce rapport.

Paul-André Comeau
Montréal, le 16 juillet 2007

Haut de la pageTable des matièresIntroduction

Peu d’observateurs ont relevĂ©, dans le communiquĂ© final de la XIe confĂ©rence des chefs d’État et de gouvernement de la francophonie, tenue Ă  Bucarest en septembre 2006Note de bas de page 1, un paragraphe consacrĂ© Ă  la question des donnĂ©es ou renseignements personnelsNote de bas de page 1. Les pays-membres de l’Organisation internationale de la francophonie – OIF - y soulignent leur intĂ©rĂŞt, compte tenu de l’accroissement exponentiel des flux transfrontaliers de donnĂ©es personnelles, pour l’adoption d’un instrument  international qui garantirait le droit des personnes Ă  la protection de ces renseignements personnels. Derrière l’habillage diplomatique, il faut y lire l’accord de principe en faveur d’une convention contraignante et de portĂ©e mondiale.

Les pays membres de l’OIF avaient soulignĂ©, lors de leur  prĂ©cĂ©dent Sommet, Ă  Ouagadougou, en 2004, l’importance de la protection de la vie privĂ©e. De façon très explicite, ce document lançait un appel en faveur du dĂ©veloppement d’une forme de coopĂ©ration internationale entre «les autoritĂ©s indĂ©pendantes» chargĂ©es dans chaque pays afin d’assurer le respect des dispositions relatives Ă  la protection  des donnĂ©es personnellesNote de bas de page 3.

Ces deux recommandations interpellent les citoyens et les dirigeants des pays qui composent la francophonie institutionnelle. L’objectif de coopĂ©ration internationale, formulĂ© aussi bien en Roumanie qu’au Burkina Faso, est on ne peut plus explicite. Il suppose, de la part de chacun des  États-membres de l’OIF,  la mise en place  de rĂ©gimes juridiques qui assurent, de manière effective, la protection des donnĂ©es personnelles et le respect de la vie privĂ©e. Les citoyens des pays de la francophonie devraient ĂŞtre les bĂ©nĂ©ficiaires de «la protection des libertĂ©s et droits fondamentaux des personnes», pour reprendre les termes utilisĂ©s dans le communiquĂ© d’Ouagadougou.

Comment rĂ©pondre Ă  ces voeux? De quelle façon concrĂ©tiser la mise en oeuvre de tels rĂ©gimes – Dispose-t-on de modèles ou de prĂ©cĂ©dents pour guider et structurer  une adaptation, une transposition intelligente des principes et modalitĂ©s de pareille construction juridique? Sur quelles bases et avec quels objectifs engager une dĂ©marche internationale qui dĂ©boucherait sur l’élaboration et l’adoption d’un instrument international? Aucune de ces questions n’est anodine au moment oĂą les autoritĂ©s indĂ©pendantes chargĂ©es de la protection des donnĂ©es personnelles s’interrogent  sur leurs pouvoirs et  sur l’effectivitĂ© de leur missionNote de bas de page 4.

Protection des donnĂ©es personnelles, respect de la vie privĂ©e : ces objectifs s’ajoutent aux dĂ©fis que doivent relever les États engagĂ©s dans la recherche d’une «bonne gouvernance». Ce dĂ©fi vise une dimension des droits individuels qui, ces trente dernières annĂ©es, a Ă©tĂ© prise en compte dans de nombreux pays occidentauxNote de bas de page 5. Dès le dĂ©but des annĂ©es 70, les Etats-Unis et quelques États europĂ©ens ont tentĂ© de composer avec le problème que dressait l’informatique face au respect des droits individuels. Les circonstances ont pu varier d’un pays Ă  l’autre, le dĂ©nominateur commun, sous forme de question, demeurait le mĂŞme : comment assurer le respect de la sphère privĂ©e face au dĂ©veloppement des nouvelles technologies? Le land de Hesse, dès 1971, et la Suède, en 1973, sont passĂ©s Ă  l’action en se dotant d’une loi sur la protection des donnĂ©es. Devant l’ampleur du dĂ©bat sur cette mĂŞme question, les Etats-Unis en ont fait autant, en 1974.

Les États de la francophonie  en Europe occidentale et en AmĂ©rique du nord se sont rapidement inscrits dans cette mouvance. En Europe, la France, la Belgique, la Suisse le Luxembourg et la Roumanie et, en AmĂ©rique du Nord, le Canada, le QuĂ©bec et le Nouveau Brunswick ont mis en place, Ă  compter de 1977, leur propre rĂ©gime de protection des donnĂ©es nominatives. Ils ont confiĂ© Ă  des «autoritĂ©s indĂ©pendantes» le mandat d’assurer le respect des droits et principes inscrits dans leur lĂ©gislation sur la protection des renseignements personnels.

Le prĂ©sent dossier vise Ă  schĂ©matiser l’état de la situation en ce qui a trait Ă  ces huit «autoritĂ©s de contrĂ´le». Il s’agit d’esquisser une prĂ©sentation sommaire de chacune de ces  institutions ou autoritĂ©s administratives. Ces tableaux mettront aussi en lumière l’évolution qui a marquĂ© la mission et les pouvoirs de ces organes de contrĂ´le.

Ces diverses institutions, dont la finalitĂ© est pratiquement identique, portent certes l’empreinte de cultures juridiques diffĂ©rentes. Elles n’en actualisent pas moins les mĂŞmes principes de base ; d’oĂą l’intĂ©rĂŞt de cette dĂ©marche qui n’entend ni verser dans le droit comparatif, ni prĂ©tendre faire oeuvre exhaustive. L’objectif est plus modeste. Il s’agit, Ă  la lumière de ces expĂ©riences francophones, de prĂ©senter des pistes de travail et de signaler des tendances Ă  ceux qui se penchent sur la possibilitĂ© de mettre en oeuvre des rĂ©gimes de protection des donnĂ©es personnelles

Haut de la pageTable des matières1. Belgique – Commission de protection de la vie privĂ©e

La Commission de protection de la vie privĂ©e (CPVP) en Belgique reprĂ©sente un cas très particulier au sein des organismes de contrĂ´le. Cette institution peut s’enorgueillir d’exister avant mĂŞme l’adoption d’une lĂ©gislation sur la protection des renseignements personnels dans ce pays. D’organisme Ă  vocation consultative, la CPVP a Ă©tĂ© hissĂ©e au rang d’organisme de contrĂ´le au moment oĂą le Parlement belge adoptait sa lĂ©gislation en ce domaine.

L’implantation de cet organisme s’est vĂ©cue dans un contexte de profonds changements constitutionnels. L’État unitaire, crĂ©Ă© en 1830, s’est transformĂ©, durant les annĂ©es 1990, en une vĂ©ritable État fĂ©dĂ©ral oĂą coexistent Wallons, Flamands et Bruxellois, de mĂŞme qu’une minoritĂ© germanophone.

Les dĂ©marches engagĂ©es sur la scène europĂ©enne, d’abord au Conseil de l’Europe, Ă  Strasbourg, puis au siège de l’Union europĂ©enne, Ă  Bruxelles, ont aussi pesĂ© sur le cheminement de la Belgique en matière de protection des donnĂ©es personnelles.

Le cheminement législatif

Le projet de crĂ©ation d’un super-fichier national de la population, Ă  la suite de la fusion de plusieurs fichiers d’identitĂ©, a incitĂ© le Parlement belge Ă  instituer, en 1982, une «commission consultative de la protection de la vie privĂ©e» qui s’est vu confier la mission de veiller au respect des droits des citoyens dans ce domaine.

En 1992, la Belgique se dote d’une loi sur le respect de la vie privĂ©e et de la protection des donnĂ©es nominatives. La crĂ©ation, en 1990, de la « Banque Carrefour de la sĂ©curitĂ© sociale » - vĂ©ritable fichier national spĂ©cialisĂ©- en a Ă©tĂ© l’un des Ă©lĂ©ments dĂ©clencheurs. Il en est de mĂŞme des mesures adoptĂ©es, en 1991, en vue de rĂ©glementer le crĂ©dit Ă  la consommation et de tenir compte des dĂ©biteurs dĂ©faillants. Le Parlement a alors pris acte des craintes formulĂ©es par les membres de la Commission consultative qui avaient mesurĂ© les limites de ce système : d’oĂą la crĂ©ation, fin 1991, de l’actuelle Commission de la protection de la vie privĂ©e, un an avant l’adoption de la loi.Note de bas de page 6

Cette loi englobe les secteurs privĂ© et public, tout Ă  la fois. Elle s’applique sur l’ensemble du territoire de la fĂ©dĂ©ration. La question des renseignements personnels et du respect de la vie privĂ©e relève de la seule autoritĂ© fĂ©dĂ©rale, situation diffĂ©rente de ce que l’on relève dans d’autres pays fĂ©dĂ©raux, Ă  commencer par le Canada.

Le Parlement belge a modifiĂ© cette loi, de façon importante, en 1998Note de bas de page 7. Ă€ l’instar des autres États-membres de l’Union europĂ©enne, la Belgique souscrit alors Ă  l’obligation de transposer dans son arsenal juridique les principes Ă©noncĂ©s dans la directive europĂ©enne de 1995Note de bas de page 8.

Un collège pluraliste

La loi de 1992 crée une commission, dotée de pouvoirs analogues à ceux qui ont été conférés aux organismes de contrôle des pays voisins. En 2003, le Parlement fédéral répond aux appels du pied lancés par la Commission elle-même, inquiète des lacunes et insuffisance de son statut. Le Parlement adopte des changements législatifs importants qui visent particulièrement la composition, les rôles et mandats de la CommissionNote de bas de page 9.

DotĂ©e du statut «d’organe collatĂ©ral» de la Chambre des ReprĂ©sentantsNote de bas de page 10, la CPVP jouit de ce fait d’une indĂ©pendance rĂ©elle, conformĂ©ment aux stipulations de la directive europĂ©enne. Elle se rapporte directement au PrĂ©sident de la Chambre et sa dotation financière Ă©marge au budget de la Commission du budget du Parlement. C’est Ă©galement Ă  la Chambre que la CPVP doit dĂ©poser son rapport annuel et soumettre son plan de gestion.

Le lĂ©gislateur a Ă©tabli, au sein de la Commission, des comitĂ©s sectoriels qui ont la responsabilitĂ© de traiter les dossiers de secteurs ou domaines spĂ©cifiques: le registre national des personnes physiques, la Banque Carrefour des entreprises, la Banque Carrefour de la sĂ©curitĂ© sociale, les donnĂ©es de santĂ© et les services publics fĂ©dĂ©raux. Un autre comitĂ© avait  Ă©tĂ© instituĂ© en 2005 pour exercer une surveillance externe sur le système d’information PHENIX (actuellement Ă  l’arrĂŞt) qui permet la circulation de donnĂ©es du domaine de la justice, y compris les dossiers judiciairesNote de bas de page 11. Enfin, en 2006, une loi a crĂ©Ă© un ComitĂ© sectoriel Statistique.

La CPVP s’est vue doter d’une structure pluraliste qui intègre un certain nombre des caractĂ©ristiques de la rĂ©alitĂ© sociale et politique de la Belgique. Les membres de la Commission – huit  permanents, autant de supplĂ©ants - sont nommĂ©s par le Parlement Ă  la proposition du gouvernement qui doit suggĂ©rer deux candidats pour chaque poste Ă  pourvoir. L’équilibre linguistique entre francophones et nĂ©erlandophones doit aussi ĂŞtre respectĂ© et la composition de la Commission doit Ă©galement  reflĂ©ter l’état de la diversitĂ© socio-Ă©conomique du pays, sans oublier les familles ou les partis politiques.

Le PrĂ©sident, aidĂ© d’un vice-prĂ©sident, doit ĂŞtre un magistrat de carrière, en dĂ©tachement durant ses fonctions Ă  la Commission. La Commission doit aussi compter dans ses rangs au moins un informaticien, un juriste et une personne qui peut justifier d’une expĂ©rience professionnelle dans la gestion des renseignements personnels dans le secteur public.

La Commission choisit elle-mĂŞme les membres de son effectif – une cinquantaine de personnes au total. Cadres et autres employĂ©s bĂ©nĂ©ficient d’un statut propre, qui se calque cependant sur les normes et standards du service fĂ©dĂ©ral. Le PrĂ©sident est responsable des services administratifs de la Commission- organisation et gestion des ressources, Ă©tudes et recherches, et relations externes- mais la gestion quotidienne est maintenant assurĂ©e par un Administrateur.

La Commission se rĂ©unit en sĂ©ance plĂ©nière aux trois semaines. C’est Ă©videmment dans les dĂ©libĂ©rations de la Commission que se concrĂ©tise la dimension collĂ©giale de cette structure oĂą le PrĂ©sident ne dispose pas de pouvoirs particuliers.

Un style original

La Commission belge vise explicitement à maintenir l’équilibre entre la protection des libertés et le développement des traitements des données à caractère personnelNote de bas de page 12.

La Commission belge reçoit et enregistre les déclarations de traitement remplies au préalable par les responsables des entreprises privées ou organismes publics. De plus, elle recourt à la médiation, explicitement prévue dans le texte de loi, en vue de trouver solution aux plaintes que lui transmettent les citoyens.

La CPVP peut ĂŞtre saisie, par l’une ou l’autre des entitĂ©s politiques de l’ensemble de la fĂ©dĂ©ration, des projets de lois, de règlements ou d’arrĂŞtĂ©s qui peuvent avoir un impact sur la protection des renseignements personnels. Ses avis sont obligatoirement intĂ©grĂ©s, en marge du projet en question, dans le Moniteur belge, gazette officielle du Royaume, en plus de figurer sur le site de la Commission. Le gouvernement peut accepter ou non les avis et recommandations de la Commission arrĂŞtĂ©s en sĂ©ance plĂ©nière. Le pouvoir de la Commission s’est raffermi Ă  la suite de quelques dĂ©cisions rendues par le Conseil d’État. Ce dernier a en effet invalidĂ© des mesures prises par le gouvernement pour n’avoir pas sollicitĂ© l’avis de la Commission.

La Commission joue un rĂ´le actif Ă  plusieurs Ă©gards. Ainsi, la plupart des recommandations sont l’’uvre d’initiatives prises par la Commission qui, avec le secrĂ©tariat, en assume la recherche prĂ©alable et la rĂ©daction.

La Commission a repris, au tout dĂ©but de la dernière campagne Ă©lectorale – les Ă©lections fĂ©dĂ©rales de juin 2007 – une initiative intĂ©ressante engagĂ©e Ă  titre prĂ©ventif. Elle a rappelĂ© une note de caractère juridique pour rappeler au personnel politique et aux candidats leurs obligations quant au respect des renseignements personnels, en plus de lancer une foire aux questions Ă  l’intention des citoyens.

La CPVP s’est attaquĂ©e, depuis quelques annĂ©es, Ă  la question du crĂ©dit personnel et des «listes noires» Ă©laborĂ©es par les crĂ©anciers. Cette question du crĂ©dit est prise en charge par une loi fĂ©dĂ©rale et la Banque nationale a reçu mandat de dresser l’historique de la totalitĂ© des prĂŞts Ă  la consommation, emprunts hypothĂ©caires compris. Ce rĂ©pertoire, accessible aux organismes de crĂ©dit, fait Ă©tat du sort de chaque prĂŞt – bonne ou mauvaise crĂ©ance - d’oĂą la possibilitĂ© de repĂ©rer les dĂ©biteurs insolvables. L’intervention et l’accompagnement de la Commission ont permis de civiliser cette pratique de la sociĂ©tĂ© de consommation.

De nouvelles voies

Devant le dĂ©ploiement de la mondialisation et des technologies de l’information (NTIC), l’affaire SWIFT reprĂ©sente le type de dĂ©marche originale et importante oĂą la CPVP s’implique avec succès. 

Ă€ la suite d’informations lancĂ©es dans certains quotidiens amĂ©ricains, la Commission a lancĂ© une enquĂŞte sur le rĂ´le de SWIFT – coopĂ©rative de transfert Ă©lectronique de transactions bancaires, installĂ©e non loin de Bruxelles. Cette sociĂ©tĂ© aurait cĂ©dĂ© aux pressions amĂ©ricaines prises dans la foulĂ©e du Patriot Act, adoptĂ© par le Congrès des États-Unis au lendemain des attentats du 11 septembre 2001. Au terme d’une enquĂŞte complexe, la Commission a conclu que cette sociĂ©tĂ©, de droit belge, a violĂ© certaines dispositions de la protection des renseignements personnels en ce qui a trait au transfert de renseignements bancaires vers les États-UnisNote de bas de page 13.Cette enquĂŞte a Ă©tĂ© menĂ©e de concert avec des organismes de contrĂ´le de certains pays de l’Union europĂ©enne. La Commission belge avait acceptĂ© de piloter le dossier qui a dĂ©bouchĂ© sur un constat de violation de la directive europĂ©enne de 1995.

De façon gĂ©nĂ©rale, la Commission belge souhaite tirer profit de son nouveau statut d’organisme collatĂ©ral de la Chambre pour envisager ses responsabilitĂ©s d’une façon plus proactive. Au lieu d’être «captive» et tributaire de facteurs extĂ©rieurs – demande d’avis, plainte des citoyens, etc. - elle souhaite prendre une sĂ©rie d’initiatives en vue de mieux remplir sa mission.

Sur la place de Bruxelles

L’évolution de l’Union europĂ©enne en matière de protection des renseignements personnels a profondĂ©ment marquĂ© le cheminement belge en la matière. Aujourd’hui, la Commission belge joue, on vient de le voir, un rĂ´le de premier plan au sein du «Groupe 29»Note de bas de page 14 qui rĂ©unit les responsables de la protection des donnĂ©es de tous les pays-membres; deux des membres de son personnel y assurent le suivi des rĂ©unions plĂ©nières et des travaux des sous-comitĂ©s. 

Sur un mode bilatĂ©ral, la CPVP offre conseils et appuis Ă  ses homologues de pays occidentaux, Ă  commencer par le Luxembourg voisin, et aux nouveaux venus au sein de l’Union europĂ©enne, comme la Roumanie. Cet accompagnement discret, la CorĂ©e du Sud  le Japon et le Burkina Faso en ont Ă©galement profitĂ©, ces dernières annĂ©es.

Dans son plan de gestion déposé au Parlement, la Commission ne fait pas mystère de ses visées dans le contexte international : elle cherche à y «occuper une place essentielle?». Bref, elle entend amplifier «la dimension internationale de ses activités, en raison de la  mondialisation des problèmes » Note de bas de page 15.

Haut de la pageTable des matières2. Canada – Commissaire Ă  la protection de la vie privĂ©e

En 1977, le Parlement fĂ©dĂ©ral du Canada jette les bases de son rĂ©gime de protection des renseignements personnels dans le secteur public et s’inscrit dans le peloton de file des États occidentaux oĂą se manifeste une vive inquiĂ©tude devant l’apparition des premiers ordinateurs gĂ©ants. D’un mĂŞme souffle, il dĂ©signe un Ombudsman pour chapeauter la surveillance de ce rĂ©gime. Le recours Ă  cette formule s’écartait des choix arrĂŞtĂ©s en Suède et dans le land de Hesse, en Allemagne fĂ©dĂ©raleNote de bas de page 16, qui avaient crĂ©Ă© un tout autre dispositif. Cette dĂ©cision allait Ă©galement Ă  l’encontre du choix effectuĂ© par Washington qui prĂ©fĂ©rait voir les tribunaux assumer cette fonctionNote de bas de page 17.

En 2000, autre surprise de taille : le PrĂ©sident de l’Association canadienne du marketing direct adresse ses fĂ©licitations au gouvernement fĂ©dĂ©ral du Canada pour avoir lĂ©gifĂ©rĂ© en matière de protection des renseignements personnels dans l’ensemble du secteur privĂ©Note de bas de page 18. Cette lĂ©gislation constitue, elle-mĂŞme, une innovation: elle est structurĂ©e autour d’un code d’autorĂ©gulation dessinĂ© par l’Association canadienne des normes.

Le cheminement législatif

La mise en place d’une lĂ©gislation en matière de protection des renseignements personnels par le Parlement fĂ©dĂ©ral du Canada dĂ©coule d’interrogations principalement menĂ©es au sein de la haute fonction publique, devant la montĂ©e en puissance de l’informatique. Ainsi, le groupe de travail mis sur pied Ă  Ottawa publie, en 1972, son rapport prĂ©cisĂ©ment intitulĂ© L’Ordinateur et la vie privĂ©eNote de bas de page 19.

La notion de renseignements personnels, dimension de la vie privĂ©e, est d’abord insĂ©rĂ©e dans la Loi canadienne sur les droits de la personne, adoptĂ©e en 1977Note de bas de page 20. C’est le prĂ©lude Ă  l’adoption d’une loi en bonne et due forme qui vise l’ensemble du secteur public fĂ©dĂ©ral Ă  travers le CanadaNote de bas de page 21. Un quart de siècle plus tard, la loi de 1982 n’a pas encore Ă©tĂ© revue et modifiĂ©e par le Parlement.

Au fil des annĂ©es, la protection des renseignements personnels s’est Ă©toffĂ©e grâce Ă  l’adoption de lignes directricespar l’OCDENote de bas de page 22 et aux travaux menĂ©s au Conseil de l’Europe, Ă  Strasbourg durant les annĂ©es 1980 et relancĂ©s au milieu des annĂ©es 1990Note de bas de page 23. La dĂ©cision de l’Union europĂ©enne d’adopter une directive majeure en 1995Note de bas de page 24 ajoute un nouvel Ă©lĂ©ment Ă  la rĂ©flexion en cours Ă  Ottawa. Dans ce mĂŞme cheminement, le QuĂ©bec avait pris les devants en AmĂ©rique du Nord en votant une lĂ©gislation pour rĂ©gir l’ensemble du secteur privĂ©Note de bas de page 25. C’est vraisemblablement le Commissaire Ă  la protection de la vie privĂ©e de l’époque qui a jouĂ© le rĂ´le dĂ©terminant dans ce dossier en recommandant  au lĂ©gislateur d’en faire autant. En 2000, le Parlement fĂ©dĂ©ral vote une loi sur la protection des renseignements personnels dans le secteur privĂ©.

La loi de 2000 ne manque pas d’innover, Ă  plus d’un titre. Il s’agit en effet d’une lĂ©gislation fondĂ©e sur le pouvoir exclusif du Parlement fĂ©dĂ©ral en ce qui a trait au commerce interprovincial. La loi sur la protection des renseignements personnels et les documents Ă©lectroniquesNote de bas de page 26 s’est modelĂ©e sur l’ensemble des dix principes du Code Ă©laborĂ© sous la direction de l’Association canadienne des normes. Cette lĂ©gislation porte aussi l’empreinte des travaux du ComitĂ© consultatif sur l’autoroute de l’information; Ă©tabli au dĂ©but des annĂ©es 1990Note de bas de page 27. Cette loi fĂ©dĂ©rale vise l’ensemble du secteur privĂ© Ă  travers tout le Canada, lĂ  oĂą les AssemblĂ©es lĂ©gislatives n’ont pas mis en place de lĂ©gislation  «essentiellement similaire»Note de bas de page 28.

Le choix d’un modèle

En novembre 2003, l’actuelle Commissaire Ă  la protection de la vie privĂ©e a dĂ», durant plus de deux longues heures, faire face au barrage de questions qui fusaient de la part des membres des quatre formations politiques du comitĂ© des Comptes des opĂ©rations gouvernementales et des prĂ©visions budgĂ©taires de la Chambre des CommunesNote de bas de page 29. Tout, ou Ă  peu près, y est passĂ© durant cette sĂ©ance qui Ă©voquait des scènes analogues au SĂ©nat des Etats-Unis. Il s’agissait en fait d’une première : la candidate du Premier ministre au poste de Commissaire Ă©tait interviewĂ©e par un comitĂ© parlementaire qui devait scruter sa candidature.

Au terme de cette Ă©preuve, la candidate est devenue «haut fonctionnaire» du Parlement»Note de bas de page 30, statut qui lui assure une rĂ©elle indĂ©pendance Ă  l’égard du gouvernement et de l’ensemble de l’appareil administratif. La Commissaire dĂ©pose ses rapports annuels au Parlement. Suite Ă  la recommandation d’un groupe consultatif indĂ©pendant sur le financement des «hauts fonctionnaires», le Parlement approuve son budget annuel.

Le lĂ©gislateur a dotĂ© le poste de Commissaire de pouvoirs analogues Ă  ceux d’un Ombudsman; aussi n’a-t-elle que le pouvoir de faire des recommandations. Elle ne dispose pas de l’arsenal de contrainte d’un tribunal. Elle peut cependant utiliser de vastes pouvoirs en vue d’obtenir les preuves nĂ©cessaires Ă  ses enquĂŞtes et vĂ©rifications. La Commissaire mise sur le prestige de son poste pour encourager le respect des deux lois. Dans ses rapports annuels, elle peut rĂ©primander les institutions fĂ©dĂ©rales rĂ©calcitrantes. Elle peut aussi rendre publique toute information relative aux pratiques des entreprises du secteur privĂ© en matière de gestion des renseignements personnels, si elle en juge l’intĂ©rĂŞt pour le grand public.

La Commissaire peut enfin porter devant la Cour fĂ©dĂ©rale les cas qui n’ont pas Ă©tĂ© rĂ©glĂ©s Ă  sa satisfaction et dans lesquels sont menacĂ©s les droits des citoyens. La presque totalitĂ© des recommandations promulguĂ©es par la Commissaire sont toutefois mises en oeuvre avant que ne s’impose la dĂ©cision de solliciter de la Cour une ordonnance exĂ©cutoire.

Avec l’appui de commissaires adjoints, la Commissaire assume la direction des quelque 130 membres du personnel de cette autoritĂ© de contrĂ´le. Le Commissariat est structurĂ© autour de sept directions : recherche,  analyse et relations avec les intervenants, enquĂŞtes et demande de renseignements, vĂ©rification et revue, sans oublier les services juridiques et des politiques, la communication et sensibilisation du grand public, ainsi que les ressources humaines et la gestion intĂ©grĂ©e.

A la canadienne

Le système canadien n’impose ni dĂ©claration de fichiers, ni demande d’autorisation des traitements. La loi fĂ©dĂ©rale de 1982 n’établit ni distinction, ni hiĂ©rarchie entre les renseignements personnels; c’est ainsi que la notion de renseignements sensibles n’y apparaĂ®t pas.

Le système canadien vise Ă  assurer aux citoyens le respect de leurs droits, objectif qui suppose de la Commissaire la mise en oeuvre de mesures correctives et de programme de sensibilisation, tout Ă  la fois. Examen des plaintes formulĂ©es par les citoyens, campagne d’information auprès de la population, tenue de vĂ©rifications : voilĂ  ce qu’on retrouve dans le coffre Ă  outils de la Commissaire et de son personnel.

Le traitement des plaintes se fait, dans la plupart des cas, Ă  la faveur de dĂ©marches informelles menĂ©es par les membres du personnel de la Commissaire. L’objectif du dialogue avec les parties consiste prĂ©cisĂ©ment Ă  aboutir Ă  une entente qui soit satisfaisante. De fait, c’est Ă  l’amiable que se règlent la plupart des 1600 plaintes fondĂ©es, portĂ©es bon an, mal an devant la Commissaire Ă  la protection de la vie privĂ©e.

La Commissaire s’est vu reconnaĂ®tre, dès 1982, un pouvoir d’initiative pour lancer vĂ©rification ou enquĂŞte, ce qui lui confère un pouvoir rĂ©el. On l’a vu, en 2006, lorsqu’une grande entreprise de notation de crĂ©dit Ă  la consommation a sollicitĂ© l’intervention des tribunaux pour empĂŞcher les enquĂŞteurs de la Commissaire de vĂ©rifier ses procĂ©dures et systèmesNote de bas de page 31.

La mise en oeuvre du rĂ©gime de protection des renseignements personnels dans l’administration publique fĂ©dĂ©rale repose sur un partage des tâches, «manière canadienne». C’est ainsi que le SecrĂ©tariat du Conseil du TrĂ©sor, l’un des organes centraux du gouvernement, est responsable de la promulgation des normes et règlements en matière de protection de renseignements personnels. L’une des directions de cette agence centrale intervient Ă  titre de conseil auprès des ministères et organismes et tient des sĂ©ances de formation Ă  l’intention du personnel. Le Ministère de la Justice conserve ses fonctions de conseiller juridique auprès du gouvernement en la matière. Enfin, le Ministère de l’Industrie – qui est Ă  l’origine de la loi sur le secteur privĂ© – conserve un rĂ´le important en ce qui a trait Ă  la reconnaissance de la valeur des lĂ©gislations Ă©tablies par les AssemblĂ©es lĂ©gislatives dans le secteur privĂ©.

La voie des initiatives

Cette manière canadienne peut paraĂ®tre complexe. Elle favorise toutefois des initiatives  plurielles. C’est ainsi que le Canada est devenu le premier pays au monde Ă  imposer «une Ă©valuation des facteurs relatifs Ă  la vie privĂ©e» (ÉVFP) Ă  tous les ministères et organismes au moment de lancer ou de modifier des programmes qui pourraient avoir un impact sur la vie privĂ©e des citoyens. Il s’agit en fait de vĂ©ritables Ă©tudes de faisabilitĂ© qui visent ultimement l’instauration d’une culture de respect de la vie privĂ©e et des renseignements personnels dans l’ensemble de l’appareil gouvernemental.

Techniques et procĂ©dures de l’ÉVFP ont Ă©tĂ© mises au point par le SecrĂ©tariat du Conseil du TrĂ©sor qui a mĂŞme dĂ©veloppĂ© un cours en ligne pour les responsables de tels projetsNote de bas de page 32. Il s’agit d’un processus multidisciplinaire qui exige la collaboration d’experts gouvernementaux, de consultants externes, de grandes sociĂ©tĂ©s d’informatique et de cabinets de comptables et de vĂ©rificateurs. Le rĂ©sultat de ces Ă©valuations doit ĂŞtre soumis Ă  la Commissaire Ă  la protection de la vie privĂ©e avant l’entrĂ©e en vigueur des nouveaux programmes. Cette dernière peut proposer des renforcements du cadre administratif ainsi que des politiques et pratiques rĂ©gissant les programmes Ă©valuĂ©s. L’objectif est Ă©videmment de prĂ©venir ou de minimiser les risques d’intrusion excessive dans la vie privĂ©e, ainsi que les abus de renseignements personnels.

Évidemment, la Commissaire lance aussi des dĂ©marches qui visent Ă  favoriser des pratiques respectueuses des droits des citoyens en matière de renseignements personnels. C’est ainsi qu’elle a mis au point une fiche de conseils pratiques en ce qui a trait aux diverses formes de surveillance – depuis la vidĂ©o camera jusqu’aux logiciels espions -  qui peuvent ĂŞtre utilisĂ©es Ă  l’encontre des travailleurs. Il en est de mĂŞme des «lignes directrices en matière d’identification et d’authentification», fort apprĂ©ciĂ©es dans un pays qui ne connaĂ®t pas de système de carte d’identitĂ© nationale, ni de registre de population.

La fédération et le monde

La Commissaire fĂ©dĂ©rale joue aussi un rĂ´le particulier auprès des organes de contrĂ´le Ă©tablis dans les entitĂ©s fĂ©dĂ©rĂ©es et dans les «territoires» de la fĂ©dĂ©ration. Avec son homologue, le Commissaire Ă  l’information, elle rĂ©unit, deux fois l’an, les dirigeants des autoritĂ©s de contrĂ´le de la fĂ©dĂ©ration canadienne. Ă€ l’égard des pays Ă©trangers, depuis le Mexique jusqu’à la Chine, sans oublier le Japon, elle accueille rĂ©gulièrement des missions de juristes et de hauts fonctionnaires engagĂ©s dans l’élaboration et la mise en oeuvre de lĂ©gislations en matière de protection des renseignements personnels.

La Commissaire a pilotĂ©, au cours des derniers mois, les travaux  qui viennent de mener Ă  l’adoption de la nouvelle mouture des lignes directrices de l’OCDE, qui visent prĂ©cisĂ©ment le renforcement et l’harmonisation de l’application transfrontière des lois de protection de la vie privĂ©eNote de bas de page 33. Dans une mĂŞme veine, elle s’est jointe, depuis quelques mois, aux juristes et experts des pays de l’Association Ă©conomique de la zone Asie-Pacifique (APEC). Ces derniers ont reçu mandat d’élaborer des lignes directrices pour la protection des renseignements personnels dans cette rĂ©gion du monde.

VoilĂ  quelques mois, le directeur des enquĂŞtes du bureau de la Commissaire et un membre des services juridiques ont participĂ© Ă  une rĂ©union du «Groupe de l’Article 29» au siège des institutions europĂ©ennes, Ă  Bruxelles. Ils ont exposĂ© aux reprĂ©sentants des 27 organes de contrĂ´le de l’Union europĂ©enne, la dĂ©marche engagĂ©e par le Canada dans ce qu’il est convenu d’appeler l’affaire SWIFTNote de bas de page 34. Cette dĂ©marche inĂ©dite illustrait concrètement le rĂ´le particulier de la Commissaire fĂ©dĂ©rale dans un dossier dĂ©licat tout droit sorti de la lutte antiterroriste engagĂ©e par les Etats-Unis au lendemain des attentats du 11 septembre 2001.

Haut de la pageTable des matières3. France – La Commission nationale de l’Informatique et des LibertĂ©s

La CNIL – VoilĂ  sans doute l’acronyme le plus connu chez les  responsables de la protection des renseignements personnels. La Commission nationale de l’Informatique et des LibertĂ©s est un organisme pionnier, au sens fort du terme. En crĂ©ant la CNIL en 1978, le Parlement français a Ă©tabli un prĂ©cĂ©dent dans le paysage politique de la Ve RĂ©publique. Il venait d’instituer la première des AutoritĂ©s administratives indĂ©pendantes (AAI)Note de bas de page 35.

L’adoption par l’AssemblĂ©e nationale de la loi de 1978 sur «l’informatique et les libertĂ©s» et la mise sur pied de la CNIL concrĂ©tisaient une rĂ©ponse institutionnelle Ă  la perception du problème que dessinait l’apparition de la première gĂ©nĂ©ration des «ordinateurs gĂ©ants», selon l’expression du moment. La sonnette d’alarme avait Ă©tĂ© activĂ©e peu de temps auparavant par un texte publiĂ©, en 1974, dans le quotidien Le MondeNote de bas de page 36. Le projet de crĂ©ation d’un super fichier de l’ensemble de la population française, doublĂ© de l’attribution d’un identifiant unique Ă  chaque citoyen, avait profondĂ©ment inquiĂ©tĂ© un certain nombre de hauts fonctionnaires et quelques intellectuels. L’affaire SAFARI avait d’abord entraĂ®nĂ© la crĂ©ation d’une commission de travail qui devait proposer au gouvernement l’élaboration de la loi de 1978.

Le cheminement législatif

La loi française de 1978 ne manque pas d’impressionner les observateurs et les juristes. Elle englobe les secteurs public et privĂ© et vise toutes les informations qui permettent d’identifier une personne et la distinguer d’une autre. Elle place sous l’autoritĂ© d’un collège original – la CNIL – la surveillance et le contrĂ´le des dispositions nombreuses qui Ă©tablissent un vĂ©ritable rĂ©gime de «traitement des donnĂ©es » et d’utilisation des fichiers de renseignements personnels.

C’est Ă  la suite de l’adoption en 1995, par l’Union europĂ©enne, d’une directive sur les renseignements personnelsNote de bas de page 37 que le Parlement français modifiera substantiellement, en 2004, sa loi originale, sans pour autant changer la nature de la CNIL.

La loi de 2004 comporte des dispositions majeures qui orientent l’activitĂ© et les prĂ©occupations de la CNIL vers de nouveaux chantiers. C’est le cas notamment du pouvoir de sanctions pĂ©cuniairesNote de bas de page 38. Cette mesure est lourde de consĂ©quences : la CNIL a le pouvoir d’imposer des sanctions financières qui peuvent, en cas de rĂ©cidive, atteindre 5% du chiffre d’affaires de l’entreprise incriminĂ©e.

Une institution collégiale

VĂ©ritable institution collĂ©giale, la CNIL constitue, d’une certaine façon, un microcosme du système politique français. Cette institution reflète et traduit le pluralisme des pouvoirs publics de la France. Du PrĂ©sident de la RĂ©publique au Conseil Ă©conomique et social, sans oublier le Conseil d’État, ni la Cour de cassation ou la Cour des comptes, les diverses instances dĂ©signent, ou choisissent par scrutin, un certain nombre des 17 membres de la CNIL qui hĂ©ritent d’un mandat de 5 ans.

En tant qu’AutoritĂ© administrative indĂ©pendante, la CNIL jouit d’une marge de manoeuvre apprĂ©ciable. «(Le gouvernement) n’exerce donc en principe (...) ni tutelle, ni pouvoir hiĂ©rarchique»Note de bas de page 39. Certes, la CNIL est saisie, par le gouvernement, des projets de lois ou de règlements qui pourraient avoir un impact sur la protection des donnĂ©es ou le respect de la vie privĂ©e. Ses avis, transmis au Parlement et rendus publics, sont souvent repris dans les mĂ©dias. Ils ne lient pas le gouvernement. Ce dernier maintient cependant un lien avec la CNIL grâce Ă  la prĂ©sence d’un reprĂ©sentant qui ne participe pas aux dĂ©libĂ©rations de la Commission.

Les membres de la CNIL Ă©lisent leur PrĂ©sident, qui compte sur l’appui de deux vice-prĂ©sidents, Ă©galement Ă©lus. C’est Ă  la faveur de deux ou trois rĂ©unions plĂ©nières mensuelles que s’arrĂŞtent les dĂ©cisions, avis ou recommandations de la CNIL. C’est Ă  ce niveau que se concrĂ©tise la dimension collĂ©giale de cet organisme. De plus, chacun des membres du collège se voit confier la responsabilitĂ© d’un secteur d’activitĂ©s - affaires Ă©conomiques, affaires sociales, affaires culturelles, justice, sĂ©curitĂ©, collectivitĂ©s territoriales, travail, santĂ©, etc. Chacun agit comme reprĂ©sentant de la CNIL Ă  l’extĂ©rieur et comme rapporteur devant l’ensemble de la Commission. Enfin, le PrĂ©sident, les deux vice-prĂ©sidents et trois autres membres Ă©lus par leurs pairs composent la «formation restreinte» de la CNIL qui, en vertu de la loi de 2004, prend en charge le nouveau volet des sanctions.

La permanence de la CNIL est assumĂ©e par un personnel, recrutĂ© par elle-mĂŞme, agents contractuels de l’État ou dĂ©tachĂ©s de la fonction publique. Ce personnel est rĂ©parti entre les trois directions Ă©tablies au sein de la CNIL – direction des affaires juridiques, internationales et de l’expertise, direction des relations avec les usagers et des contrĂ´les, direction des ressources humaines, financières et administratives - et deux services : communication externe et interne, information et documentation. Les membres de ce personnel prĂ©parent les dossiers sur lesquels les Commissaires devront se prononcer. Ils assument le contact quotidien avec les citoyens, organismes et entreprises de l’ensemble du pays, ainsi qu’avec leurs homologues de l’Union europĂ©enne et des pays tiers.

L’empreinte de la CNIL

La CNIL doit assurer le respect des règles et principes Ă©dictĂ©s en vue de protĂ©ger les libertĂ©s individuelles et la vie privĂ©e des citoyens. ConformĂ©ment Ă  la loi de 1978, elle a mis en oeuvre une sĂ©rie de procĂ©dures qui imposent la dĂ©claration prĂ©alable des traitements ou manipulations de donnĂ©es Ă  caractère sensible (religion, appartenance syndicale, origine ethnique, etc.) et la constitution d’un «fichier des fichiers» qui rĂ©pertorie l’ensemble de ces dĂ©clarations.

Afin de ne pas confiner Ă  la bureaucratie le mandat d’encadrement des traitements, le lĂ©gislateur a confĂ©rĂ© Ă  la CNIL un pouvoir rĂ©glementaire. C’est ainsi qu’environ 80% des traitements de donnĂ©es les plus courants sont soumis Ă  une dĂ©claration simplifiĂ©e. Les autres projets de traitement de donnĂ©es du secteur public Ă©taient Ă  l’origine soumis Ă  l’avis favorable de la CNIL. Sous l’emprise de la loi de 2004, ce rĂ©gime de dĂ©claration prĂ©alable est maintenu, mais il est assorti de nombreuses possibilitĂ©s d’exonĂ©rations. Par contre, les responsables de fichiers, publics ou privĂ©s, doivent obtenir l’assentiment ou l’avis prĂ©alable de la CNIL avant de procĂ©der aux traitements de donnĂ©es dits «à risques» qui pourraient entraĂ®ner des consĂ©quences graves pour les personnes.

La Commission s’est rapidement signalĂ©e par la formulation d’une doctrine inĂ©dite qui constitue un acquis important et dont s’inspirent les tribunaux en France, voire mĂŞme certains pays tiers. Ce corps de doctrine dĂ©veloppe les principes de base qui doivent rĂ©gir la protection des donnĂ©es nominatives et assurer le respect de la vie privĂ©e.

Cette doctrine rĂ©sulte, en partie, de l’examen de projets de traitement de donnĂ©es et de certaines plaintes dont la CNIL a Ă©tĂ© saisie. Elle dĂ©coule aussi des activitĂ©s de veille poursuivies au fil des annĂ©es. C’est sans doute l’émergence de nouvelles technologies qui permet de mieux saisir cet aspect du travail de la CNIL. L’expertise de la commission s’est dĂ©ployĂ©e, dès 2003, dans un examen attentif de la question de la radiolocalisation (RFID)Note de bas de page 40 et, en 2005, en ce qui concerne les nanotechnologies. Il faut y lire au-delĂ  du fruit du travail des opĂ©rations de contrĂ´le menĂ©es par les ingĂ©nieurs informatiques que la CNIL compte dans son personnel, une capacitĂ© prospective dĂ©veloppĂ©e Ă  partir d’une longue expĂ©rience collective et pluridisciplinaire.

Dans le sillage de la mise en place de divers services de géolocalisation, la CNIL a été amenée à préciser la marge de manoeuvre dont pouvaient disposer les entreprises dans leur souhait de recourir à ces instruments pour contrôler, dans le cas des assureurs, la vitesse des jeunes conducteurs, ou encore le travail effectivement consenti par les camionneurs au long cours.

De mĂŞme, les droits des mineurs ont pu faire l’objet d’une actualisation grâce Ă  la synthèse des observations dĂ©gagĂ©es lors de la cueillette sur internet de renseignements personnels auprès des enfants, ainsi qu’en ce qui concerne l’ouverture de services de suivi de mineurs dotĂ©s d’un tĂ©lĂ©phone portable. Ces rĂ©flexions de la CNIL ont cheminĂ© jusqu’à leur intĂ©gration dans divers avis adoptĂ©s par l’ensemble de leurs homologues sur le plan europĂ©en.Note de bas de page 41.

Cette doctrine a peu a peu pénétré les cercles juridiques concernés. Certains de ces éléments ont été invoqués devant les tribunaux, notamment le Conseil d’État, instance suprême en matière de doit administratif, qui a validé ou confirmé bon nombre des thèses énoncées par la CNILNote de bas de page 42.

De façon peut-ĂŞtre plus spectaculaire, la CNIL a lancĂ© certaines initiatives qui ont frappĂ© l’imagination populaire. Ainsi, en 2002, l’opĂ©ration «boĂ®te Ă  spams» a permis de recueillir, en moins de trois mois, quelque 325.000 courriels non-sollicitĂ©sNote de bas de page 43. C’était illustrer un flĂ©au du marketing Ă©lectronique, dĂ©marche qui a contribuĂ© Ă  justifier les initiatives du Parlement europĂ©en en la matière.

Nouvelles voies

Sur un mode pĂ©dagogique, la CNIL a profitĂ© de l’adoption de la rĂ©forme de la loi  pour promouvoir la fonction de «correspondant informatique et libertĂ©s» (CIL). Toutes les entitĂ©s visĂ©es par la loi sont dĂ©sormais invitĂ©es Ă  se doter d’un correspondant qui a mandat de favoriser, dans son milieu, le respect de la loi, en Ă©change d’un allègement apprĂ©ciable des formalitĂ©s de dĂ©claration prĂ©alables de traitements ou de fichiers. Ce correspondant, qui n’est pas le maĂ®tre des fichiers ou le responsable des traitements informatiques, bĂ©nĂ©ficie d’une protection d’ordre juridique pour exercer ses fonctions conseils en toute indĂ©pendance. La CNIL a dĂ©jĂ  constituĂ© un rĂ©seau de ses correspondants et met peu Ă  peu en place une sĂ©rie d’activitĂ©s concrètes en vue de donner sens et poids Ă  cette fonction en amont.

La CNIL procède aussi Ă  des tournĂ©es rĂ©gionales destinĂ©es Ă  Ă©tablir un contact direct avec les entreprises et autres entitĂ©s qui colligent et utilisent des donnĂ©es personnelles. Le site Internet de la CNIL a dĂ©jĂ  retenu l’attention par ses innovations et par ses rubriques qui visent tout aussi bien l’information que la sensibilisation des citoyens.

Sur la scène internationale

La CNIL est intervenue tĂ´t sur la scène internationale. Elle a d’abord attirĂ© l’attention sur la question du transfert de donnĂ©es personnelles d’un État Ă  l’autre, lors de l’affaire FIAT, fin des annĂ©es 80Note de bas de page 44. La CNIL a, dès lors, esquissĂ© les principes de base qui ont largement inspirĂ© les dispositions de la directive europĂ©enne rĂ©gissant le transfert de renseignements personnels au-delĂ  de l’Union.

La CNIL joue Ă©galement un rĂ´le conseil important auprès de certaines commissions nationales Ă  la recherche d’exemples ou d’appuis. Ce rĂ´le a Ă©tĂ© exercĂ© lors de l’adhĂ©sion de nouveaux membres Ă  l’Union europĂ©enne. MĂŞme chose en ce qui concerne juristes et politiques de pays du Sud interpellĂ©s par la problĂ©matique de la protection des renseignements personnels.

Enfin, au sein de la « confĂ©rence internationale des commissaires Ă  la protection des donnĂ©es et Ă  la vie privĂ©e», instituĂ©e au dĂ©but des annĂ©es 80, la CNIL exerce une influence manifeste. Ainsi, «l’initiative de Londres» lancĂ©e, en novembre 2006, Ă  l’instigation du prĂ©sident Alex TurkNote de bas de page 45, a Ă©tĂ© soutenue par une dizaine de commissaires de diffĂ©rents États. Cette proposition vise, face au double dĂ©fi posĂ© par l’accĂ©lĂ©ration des nouvelles technologies et la vague de normes en matière de sĂ©curitĂ©, Ă  lancer des initiatives coordonnĂ©es notamment d’information, de communication et d’expertise. De mĂŞme, elle englobe les travaux qui devraient mener Ă  la reconnaissance effective d’un droit universel Ă  la protection des donnĂ©es personnelles. Note de bas de page 46.

Haut de la pageTable des matières4. Luxembourg – Commission nationale  pour la  protection des donnĂ©es

Le Grand DuchĂ© de Luxembourg est venu tĂ´t et tardivement, tout Ă  la fois, Ă  la mise en place d’un rĂ©gime de protection des renseignements personnels. Ce petit pays figure en effet parmi les premiers États qui ont activement pris part, au cours des annĂ©es 1970, aux travaux du Conseil de l’Europe en vue du dĂ©veloppement de règles spĂ©cifiques pour protĂ©ger la vie privĂ©e et de faire adopter des lois nationales pour prĂ©server l’espace de libertĂ© des individus face au dĂ©fi informatique. Il aura cependant  fallu attendre  presqu’un quart de siècle avant que soit installĂ© un organe de contrĂ´le indĂ©pendant pour assurer le respect des principes de la loi novatrice de 1979.

Ce paradoxe s’inscrit  dans la rĂ©alitĂ© d’un pays qui ne fait pas un demi-million de citoyens, mais qui abrite le siège du plus grand groupe sidĂ©rurgique et l’une des grandes places financières d’Europe, si ce n’est du monde. L’histoire du Luxembourg en matière de protection des donnĂ©es nominatives reflète  une rĂ©elle volontĂ© politique d’assurer aux citoyens le respect de leur vie privĂ©e, tout en tenant compte des impĂ©ratifs du dĂ©veloppement Ă©conomique très particulier. Cette conciliation dĂ©licate, mais omniprĂ©sente se vit Ă  l’heure des directives europĂ©ennes adoptĂ©es Ă  Bruxelles depuis un bon moment dĂ©jĂ .

Le cheminement législatif

C’est dans le sillage de la France que s’inscrit la dĂ©cision du Parlement luxembourgeois d’adopter, fin 1979, une loi sur la protection des donnĂ©es nominatives. Cette lĂ©gislation est très rigoureuse : elle est structurĂ©e autour du principe de l’interdiction de la collecte de renseignements personnels, sauf autorisation prĂ©alable.

Cette loi connait une première rĂ©vision en 1992Note de bas de page 47. C’est Ă  ce moment que s’engagent Ă  Bruxelles les travaux en vue de l’adoption de la directive de l’Union europĂ©enne qui modifiera radicalement le tableau de la protection des renseignements personnels sur le Vieux continent certes, mais ailleurs dans le mondeNote de bas de page 48. Le gouvernement luxembourgeois veut, entre autres, souscrire aux règles sur les transferts de renseignements personnels d’un État Ă  l’autre adoptĂ©es par le Conseil de l’Europe en 1980Note de bas de page 49.

En 2002, le Luxembourg remanie profondĂ©ment la loiNote de bas de page 50 de 1992 pour s’acquitter des obligations que lui avaient imposĂ©es, en 1995, la directive europĂ©enne. Il faut rappeler que la Cour europĂ©enne de justice avait condamnĂ© le Grand-duchĂ© pour n’avoir pas traduit en droit national dans le dĂ©lai prĂ©vu les dispositions de cette directive contraignante pour tous les États-membres de l’Union europĂ©enne.

Le mouvement s’accĂ©lère lorsqu’en fĂ©vrier 2007, le gouvernement annonce qu’il saisira la Chambre des dĂ©putĂ©s d’un projet de loiNote de bas de page 51 qui vise une transformation significative de la lĂ©gislation entrĂ©e en vigueur tout juste trois ans auparavant. Ce projet rĂ©pond en fait aux recommandations formulĂ©es par l’organe de contrĂ´le en vue de la simplification des formules administratives et de la clarification de certaines difficultĂ©s d’application.

L’organe de contrĂ´le luxembourgeois

Au printemps 2002, les quotidiens luxembourgeois publiaient dans leur rubrique «offres d’emploi» un appel de candidatures pour les trois postes de la nouvelle Commission nationale pour la protection des donnĂ©es (CNDP). L’avis prĂ©cisait que les candidats devaient ĂŞtre juristes ou informaticiens de formation. Parmi les candidats retenus Ă  la suite d’une première sĂ©lection, le Ministre des MĂ©dias et de la Communication a soumis ses choix au gouvernement. Finalement, c’est le Grand Duc lui-mĂŞme, en sa qualitĂ© de Chef de l’État, qui a entĂ©rinĂ© la nomination du PrĂ©sident de la commission et des deux autres commissaires.

La nouvelle commission prenait en fait le relais d’un organe consultatif, Ă©tabli en 1979, au moment de l’adoption de la première loi sur la protection des donnĂ©es Ă  caractère personnel, mais qui n’avait jamais jouĂ© de rĂ´le significatif. Faut-il prĂ©ciser que le lĂ©gislateur n’avait alors prĂ©vu aucun effectif, ni appui administratif pour cette organisation?

Nantis d’un mandat de six ans, les Commissaires luxembourgeois sont pourvus de membres supplĂ©ants. Sous l’autoritĂ© administrative du PrĂ©sident, ils dĂ©cident collĂ©gialement de l’accomplissement de leur mission et de la suite Ă  donner aux dossiers et projets qui relèvent de leurs attributions. La Commission est statutairement rattachĂ©e au gouvernement par l’intermĂ©diaire du Ministre des MĂ©dias et de la Communication. Ce contrĂ´le ministĂ©riel se limite essentiellement aux questions budgĂ©taires et Ă  la nomination et au statut de ses fonctionnaires.

Première dĂ©marche,  la nouvelle commission a dĂ» procĂ©der au recrutement de son personnel au sein mĂŞme de la fonction publique, en fonction d’une Ă©chelle prĂ©cisĂ©e dans la loi elle-mĂŞme. Une dizaine de personnes composent aujourd’hui les effectifs de cet organe de contrĂ´le.

Initiative originale, le lĂ©gislateur a confiĂ© l’examen du rapport annuel de la CNPD Ă  la «Commission consultative des droits de l’Homme» qui regroupe des reprĂ©sentants des organisations de la sociĂ©tĂ© civile particulièrement concernĂ©s par la dĂ©fense des libertĂ©s fondamentales et la lutte contre les discriminations, dont, Ă  titre d’exemple, Amnesty International. Cette commission, qui conseille le gouvernement chaque fois que des questions de droits de l’homme sont en jeu, joue, entre autres, le rĂ´le de «chien de garde» de la CNPD. A ce titre, elle a Ă©mis, en 2005, un rapport qui approuve les orientations de la Commission nationale de protection des donnĂ©es nominatives, Ă©noncĂ©es dans son premier rapport annuel Note de bas de page 52.

Le style Grand Duché.

En dĂ©cembre 2005, un grand nombre de familles du Luxembourg ont reçu par la poste un calendrier très particulier. Il s’agissait d’une initiative de la CNDP pour favoriser, sur un mode simple et intriguant tout Ă  la fois, une dĂ©couverte et une appropriation des objectifs et principes de la lĂ©gislation sur la protection des renseignements personnels. La Commission avait d’ailleurs  engagĂ©, dès ses dĂ©buts,  une campagne de sensibilisation bien ciblĂ©e grâce Ă  des rencontres d’information avec les diffĂ©rents secteurs de l’activitĂ© Ă©conomique et commerciale.

Cette dĂ©marche mettait ainsi en lumière l’un des moyens d’action de la Commission. Lorsque leurs droits en la matière  semblent menacĂ©s, les citoyens sont eux aussi  invitĂ©s Ă  s’adresser Ă  la Commission qui peut alors instituer une enquĂŞte. Ces enquĂŞtes donnent  Ă©ventuellement lieu Ă  des sanctions de type administratif, mais la Commission favorise une approche conciliatrice et pĂ©dagogique, tout Ă  la fois.

C’est dans cet esprit que la CNPD accompagne  de nouveaux chantiers qui vont de la mise en place de ce qu’on dĂ©signe sous l’anglicisme d’e-government Ă  l’adoption d’une carte santĂ© de type VITALENote de bas de page 53, Ă©tape prĂ©alable Ă  l’accès centralisĂ© pour les mĂ©decins aux renseignements relatifs Ă  leurs patients.

La CNPD se penche aussi sur la question du projet  de rĂ©forme  du matricule d’identitĂ© attribuĂ© depuis 1979 Ă  chaque citoyen du Grand DuchĂ©, rĂ©forme qui s’impose devant les dangers de dĂ©rive de ce système. En plus de limiter l’utilisation de cet identifiant Ă  ses fins propre, la loi autorisera, grâce Ă  des outils technologiques testĂ©s en Autriche,  la mise au point d’identifiants  sectoriels dĂ©rivĂ©s du matricule national, mais qui ne  permettront pas l’interconnexion des fichiers, Ă  moins d’une autorisation expresse de la CNPD elle-mĂŞme.

La Commission peut intervenir dans de tels domaines, de sa propre initiative ou lorsque saisie, conformĂ©ment d’ailleurs Ă  la directive de l’Union europĂ©enne, par le gouvernement Ă  l’égard de projets de loi ou de règlements  qui risquent d’avoir des impacts sur la protection des donnĂ©es nominatives.  Les avis et recommandations de la Commission sont automatiquement insĂ©rĂ©s dans la documentation remise aux Parlementaires, lors du dĂ©pĂ´t de chaque projet de loi.

La CNPD s’est  rapidement heurtĂ© Ă  un problème de taille qui l’a incitĂ©e Ă  prĂ©coniser une simplification significative des dĂ©marches administratives prĂ©vues par la loi. En moins de trois ans, plus de 10.000 dossiers se sont en effet accumulĂ©s sur les bureaux de la Commission. Dans la très grande majoritĂ© des cas, cette avalanche dĂ©coulait de l’obligation, pour les entreprises et organismes, de dĂ©clarer l’existence de fichiers de renseignements personnels ou d’obtenir l’autorisation prĂ©alable de la Commission avant de mettre en oeuvre le traitement de ces donnĂ©es. La Commission mettait l’accent surtout sur l’information du public, sur la «guidance» des responsables de fichiers et la promotion des bonnes pratiques et, s’il le faut, sur l’assistance Ă  apporter aux citoyens dĂ©sireux d’exercer les droits qui leur sont reconnus par la loi.

Les Commissaires ont alors dégagé des conclusions importantes. Ils ont recommandé au gouvernement de réviser en profondeur la loi de 2002, ce qui a contribué à la mise au point du projet de loi déposé à la Chambre des députés en février 2007.

Une réorientation majeure

Le projet de loi suscrit, semble-t-il, aux deux grands objectifs visĂ©s par les membres de la Commission. Il s’agit, dans un premier temps, de rĂ©duire les formalitĂ©s administratives  et les procĂ©dures lourdes hĂ©ritĂ©es des lois dites de première gĂ©nĂ©ration dans le domaine de la protection des renseignements personnels. Tout le volet relatif  dĂ©clarations et autorisations prĂ©alables sera considĂ©rablement allĂ©gĂ©. Ne subsistera que l’obligation de dĂ©clarer Ă  la CNPD «les traitements de donnĂ©es comportant vĂ©ritablement des risques particuliers»Note de bas de page 54. C’est rĂ©pondre de façon pragmatique au constat simple établi par la Commission: toutes ces mesures n’apportent aucune valeur ajoutĂ©e Ă  la mise en place d’une vĂ©ritable culture du respect de la vie privĂ©e.

Du mĂŞme souffle, les membres de la Commission veulent enrichir et Ă©largir leur dĂ©marche pĂ©dagogique et pratiquer une forme de «guidance» et de sensibilisation auprès des responsables de fichiers aussi bien dans le secteur privĂ© que dans l’administration publique. Ă€ l’égard des citoyens, le pari rĂ©pond Ă  un objectif similaire : «crĂ©er ou amĂ©liorer la confiance (...), ĂŞtre une force de propositions, un centre de compĂ©tence qui apporte des solutions dans le domaine de la protection des donnĂ©es», selon les termes mĂŞmes de l’actuel PrĂ©sident de la CommissionNote de bas de page 55.

La dĂ©marche du CNDP s’inscrit aussi dans la pratique gouvernementale affichĂ©e de «maintenir l’attractivitĂ© du site luxembourgeois et d’éviter qu’une rĂ©gulation excessive ne joue un rĂ´le dissuasif pour les groupes internationaux dĂ©sireux de venir s’implanter au Grand-Duché»Note de bas de page 56.

Au coeur de l’Europe

Bref, la Commission nationale pour la protection des donnĂ©es a d’abord tirĂ© parti de l’expĂ©rience de ses voisins, Allemands, Belges et Français, entre autres. Elle tente maintenant de faire valoir sa diffĂ©rence en s’engageant dans une voie originale, axĂ©e sur la communication et la collaboration constructive., singulière mĂŞme. Elle maintient le cap sur les grandes orientations Ă©tablies Ă  Bruxelles et Ă  Strasbourg. A preuve, l’éclat donnĂ© Ă  la «journĂ©e europĂ©enne de la protection des donnĂ©es personnelles», initiative du Conseil de l’Europe Note de bas de page 57qui  a fait du 28 janvier un temps fort oĂą les EuropĂ©ens sont amenĂ©s Ă  rĂ©flĂ©chir sur cette dimension de leurs droits.

Au sein de l’association internationale des commissaires Ă  la vie privĂ©e, l’organe de contrĂ´le du Grand DuchĂ© a fait sien le mot d’ordre lancĂ© lors du Sommet de novembre 2006 tenu Ă  Londres : la stratĂ©gie de communication constitue «le plus grand enjeu et le principal chantier actuel» en ce qui a trait Ă  la protection des donnĂ©es nominatives.

Haut de la pageTable des matières5. Nouveau Brunswick – Bureau de l’Ombudsman

A l’entrĂ©e en vigueur de la Loi sur la protection des renseignements personnels (LPRP),en 2001, c’est l’Ombudsman de la Province qui se voit confier la responsabilitĂ© d’en assurer le respect dans l’ensemble de l’administration gouvernementaleNote de bas de page 58. Il ajoute Ă  ses fonctions la supervision de la Loi sur l’accès Ă  l’information, en vigueur, elle, depuis 1980Note de bas de page 59.

Au printemps 2007, le Groupe de travail sur la rĂ©vision du droit Ă  l’information et de la protection des renseignements personnels lance un appel aux citoyens de cette province et les invite Ă  transmettre commentaires et suggestions sur un site WEB crĂ©Ă© Ă  cette finNote de bas de page 60. Au mĂŞme moment, le Groupe de travail sur les renseignements personnels sur la santĂ© lance ses travaux de consultation du grand public. Une seule phrase rĂ©sume le but de cette dĂ©marche : «Le gouvernement du Nouveau-Brunswick estime qu’il est temps d’avoir une loi plus sĂ©vère (...) afin de protĂ©ger la confidentialitĂ© des renseignements personnels sur la santé»Note de bas de page 61.

En somme, la dernière province Ă  s’être dotĂ©e d’une lĂ©gislation en matière de renseignements personnels remet sur la planche Ă  dessin une loi qui n’a pas encore franchi le cap des dix ans.

Le cheminement législatif

Le Nouveau Brunswick avait Ă©tĂ© la deuxième province Ă  mettre en place une loi d’accès Ă  l’information Ă  la fin des annĂ©es 70. En matière de protection des renseignements personnels, cette mĂŞme province est lanterne rouge au sein de la fĂ©dĂ©ration canadienne.

Dès 1995, le gouvernement de Fredericton avait pourtant incitĂ© les entreprises et les ministères et organismes Ă  s’engager rĂ©solument et de façon volontaire en matière de protection des renseignements personnels. Cette approche volontariste, selon l’expression utilisĂ©e Ă  l’époque, Ă©tait pilotĂ©e par le Ministère du dĂ©veloppement Ă©conomique.

A l’évidence, le gouvernement de Fredericton misait sur la dĂ©marche, de type autorĂ©gulation, engagĂ©e Ă  Ottawa, sous l’impulsion du ministère fĂ©dĂ©ral de l’Industrie, qui allait mener Ă  l’adoption du code de l’Association canadienne des normes (ACN). Il  suivait aussi avec intĂ©rĂŞt ce qui se prĂ©parait aussi bien dans la capitale fĂ©dĂ©rale qu’au siège des institutions europĂ©ennes, Ă  Bruxelles

A la fin des annĂ©es 1990, le gouvernement change d’attitude et opte en faveur d’une lĂ©gislation en bonne et due forme – La loi sur la protection des renseignements personnels (LPRP). «La LPRP, signale l’Ombudsman dans une dĂ©cision rendue en 2006, a Ă©tĂ© Ă©dictĂ©e notamment pour aider le gouvernement du Nouveau-Brunswick et les autoritĂ©s canadiennes en gĂ©nĂ©ral Ă  convaincre leurs partenaires commerciaux, surtout en Europe, que les Ă©changes commerciaux pouvaient donner lieu Ă  la circulation transfrontalière  des donnĂ©es sans que soit remis en cause le niveau de protection de la vie privĂ©e qui est garanti Ă  leurs citoyens»Note de bas de page 62.

C’est le code de l’ACN qui a servi de pilier Ă  la loi prĂ©sentĂ©e par le gouvernement Ă  l’AssemblĂ©e lĂ©gislative du Nouveau Brunswick, en 1998. Il s’agit sans doute de l’un des plus brefs documents du genre : 10 articles et, en annexe, le code de l’ACN et un guide d’interprĂ©tation de ce code. La nouvelle loi, entrĂ©e en vigueur en 2001, ne vise que le secteur public. Elle donne une valeur juridique au code Ă©laborĂ© par les reprĂ©sentants de l’entreprise privĂ©e.

En ce qui a trait au secteur privĂ©, il est soumis, en l’absence de lĂ©gislation provinciale, Ă  la loi Ă©dictĂ©e par le Parlement fĂ©dĂ©ral en 2001. C’est le Commissaire fĂ©dĂ©ral Ă  la protection de la vie privĂ©e qui en assure le respect et agit comme ombudsman Ă  l’égard des plaintes et litiges qui pourraient surgir dans l’ensemble du Nouveau-Brunswick.

Un ombudsman pluriel

En dĂ©signant l’ombudsman pour assurer le respect de la nouvelle loi sur la protection des renseignements personnels dans le secteur public, l’AssemblĂ©e lĂ©gislative du Nouveau-Brunswick s’est inspirĂ©e du choix arrĂŞtĂ© par le Manitoba, quelques annĂ©es plus tĂ´t. Elle souscrivait aussi au jumelage «accès Ă  l’information, protection des renseignements personnels», qui s’est imposĂ© dans toutes les autres provinces de la fĂ©dĂ©ration canadienne, depuis le prĂ©cĂ©dent Ă©tabli par le QuĂ©bec en 1982.

L’ombudsman a hĂ©ritĂ©, depuis la crĂ©ation de ce poste, en 1967, de plusieurs mandats. Il intervient Ă  la demande des citoyens dans les problèmes Ă©prouvĂ©s dans l’ensemble de l’appareil public, y compris les municipalitĂ©s. Il agit aussi comme dĂ©fenseur des droits des enfants. Il s’acquitte de ses multiples mandats en misant sur l’autoritĂ© morale de cette fonction dont il est investi par l’AssemblĂ©e lĂ©gislative. Il a rang de «haut fonctionnaire» de la chambre et rend ses comptes aux parlementaires dont il est en quelque sorte le mandataire.

Il dispose d’un bureau relativement modeste pour assumer les diffĂ©rents mandats qui lui ont Ă©tĂ© confiĂ©s depuis 40 ans : 14 collaborateurs et un conseiller juridique. Trois des membres de son personnel sont affectĂ©s Ă  temps partiel au traitement des dossiers aussi bien de l’accès Ă  l’information que de la protection des renseignements personnels.

Enfin, au bureau du Conseil exĂ©cutif – cadre supĂ©rieur de l’appareil dĂ©cisionnel de la fonction publique qui relève du Premier ministre -, une personne assume la responsabilitĂ© de la mise en oeuvre de la loi sur la protection des renseignements personnels dans l’ensemble de l’appareil administratif. Ce fonctionnaire informe et conseille les reprĂ©sentants des diffĂ©rents ministères et agences responsables de l’application de la loi.

Façons de faire

L’ombudsman n’a enregistrĂ© que fort peu de plaintes depuis qu’il assume cette nouvelle fonction. Par contre, en quelques mois, deux coups d’éclat ont attirĂ© l’attention des mĂ©dias et du grand public en matière de protection des renseignements personnels. Et pour cause, l’une des  interventions de l’Ombudsman a entraĂ®nĂ© la dĂ©mission d’un ministre!

A peine entrĂ© en fonction, le nouveau titulaire de la fonction d’ombudsman a confiĂ© Ă  un juge Ă  la retraite le soin d’examiner la plainte formulĂ©e par un dĂ©putĂ© de l’Opposition contre une ministre du gouvernement. Cette dernière avait dĂ©voilĂ© des renseignements personnels au sujet de l’un des membres de l’Opposition aussi bien Ă  l’intĂ©rieur qu’à l’extĂ©rieur de la Chambre. Au terme de son enquĂŞte, le juge a conclu que la ministre n’avait pas respectĂ© trois des principes de base du code de l’ACN intĂ©grĂ© dans la loi de 1998Note de bas de page 63. Dans les heures qui ont suivi, la ministre a prĂ©sentĂ© sa dĂ©mission Ă  la grande surprise des observateurs.

Dans un domaine analogue, l’Ombudsman s’est lui-mĂŞme saisi d’une plainte portĂ©e par le chef de l’Opposition officielle contre le ministre des Transports et le bureau du Premier ministre. Dans une dĂ©cision minutieusement rĂ©digĂ©e, l’Ombudsman en arrive Ă  la conclusion que deux sous-ministres n’avaient pas respectĂ© un des principes du code de pratique statutaire  de la Loi sur la protection des renseignements personnels. A la toute fin de son propos, il s’inquiète surtout de l’utilisation, Ă  des fins partisanes, de cette nouvelle loi. D’oĂą l’intĂ©rĂŞt soulevĂ© par ce rapport d’enquĂŞte, rendu public Ă  l’encontre de la rĂ©serve pratiquĂ©e par les titulaires de la fonction d’ombudsman.

Perspectives d’avenir

L’actuel ombudsman du Nouveau-Brunswick attend Ă©videmment les rĂ©sultats des groupes de rĂ©vision de la loi de 1998. Rien ne laisse prĂ©voir, semble-t-il, des recommandations en faveur de l’adoption d’une lĂ©gislation qui couvrirait le secteur privĂ©. Qu’en sera-t-il du mandat de l’ombudsman Ă  l’égard de l’actuelle loi sur le secteur public?

Dans l’attente de ces rĂ©ponses, l’ombudsman propose un programme ambitieux de rĂ©forme lĂ©gislative. Il recommande d’établir un nouveau Code des droits Ă  l’information et au respect de la vie privĂ©e. FondĂ© sur les droits humains fondamentaux, le Code pourrait rassembler toutes les dispositions lĂ©gislatives en la matière, aussi bien Ă  l’égard du secteur public que du secteur privĂ©. Le respect de ces droits serait garanti par un bureau indĂ©pendant, titulaire d’un large mandat d’enquĂŞte et d’un pouvoir d’ordonnance effectif.

Sur la scène internationale, l’ombudsman considère que ce modèle peut ĂŞtre utile pour des pays dont les structures gouvernementales ne sont pas fortement ancrĂ©es dans l’histoire et ne peuvent pas multiplier les agences ou les organismes de contrĂ´le. Une voie minimaliste qui pourrait inspirer certains pays de la francophonie intĂ©ressĂ©s Ă  mettre en oeuvre un rĂ©gime de protection des renseignements personnels.

Haut de la pageTable des matières6. QuĂ©bec – Commission d’accès Ă  l’information

En 1982, l’AssemblĂ©e nationale du QuĂ©bec crĂ©Ă©e une rĂ©elle surprise en adoptant une loi consacrĂ©e Ă  la fois Ă  l’accès Ă  l’information et Ă  la protection des renseignements personnels dans le secteur publicNote de bas de page 64. Cette dĂ©cision allait Ă  l’encontre des prĂ©cĂ©dents Ă©tablis en Europe oĂą l’on distingue nettement ces deux objets lĂ©gislatifs. De mĂŞme, en confiant le mandat de surveillance de ces deux «volets» de la nouvelle loi Ă  un seul organisme de contrĂ´le, la loi de 1982 Ă©tablit le «modèle quĂ©bĂ©cois» en la matièreNote de bas de page 65.

DĂ©but janvier 1994, autre surprise Ă  la dimension du continent nord-amĂ©ricain : l’adoption d’une lĂ©gislation sur la protection des renseignements personnels dans le secteur privĂ©. Dans la capitale fĂ©dĂ©rale canadienne, on dissimule Ă  peine un certain agacement. De mĂŞme, la dĂ©cision de l’AssemblĂ©e nationale ne passe pas inaperçue Ă  Washington au moment oĂą l’Union europĂ©enne progresse vers l’adoption de la directive de 1995, dont l’une des dispositions importantes interpellera les pays tiersNote de bas de page 66.

Le cheminement législatif

C’est grâce Ă  l’intĂ©rĂŞt de certains leaders politiques pour – l’accès Ă  l’information que le QuĂ©bec est venu, au milieu des annĂ©es 70, Ă  la protection des renseignements personnels. L’appui personnel du Premier ministre RenĂ© LĂ©vesque donnera l’impulsion dĂ©finitive Ă  un projet qui n’avait pas donnĂ© lieu Ă  de grands dĂ©bats dans l’opinion publiqueNote de bas de page 67.

La loi de 1982 dĂ©coule directement des travaux d’une commission d’étude instituĂ©e pour examiner la faisabilitĂ© d’une lĂ©gislation qui Ă©tablirait Ă  la fois un rĂ©gime d’accès Ă  l’information et de protection des renseignements personnels. L’AssemblĂ©e nationale adopte Ă  l’unanimitĂ© cette loi qui crĂ©Ă©e du mĂŞme coup la Commission d’accès Ă  l’information (CAI) qui a mandat de chapeauter le respect de ces deux objets.

L’AssemblĂ©e nationale achève en juin 1993 la mise en place de son rĂ©gime de protection des renseignements personnels en adoptant, toujours Ă  l’unanimitĂ©, la Loi sur la protection des renseignements personnels dans le secteur privĂ©Note de bas de page 68. Deux facteurs permettent de rendre compte de cette dĂ©cision qui parait mĂŞme exotique Ă  plusieurs, Ă  ce moment-lĂ . Il s’agit tout d’abord de l’inclusion, dans le nouveau Code civil du QuĂ©bec, de dispositions prĂ©cises sur le droit au respect de la vie privĂ©e et des renseignements personnelsNote de bas de page 69. De plus, l’évolution des travaux Ă  la Commission europĂ©enne Ă  Bruxelles vers l’adoption de la directive de 1995 fait l’objet d’un suivi très intĂ©ressĂ© au sein de l’appareil gouvernemental quĂ©bĂ©cois.

L’AssemblĂ©e nationale a complĂ©tĂ©, en 2006, la rĂ©vision de ces deux lois Ă  la suite d’un long processus. La loi de 1982 prĂ©voyait une rĂ©vision quinquennale – obligation menĂ©e Ă  bon port en 1990. Depuis, les diverses tentatives lancĂ©es Ă  QuĂ©bec avaient toutes Ă©tĂ© laissĂ©es en planNote de bas de page 70. A la veille du 25e anniversaire de la mise en place de sa lĂ©gislation dans l’ensemble du secteur public, le QuĂ©bec a procĂ©dĂ© Ă  une refonte de son rĂ©gime de protection des renseignements personnels et des mandats de l’autoritĂ© de contrĂ´le qu’est la Commission d’accès Ă  l’informationNote de bas de page 71.

Un organisme complexe

La Commission d’accès Ă  l’information est un organisme collĂ©gial, complexe et pluriel : tribunal administratif, organe consultatif, organisme de contrĂ´le, tout Ă  la foisNote de bas de page 72. Le PrĂ©sident et les quatre autres membres de la CAI sont Ă©lus, pour un mandat de cinq ans, par le vote des deux tiers des membres de l’AssemblĂ©e nationale. Leur candidature est d’abord soumise au chef de l’Opposition officielle par le Premier ministre. La tradition favorise l’élection Ă  l’unanimitĂ© des titulaires de ces fonctions pour mieux asseoir leur crĂ©dibilitĂ©.

La Commission est maintenant composĂ©e de deux sections distinctes – section juridictionnelle et section de surveillance. Il s’agit d’un organe collĂ©gial, car le PrĂ©sident ne dĂ©tient de prĂ©rogatives qu’en matière administrative. Chacun des membres exerce, au nom de la Commission, des pouvoirs prĂ©cis.

Les membres de la Commission sont investis d’un statut Ă  tout le moins particulier. NommĂ©s par l’AssemblĂ©e nationale, ils prĂŞtent serment devant son PrĂ©sidentNote de bas de page 73. Par contre, la Commission transmet son rapport annuel Ă  l’AssemblĂ©e nationale par l’intermĂ©diaire d’un ministre, responsable de cet organisme indĂ©pendant et de la mise en oeuvre de la loiNote de bas de page 74. Le budget de la CAI provient d’ailleurs d’une enveloppe remise par ce ministre. Ce dernier joue le rĂ´le de conseiller du gouvernement en matière de renseignement personnel et d’accès Ă  l’information et il peut solliciter la Commission Ă  cette fin. Il a aussi mandat de soutenir les ministères et organismes dans la mise en oeuvre de la loi

Dès le dĂ©but, le ministre responsable s’est entourĂ© d’un petit nombre de fonctionnaires,  parfois mĂŞme d’une direction gĂ©nĂ©rale dite de l’accès Ă  l’information et de la protection des renseignements personnels, dont la taille et l’importance ont variĂ© au fil des annĂ©es. C’est grâce Ă  cette Ă©quipe – le SecrĂ©tariat Ă  la rĂ©forme des institutions dĂ©mocratiques et Ă  l’accès Ă  l’information (SRIDAI) - que le ministre responsable vient de piloter la rĂ©vision statutaire de la loi et qu’il doit prĂ©parer, Ă  l’intention du Conseil des ministres, certains  projets de règlement qui en dĂ©coulent. Cette direction de l’accès, selon le terme utilisĂ© Ă  QuĂ©bec, joue Ă©galement le rĂ´le de conseiller auprès du gouvernement et rĂ©pond, dans les faits, aux demandes et questions des ministères et organismes.

La CAI compte un personnel d’environ 45 cadres, professionnels et fonctionnaires, y  compris le PrĂ©sident et les Commissaires. Ces derniers proviennent tous de la fonction publique et sont rĂ©partis dans quatre directions : la direction des affaires juridiques, la direction de l’analyse et de l’évaluation, sans oublier le secrĂ©tariat et la direction de l’administration.

Enfin, l’Association de l’accès et de la protection de l’information (AAPI) regroupe les responsables de l’accès Ă  l’information et de la protection des renseignements personnels de l’ensemble de l’appareil public, y compris dans ses structures dĂ©centralisĂ©es. L’AAPI se veut  un lieu de travail et de  concertation Note de bas de page 75. Elle dispense Ă  ses membres des cours de formation en ligne, en plus d’organiser colloques et rencontres.

A l’oeuvre

Le rĂ©gime de protection des renseignements personnels du QuĂ©bec englobe les secteurs public et privĂ©, conformĂ©ment Ă  la ligne suivie en Europe depuis les annĂ©es 1970. Les deux lois de 1982 et 1993 bĂ©nĂ©ficient d’un statut exceptionnel dans l’arsenal juridique du QuĂ©bec. Elles ont Ă©tĂ© Ă©rigĂ©es au rang de «loi prĂ©pondĂ©rante» et, Ă  ce titre, ont prĂ©sĂ©ance sur toutes les autres lois et sur les règlements qui en dĂ©coulent. Pour y dĂ©roger ou pour soustraire ne serait-ce qu’une disposition d’une nouvelle loi ou de la modification d’une loi, l’AssemblĂ©e nationale doit l’énoncer expressĂ©ment, c'est-Ă -dire recourir Ă  une clause dĂ©rogatoire.

Le lĂ©gislateur quĂ©bĂ©cois n’a pas imposĂ© d’obligation de dĂ©claration prĂ©alable de fichiers ou de demandes d’autorisation avant de procĂ©der Ă  des traitements. Les deux lois de 1982 et 1994 n’établissent pas, non plus, de distinction entre les types de renseignements personnels. Par contre, certaines lĂ©gislations sectorielles, notamment dans le domaine de la santĂ©, reconnaissent l’existence de donnĂ©es sensibles, sans pour autant utiliser ce terme, et elles  prĂ©voient des mesures particulières Ă  leur sujet.

Le rĂ©gime quĂ©bĂ©cois est structurĂ© autour du cycle de vie des renseignements personnels. Chacune des Ă©tapes de ce cycle – collecte, utilisation, communication, conservation et destruction de ces donnĂ©es - doit ĂŞtre entourĂ©e de mesures et de prĂ©cautions qui assurent le respect des droits des citoyens, conformĂ©ment aux principes de base du Code civil et des deux lois sur la protection des renseignements personnels. La Commission d’accès Ă  l’information veille prĂ©cisĂ©ment au respect de ces principes. Elle s’acquitte de ce large mandat en dĂ©veloppant des mesures de prĂ©vention et de correction.

La Commission peut, de sa propre initiative, formuler ses recommandations Ă  l’égard de tout projet de loi ou de règlement. Son intervention prĂ©alable est obligatoire en ce qui concerne certains projets d’échange de renseignements personnels entre ministères ou organismes. Ces avis ne lient pas le gouvernement, mais, en cas de rejet, doivent ĂŞtre publiĂ©s dans la Gazette officielle du QuĂ©bec. Cette exigence de transparence prĂ©vaut aussi Ă  l’égard de tous les fichiers de renseignements personnels dĂ©tenus dans l’appareil public. Enfin, la CAI doit ĂŞtre prĂ©alablement informĂ©e de la crĂ©ation de toute banque de donnĂ©es biomĂ©triques et elle peut Ă©galement Ă©mettre son avis Ă  ce sujet, voire mĂŞme prononcer une ordonnance.

Des avenues originales

Comment cerner la notion de renseignements personnels? Dans quelles circonstances, l’accès au dossier mĂ©dical d’une personne peut-il lui ĂŞtre refusĂ©? Jusqu’oĂą peut-on aller en matière de radiation d’un renseignement personnel contenu dans un fichier? VoilĂ  quelques unes des questions prises en compte dans la jurisprudence dĂ©veloppĂ©e Ă  la suite de dĂ©cisions rendues par la CommissionNote de bas de page 76. Ces dĂ©cisions de la direction juridictionnelle concluent les audiences, de type contradictoire, convoquĂ©es pour rĂ©gler un diffĂ©rend. Les dĂ©cisions de la CAI sont exĂ©cutoires et, dans certains cas, peuvent ĂŞtre portĂ©es en appel devant la Cour du QuĂ©bec, d’oĂą l’élaboration de cette jurisprudence.

Devant la multiplication des camĂ©ras de surveillance dans les lieux publics, la Commission a Ă©dictĂ©, en 2004 des règles d’utilisation de la vidĂ©osurveillance  en vue de sauvegarder le droit des individus Ă  leur vie privĂ©e. Pour ce faire, elle a tenu des audiences publiques Ă  MontrĂ©al et Ă  QuĂ©bec oĂą une vingtaine d’entreprises, de corps policiers, de ministères, d’organismes hospitaliers ont tenu Ă  prĂ©senter des mĂ©moires.

Bon an, mal an, une centaine de chercheurs, particulièrement en sciences humaines et dans le domaine de la santĂ©, sollicitent l’avis de la Commission d’accès Ă  l’information avant d’engager leurs travaux. DĂ©marche certes imposĂ©e par la loi, cette procĂ©dure vise Ă  prĂ©server la vie privĂ©e des citoyens dont les renseignements sont jugĂ©s nĂ©cessaires aux objectifs des recherches envisagĂ©es. Les exigences de la CAI ont peu Ă  peu pĂ©nĂ©trĂ© les codes d’éthique dont se sont dotĂ©s aussi bien les chercheurs que les organismes qui voient leurs fichiers de renseignements personnels ĂŞtre convoitĂ©s Ă  des fins de recherche.

Au large du Cap Diamant

Le modèle mis au point par le QuĂ©bec – une seule loi, un seul organisme de contrĂ´le en matière d’accès Ă  l’information et de protection des renseignements personnels - a essaimĂ©, d’abord au sein de la fĂ©dĂ©ration canadienne oĂą la plupart des autres provinces y ont souscritNote de bas de page 77. Par la suite, la Hongrie (1992), le Royaume-Uni (2000), l’Allemagne (2001) et la Suisse (2004) se sont engagĂ©s dans cette mĂŞme voie.

La Commission d’accès Ă  l’information s’est associĂ©e, dès le milieu des annĂ©es 90, aux travaux engagĂ©s au siège de l’Union europĂ©enne Ă  Bruxelles et consacrĂ©s Ă  l’examen de l’impact Ă©ventuel sur la vie privĂ©e de l’utilisation de la carte Ă  microprocesseur dans le domaine de la santĂ©. Elle y a mĂŞme assumĂ© la coprĂ©sidence de deux groupes de recherche parrainĂ©s par la Commission europĂ©enne.

Enfin, Ă  ses touts dĂ©buts, la CAI a Ă©tĂ© l’hĂ´te, en 1987, d’une des premières confĂ©rences internationales des Commissaires Ă  la protection des donnĂ©es et de la vie privĂ©e, Ă  l’époque oĂą les pays dotĂ©s de lĂ©gislation en ce sens n’étaient pas lĂ©gion. En 1997, elle a Ă©tĂ© Ă  l’origine d’une confĂ©rence internationale dont le thème – Vie privĂ©e sans frontières - faisait Ă©cho Ă  l’une des prĂ©occupations dĂ©rivĂ©es de la mondialisation. En septembre 2007, la table est mise pour la crĂ©ation Ă  MontrĂ©al d’une confĂ©rence internationale Ă  l’intention des autoritĂ©s de contrĂ´le des pays de l’ensemble de la francophonie.

Haut de la pageTable des matières7. Roumanie – AutoritĂ© nationale de contrĂ´le du traitement des donnĂ©es personnelles

Au siège social de l’autoritĂ© nationale de contrĂ´le du traitement des donnĂ©es personnelles, en plein coeur de Bucarest, le visiteur Ă©tranger peut ĂŞtre intriguĂ© par le dĂ©filĂ© de citoyens de ce pays Note de bas de page 78. Ces derniers y sont accueillis par les membres du personnel de cet organisme mis sur pied, il y a tout juste deux ans. Ils peuvent y obtenir tous les renseignements nĂ©cessaires Ă  la comprĂ©hension d’une loi qui vise Ă  assurer le respect d’une dimension de leurs droits fondamentaux.

Ă€ son entrĂ©e au sein de l’Union europĂ©enne, le premier janvier 2007, la Roumanie disposait prĂ©cisĂ©ment d’une lĂ©gislation et d’une autoritĂ© de contrĂ´le des donnĂ©es personnelles qui se conforment aux exigences de la directive adoptĂ©e en 1995 par le Conseil et le Parlement europĂ©ens. C’est grâce Ă  l’initiative du premier titulaire de la fonction d’ombudsman – ou Avocat du Peuple - que ce pays des Balkans s’était rĂ©solument engagĂ© dans cette voie, dès avant les nĂ©gociations en vue de son adhĂ©sion Ă  l’Union europĂ©enne.

Le cheminement législatif

Cette dĂ©marche de la Roumanie rĂ©pond Ă  la volontĂ© affirmĂ©e au lendemain du changement de rĂ©gime, en 1989, de la mise en place des composantes d’un vĂ©ritable Ă©tat de droit. C’est ce choix dĂ©terminĂ© qui explique l’inclusion dans la constitution d’une disposition concrète au sujet des donnĂ©es ou renseignements personnelsNote de bas de page 79. D’oĂą le fondement juridique de la campagne lancĂ©e par l’Ombudsman de la RĂ©publique en faveur de l’adoption, par le Parlement, d’un rĂ©gime de protection des donnĂ©es personnelles, Ă  l’image de ce qui se pratique dans la plupart des pays d’Europe occidentale et dans certains États d’Europe centraleNote de bas de page 80.

En souscrivant Ă  cet objectif en 2001, les parlementaires roumains ont fait d’une pierre, deux coups. Ils ont d’abord Ă©largi et Ă©toffĂ© la sphère des droits individuels. Leur dĂ©cision s’inscrivait Ă©galement dans l’un des objectifs majeurs poursuivis par Bucarest, dès le dĂ©but des annĂ©es 1990 : l’adhĂ©sion Ă  l’Union europĂ©enne, dont les États-membres venaient d’imprimer un approfondissement significatif en signant le traitĂ© de Maastricht.

La rĂ©daction de la loi de 2001Note de bas de page 81, qui vise indiffĂ©remment les secteurs public et privĂ©, s’est visiblement inspirĂ©e de  la directive europĂ©enne de 1995Note de bas de page 82. D’ailleurs, la filiation juridique s’est matĂ©rialisĂ©e grâce au travail de coopĂ©ration menĂ© par les juristes roumains et les experts de la Commission europĂ©enne.

L’AutoritĂ© de contrĂ´le

Au moment de l’adoption par le Parlement de la loi sur la protection des donnĂ©es personnelles, c’est l’Ombudsman qui a hĂ©ritĂ© de la mission de constituer, au sein de son bureau, une cellule ou une direction, pour  assumer ces nouveaux mandats.

En 2005, le Parlement a remis en question cet arrangement. D’un point de vue strictement juridique, une Ă©vidence s’était rapidement imposĂ©e. Le pouvoir de sanction, en matière de protection des renseignements personnels, dont avait Ă©tĂ© investi l’Ombudsman, Ă©tait difficilement conciliable avec son statut de mĂ©diateur, habilitĂ© Ă  n’émettre que des recommandations. De plus, en vertu de la directive europĂ©enne de 1995, l’autoritĂ© de contrĂ´le devait bĂ©nĂ©ficier d’une rĂ©elle indĂ©pendance au sein de l’appareil de l’ÉtatNote de bas de page 83. D’oĂą la crĂ©ation, en 2005, d’une autoritĂ© nationale indĂ©pendante de toutes les composantes de l’appareil public.

C’est le Parlement qui nomme, pour un mandat de 5 ans, le prĂ©sident et le vice-prĂ©sident de cette autoritĂ© de contrĂ´le. L’un et l’autre, nĂ©cessairement juristes, ont auparavant Ă©tĂ© proposĂ©s au Parlement par l’ensemble des partis politiques. Le choix final du titulaire de ces deux postes incombe Ă  une Commission du SĂ©nat qui s’acquitte de cette tâche en interviewant, en sĂ©ance publique, l’ensemble des candidats.

La Commission roumaine est directement rattachĂ©e au Parlement, plus particulièrement Ă  l’une des commissions du SĂ©nat. C’est devant cette commission qu’est dĂ©posĂ© le rapport annuel de la Commission, avant d’être publiĂ© dans le Journal officiel de la Roumanie.  Le mĂŞme traitement est d’ailleurs rĂ©servĂ© aux dĂ©cisions de portĂ©e normative et aux lignes directrices de la Commission, qui connaissent ainsi une diffusion officielle très importante.

L’indĂ©pendance de l’autoritĂ© de contrĂ´le est enfin renforcĂ©e grâce au mĂ©canisme d’élaboration de son budget annuel qui figure, Ă  titre distinct, dans le cahier budgĂ©taire de l’État. En cas de dĂ©saccord avec le gouvernement au sujet de son enveloppe,  le PrĂ©sident de la Commission peut, en vertu d’une disposition de la loi Note de bas de page 84, demander l’intervention du Parlement en vue de lever ce litige.

La loi de 2005 a Ă©tĂ© complĂ©tĂ©e, un an plus tard, par un règlement qui, non seulement Ă©tablit l’effectif, mais dessine Ă©galement l’architecture interne de l’autoritĂ© de contrĂ´leNote de bas de page 85. Avec un peu moins de 40 personnes en fonction au printemps 2007 - la plupart d’entre eux ayant fait leurs premières armes sous l’autoritĂ© de l’Ombudsman - l’autoritĂ© en question pourra Ă©ventuellement compter 50 fonctionnaires et experts. Les nouveaux venus seront embauchĂ©s par le PrĂ©sident qui assume la direction et la responsabilitĂ© de cet organisme.

ConformĂ©ment Ă  ce règlement très dĂ©taillĂ©, l’organe de contrĂ´le comporte sept services ou directions gĂ©nĂ©rales, dotĂ©s de mandats prĂ©cis, depuis l’organisation d’enquĂŞtes jusqu’à l’autorisation de transferts de renseignements personnels vers un autre État, sans oublier les affaires juridiques.

Les premiers pas de l’autoritĂ©

L’organisme de contrĂ´le roumain doit Ă©videmment s’acquitter des mandats et obligations que lui impose une lĂ©gislation calquĂ©e sur la directive europĂ©enne. C’est ainsi que l’AutoritĂ© a dĂ©jĂ  rendu un certain nombre d’avis et de recommandations, sollicitĂ©s par le gouvernement, au sujet de projets de lois ou de règlements. Parmi les enquĂŞtes dĂ©jĂ  lancĂ©es Ă  la suite de plaintes portĂ©es, entre autres, contre des banques ou des agences de crĂ©dit, il faut signaler la dĂ©marche conjointe menĂ©e avec l’organisme de contrĂ´le de l’ItalieNote de bas de page 86. Enfin, l’AutoritĂ© roumaine s’est prĂ©value, Ă  quelques reprises, du pouvoir de sanction que lui a confĂ©rĂ© le lĂ©gislateur.

C’est sans doute au chapitre de ses relations avec les citoyens que la commission a rapidement imaginĂ© des initiatives d’information et de caractère pĂ©dagogique, tout Ă  la fois. Ainsi, les citoyens roumains ont pu dĂ©couvrir le sens et l’importance de la protection de leurs donnĂ©es personnelles grâce notamment aux renseignements concrets qui dĂ©filent rĂ©gulièrement au bas de l’écran durant les Ă©missions d’une station de tĂ©lĂ©vision de type communautaire.

Les membres du personnel de la Commission ont tenu des sĂ©minaires d’information Ă  l’intention de diffĂ©rents secteurs de l’activitĂ© Ă©conomique et sociale. De mĂŞme, ils ont organisĂ©, dans diverses rĂ©gions du pays, des sĂ©ances d’information grand public en vue d’assurer la plus large diffusion aux objectifs de la loi et aux services offerts aux citoyens.

Sur la scène européenne

Dès avant son entrĂ©e au sein de l’Union europĂ©enne, l’AutoritĂ© roumaine s’était soumise au contrĂ´le de son fonctionnement, de ses structures et de ses procĂ©dures, par des experts de la Commission europĂ©enne. Cet audit s’est soldĂ© par un satisfecit de la part de Bruxelles qui reconnaissait la valeur des efforts dĂ©ployĂ©s par Bucarest en la matière.

Tout au long des nĂ©gociations d’adhĂ©sion Ă  l’Union europĂ©enne, les fonctionnaires de l’organisme de contrĂ´le ont d’ailleurs Ă©tĂ© associĂ©s aux rĂ©unions et travaux du «Groupe de l’article 29» de la Commission europĂ©enneNote de bas de page 87. L’habitude Ă©tait crĂ©Ă©e et aujourd’hui l’autoritĂ© roumaine de contrĂ´le participe activement aux chantiers menĂ©s par ce Groupe dans des domaines de pointe, comme la biomĂ©trie et le e-government dans ses multiples dĂ©clinaisons.

Ă€ la faveur de la dernière confĂ©rence des Chefs d’état ou de gouvernement des pays de la Francophonie, tenue en octobre 2006 Ă  Bucarest, la Roumanie a Ă©tĂ© plongĂ©e au coeur des travaux menĂ©s depuis bientĂ´t un quart de siècle par les responsables de la protection des donnĂ©es personnelles. C’est Ă  cette occasion qu’a Ă©tĂ© lancĂ© l’appel en faveur de l’élaboration d’un instrument juridique contraignant, de portĂ©e internationale en matière de protection des renseignements personnels.

D’une disposition judicieuse dans la toute nouvelle constitution, au Sommet de la Francophonie, voilĂ  le pari lancĂ© et relevĂ© par la Roumanie au chapitre de la protection des donnĂ©es personnelles.

Haut de la pageTable des matières8. Suisse – Le PrĂ©posĂ© fĂ©dĂ©ral Ă  la protection des donnĂ©es et Ă  la transparence

La Suisse s’est dotĂ©e en 1992 d’un rĂ©gime de protection des donnĂ©es personnelles, devant le dĂ©veloppement fulgurant de l’informatique et des craintes que suscitait ce changement. Deux crises ont Ă©galement marquĂ© l’opinion publique. Dans les deux cas, c’est la dĂ©couverte de fichiers Ă©tablis Ă  des fins de contrĂ´le policier qui a alertĂ© les mĂ©dias et interpellĂ© le Parlement fĂ©dĂ©ral.

En 2004, le Parlement fĂ©dĂ©ral a votĂ© une loi sur l’accès Ă  l’information basĂ© sur la recherche d’une plus grande transparence administrative. En ce qui concerne l’accès aux documents officiels, il a confiĂ© le mandat de mĂ©diation au PrĂ©posĂ© fĂ©dĂ©ral qui assumait dĂ©jĂ  la responsabilitĂ© de surveillance en matière de protection des donnĂ©es personnellesNote de bas de page 88.

Le cheminement législatif

Il s’est Ă©coulĂ© presque 20 ans entre les premières interpellations au Parlement fĂ©dĂ©ral et l’adoption de la loi de 1992. De la dĂ©couverte, en 1974, d’un fichier constituĂ© par un colonel Ă  la retraite qui recensait les sympathisants aux causes d’extrĂŞme gauche, aux rĂ©vĂ©lations, dĂ©but des annĂ©es 1990, au sujet d’un mĂ©ga fichier secret Ă©tabli par la police fĂ©dĂ©rale : tels auront Ă©tĂ© les incidents majeurs qui ont jalonnĂ© le parcours  vers la crĂ©ation d’un rĂ©gime de protection des renseignements personnels.

Ce cheminement parlementaire s’est d’abord matĂ©rialisĂ© par la crĂ©ation de deux commissions d’experts qui ont Ă©laborĂ© un avant-projet de loi. Le gouvernement a ensuite lancĂ©, en 1983, une large consultation publique. L’administration fĂ©dĂ©rale, avec l’aide d’experts, a poursuivi des travaux Ă  ce sujet, tout au long de ces annĂ©es. En 1988, le gouvernement a soumis au Parlement un projet de loi en bonne et due forme.

La loi de 1992Note de bas de page 89 Ă©tablit un rĂ©gime gĂ©nĂ©ral de protection des renseignements personnels dans le secteur public fĂ©dĂ©ral et dans le secteur privĂ©, rĂ©gime qui s’inspire des lignes directrices de l’OCDE, Ă©dictĂ©es Ă  Paris, en 1980Note de bas de page 90. Elle met en oeuvre les principes de base Ă©noncĂ©s dans la Convention adoptĂ©e par le Conseil de l’Europe en 1981Note de bas de page 91.

L’élaboration de cette loi a donnĂ© lieu Ă  l’examen systĂ©matique des lĂ©gislations dĂ©jĂ  en place, en particulier en Allemagne, en Autriche, en France et en Scandinavie. Il aura fallu au lĂ©gislateur suisse composer avec la rĂ©sistance Ă  peine feutrĂ©e du monde Ă©conomique et financier et de la mĂ©fiance tout aussi vive d’une partie de l’administration pour aboutir Ă  ce rĂ©sultat. On peut sans doute deviner, dans ce parcours lĂ©gislatif, la recherche d’un large consensus, caractĂ©ristique importante de la vie politique et sociale de ce pays.

En 2004, le Parlement fĂ©dĂ©ral a procĂ©dĂ© Ă  des modifications significatives du rĂ©gime de protection des renseignements personnelsNote de bas de page 92. Il faut signaler Ă  ce sujet l’intervention dĂ©terminĂ©e de deux commissions parlementaires qui souhaitaient renforcer la transparence des traitements de donnĂ©es personnelles. Ces dernières voulaient, du mĂŞme coup, entourer de prĂ©cautions rigoureuses le dĂ©roulement d’expĂ©riences-pilotes qui impliquent le recours Ă  des donnĂ©es sensibles et Ă  des profils de personnalitĂ©. Cette rĂ©vision a Ă©galement introduit une norme incitative Ă  l’intention des fournisseurs de systèmes de logiciels et de traitements de donnĂ©es et des responsables de traitements : le lĂ©gislateur leur recommande de soumettre leurs systèmes et procĂ©dures Ă  une Ă©valuation prise en charge par des organismes de certification agrĂ©Ă©s et indĂ©pendants.

Cette modification lĂ©gislative a permis Ă  la Suisse de ratifier le protocole de la Convention 108 du Conseil de l’Europe concernant les autoritĂ©s de contrĂ´le et les flux transfrontaliers de donnĂ©es personnelles. Elle renforce aussi les pouvoirs de l’organisme de contrĂ´le quant aux procĂ©dures judiciaires. De mĂŞme, le droit sectoriel intègre aussi certaines des dispositions mises en oeuvre au sein de l’Union europĂ©enne auxquelles le gouvernement helvĂ©tique a dĂ©cidĂ© de souscrireNote de bas de page 93.

Un Préposé fédéral

C’est le PrĂ©posĂ© fĂ©dĂ©ral  à la protection des donnĂ©es qui dirige les travaux quotidiens relatifs Ă  la surveillance des dispositions lĂ©gales en matière de protection des donnĂ©es nominatives. Il chapeaute Ă©galement tout ce dispositif  qui permet aux citoyens d’obtenir «les documents officiels» produits et dĂ©tenus par le secteur public fĂ©dĂ©ral, en assurant la mĂ©diation en cas de refus d’accès.

Le PrĂ©posĂ© fĂ©dĂ©ral est nommĂ© par le Conseil fĂ©dĂ©ral – le gouvernement – et il est rattachĂ© administrativement Ă  la Chancellerie fĂ©dĂ©rale. Il s’acquitte de ses tâches de manière autonome. Il a Ă  sa disposition un secrĂ©tariat permanent d’une vingtaine de personnes, la plupart juristes ou informaticiens, secrĂ©tariat qui est dirigĂ© par le prĂ©posĂ© fĂ©dĂ©ral supplĂ©ant. Il s’agit de fonctionnaires de carrière de l’appareil administratif fĂ©dĂ©ral.

Le PrĂ©posĂ© fĂ©dĂ©ral dĂ©pose, chaque annĂ©e, au gouvernement, un rapport d’activitĂ©s qui est publiĂ©. En outre, il est rĂ©gulièrement auditionnĂ© par des commissions parlementaires sur des sujets de sa compĂ©tence.

Les cantons de la confĂ©dĂ©ration helvĂ©tique, ainsi que certaines villes, Ă  commencer par Zurich, la mĂ©tropole du pays, disposent Ă©galement d’organismes de contrĂ´le et de surveillance. Le PrĂ©posĂ© fĂ©dĂ©ral n’exerce aucun droit de regard sur ces entitĂ©s qui, dans les faits, complètent le dispositif global mis en place en Suisse pour veiller au respect de la loi en matière de renseignements personnels.

La manière suisse

Le PrĂ©posĂ© fĂ©dĂ©ral tient, auprès du Parlement et du Gouvernement suisses, un rĂ´le consultatif. La loi prĂ©voit expressĂ©ment qu’il doit ĂŞtre consultĂ© au sujet des projets de loi et de règlements qui peuvent avoir des incidences sur la vie privĂ©e ou la protection des renseignements personnels. Il n’a pas d’accès direct au gouvernement; c’est le Chancelier de la fĂ©dĂ©ration qui transmet et, le cas Ă©chĂ©ant, dĂ©fend les propositions du PrĂ©posĂ© devant le Conseil fĂ©dĂ©ral.

Le PrĂ©posĂ© fĂ©dĂ©ral a des tâches de contrĂ´le, de conseil et d’information. Il a aussi mandat d’étudier les plaintes qui lui sont acheminĂ©es. Ses enquĂŞtes peuvent donner lieu Ă  des recommandations formulĂ©es aussi bien Ă  l’intention des entreprises du secteur privĂ© que des entitĂ©s de l’administration publique. Il ne dispose pas, Ă  l’instar de la CNIL, par exemple, de pouvoirs de sanction, ce qui ne semble pas constituer un problème quant Ă  l’efficacitĂ© de ses dĂ©marches.

Le PrĂ©posĂ© fĂ©dĂ©ral ne peut qu’émettre des recommandations. Ses dĂ©cisions sont-elles ignorĂ©es ou rejetĂ©es? Il peut en appeler au nouveau Tribunal administratif qui, lui, rendra une dĂ©cision s’il s’agit d’une recommandation Ă©mise Ă  l’intention d’un responsable de traitement dans le secteur privĂ©. En cas de recommandation visant un organe fĂ©dĂ©ral, le PrĂ©posĂ© fĂ©dĂ©ral, aura, d’ici peu, la latitude de transmettre pareil dossier au Tribunal administratif.

En Suisse, le pouvoir de recommandation relève pratiquement de l’artillerie lourde. Dans le milieu des entreprises et dans le secteur bancaire, la hantise de toute forme de publicitĂ© nĂ©gative que pourrait entraĂ®ner une recommandation publique, incite Ă  la recherche d’une solution en concertation avec le PrĂ©posĂ©. Autre indice du poids de ce pouvoir, les recommandations du PrĂ©posĂ© fĂ©dĂ©ral peuvent maintenant ĂŞtre portĂ©es devant le Tribunal administratif.

Le chemin de l’innovation

Dans la recherche de solutions concrètes aux problèmes Ă©prouvĂ©s par les citoyens, le PrĂ©posĂ© fĂ©dĂ©ral n’hĂ©site pas Ă  emprunter Ă  la technologie de pointe. C’est ainsi qu’il a fait accepter par la direction d’une chaĂ®ne de supermarchĂ©s le recours Ă  une technique de cryptage qui permet de masquer le visage des personnes captĂ©es par les camĂ©ras de vidĂ©osurveillance installĂ©es un peu partout dans l’ensemble des magasinsNote de bas de page 94. En cas d’incident, ces images peuvent ĂŞtre «dĂ©brouillĂ©es» par une personne ou une autoritĂ© dĂ©signĂ©e Ă  cette fin, Ă  l’instar de ce qui se pratique en matière d’écoutes tĂ©lĂ©phoniques.

Dans un domaine similaire, un centre sportif a renoncĂ© Ă  stocker dans un fichier central les donnĂ©es biomĂ©triques de ses clients dans une dĂ©marche avouĂ©e de fidĂ©lisation. La direction du centre  a acceptĂ© d’offrir Ă  ses clients une carte munie d’un microprocesseur – carte Ă  puce, selon la terminologie courante – qui, elle, contient certaines donnĂ©es biomĂ©triques. A l’entrĂ©e du magasin, un appareil vĂ©rifie si les donnĂ©es lues sur la carte correspondent bien aux caractĂ©ristiques physiques de son porteur.

Les entreprises ont d’ailleurs crĂ©Ă© en Suisse une association pour assurer la dĂ©fense et la promotion de leurs points de vue. Ce regroupement ne craint pas d’exprimer des opinons divergentes Ă  l’égard des solutions prĂ©conisĂ©es par le PrĂ©posĂ© fĂ©dĂ©ral. Elle organise Ă©galement des sĂ©minaires et ateliers de formation Ă  l’intention des responsables de la protection des donnĂ©es personnelles dans les entreprises  et organisations.

Le PrĂ©posĂ© fĂ©dĂ©ral a crĂ©Ă© une petite rĂ©volution dans le monde des organismes de contrĂ´le en annonçant, en mai 2007, sa dĂ©cision de renoncer Ă  rĂ©pondre Ă  toutes les demandes individuelles qui lui sont adressĂ©es et Ă  ouvrir des enquĂŞtes au sujet de chacune des plaintes dĂ©posĂ©es Ă  son secrĂ©tariat. La faiblesse des ressources financières mises Ă  sa disposition l’ont incitĂ© Ă  Ă©tablir «un service personnalisĂ© de conseil tĂ©lĂ©phonique» Ă  des moments prĂ©cis de la journĂ©eNote de bas de page 95 et Ă  dĂ©velopper son site internet. Les plaintes seront toutefois recueillies et, le cas Ă©chĂ©ant, intĂ©grĂ©es dans les activitĂ©s de surveillance.

L’entrĂ©e en vigueur de la loi sur l’accès Ă  l’information et l’augmentation des tâches sans ajout de ressources supplĂ©mentaires ne sont pas Ă©trangères Ă  cette mesure qui s’est d’ailleurs traduite par la rĂ©organisation des services du PrĂ©posĂ© fĂ©dĂ©ral. Ainsi, deux des unitĂ©s de son administration se consacrent maintenant aux diffĂ©rentes tâches rattachĂ©es Ă  la protection des renseignements personnels, une troisième assume, elle, la mise en oeuvre du volet de la transparence administrative.

Regards sur le monde

Au chapitre de la protection des renseignements personnels, l’organe de contrĂ´le de la Suisse participe Ă©troitement au cheminement juridique pilotĂ© Ă  la fois depuis Strasbourg et Bruxelles.

MĂŞme s’il n’est pas soumis Ă  la directive europĂ©enne de 1995Note de bas de page 96, le PrĂ©posĂ© fĂ©dĂ©ral suit attentivement les travaux du «Groupe de l’article 29» et reflète, dans sa pratique, les avis qui y sont adoptĂ©s. En outre, Ă  la faveur d’accords bilatĂ©raux, la Suisse rapproche son droit de protection des donnĂ©es personnelles, du droit europĂ©en. Suite Ă  une Ă©valuation par la Commission  europĂ©enne, le rĂ©gime helvĂ©tique de protection des renseignements personnels a d’ailleurs Ă©tĂ© reconnu offrir un niveau adĂ©quat dans ce domaine.

C’est au sein du comitĂ© consultatif de «l’article 108» du Conseil de l’Europe que le PrĂ©posĂ© fĂ©dĂ©ral intervient de plein droit dans la mise au point des nouvelles mesures en matière de protection des donnĂ©es personnelles. Il est Ă©galement appelĂ©, par le Conseil de l’Europe, Ă  participer Ă  des programmes de formation Ă  l’intention des États qui viennent d’adhĂ©rer Ă  l’organisation de Strasbourg.

Enfin, depuis ses dĂ©buts, l’organe de contrĂ´le helvĂ©tique participe pleinement aux travaux des ConfĂ©rences internationale et europĂ©enne des Commissaires Ă  la protection des donnĂ©es et Ă  la vie privĂ©e.

Haut de la pageTable des matièresConclusion – Tendances et perspectives

Ce document vise Ă  prĂ©senter un Ă©tat de la situation de la protection des donnĂ©es ou renseignements personnels au sein des États membres de l’Organisation internationale de la Francophonie. Il s’agit en fait de cibler l’originalitĂ© des autoritĂ©s indĂ©pendantes qui assument le mandat de mise en oeuvre et de respect des rĂ©gimes juridiques mis en place Ă  cette fin.

RĂ©digĂ© sur le mode descriptif, ce rapport schĂ©matise pour chacun des huit gouvernements un portrait sommaire du cheminement lĂ©gislatif qui a mené  Ă  la crĂ©ation et Ă  l’implantation de ces «autoritĂ©s de contrĂ´le». Il dĂ©crit sommairement le mandat et le cadre opĂ©rationnel de l’une et l’autre de ces institutions pour dĂ©boucher sur un certain nombre d’innovations ou de d’originalitĂ©s imaginĂ©es pour mettre en oeuvre les principes et mandats Ă©dictĂ©s par le lĂ©gislateur.

Cette dĂ©marche constitue une rĂ©ponse partielle aux voeux formulĂ©s par les chefs d’État ou de gouvernement  de l’Organisation de la francophonie lors de leurs dernières rencontres au sommet Ă  Bucarest et Ă  Ouagadougou. A deux reprises, ces derniers ont clairement prĂ©conisĂ© la mise en place, dans l’ensemble des pays de la francophonie, de rĂ©gimes juridiques qui assurent la protection des donnĂ©es personnelles. Cette esquisse de la carte des organismes de contrĂ´le se prĂ©sente comme un rĂ©pertoire des institutions imaginĂ©es dans certains pays de la francophonie : lĂ©gislateurs et reprĂ©sentants de la sociĂ©tĂ© civile, engagĂ©s dans la recherche d’une solution concrète au problème de la mise en oeuvre de ce droit au respect de la vie privĂ©e, pourront y puiser enseignement et inspiration.

Les huit organismes de contrĂ´le repris dans ce document tĂ©moignent de l’histoire de la formulation du concept juridique de la protection des donnĂ©es personnelles et de sa traduction en vĂ©ritables rĂ©gimes juridiques. Ils sont apparus Ă  divers moments depuis le milieu des annĂ©es 1970  jusqu’à tout rĂ©cemment, c’est Ă  dire au dĂ©but du nouveau millĂ©naire. Dans un premier temps, l’irruption de l’informatique et l’arrivĂ©e des premiers superordinateurs ont inspirĂ©, dans certains pays de la Francophonie en Europe et en AmĂ©rique du Nord, les premières lĂ©gislations dans le domaine : c’est le cas de la France, du QuĂ©bec et du Canada, entre autres.

Dans certains cas, les Ă©vĂ©nements, voire mĂŞme des crises intĂ©rieures, ont  induit ce cheminement. On peut songer Ă  la dĂ©couverte de fichiers secrets en Suisse, ou Ă  la mise en place de banques de donnĂ©es gĂ©antes, comme en Belgique. Dans un cas comme dans l’autre, le facteur informatique est primordial.

La prise en charge de ces questions par au moins deux institutions internationales – le Conseil de l’Europe et l’OCDE – a aussi fortement contribuĂ© Ă  l’évolution de ce dossier dans ces mĂŞmes pays. Le dĂ©mantèlement du Mur de Berlin a Ă©galement exercĂ© un impact indirect considĂ©rable sur un bon nombre de pays qui ont sollicitĂ© et obtenu leur adhĂ©sion Ă  l’Union europĂ©enne. DĂ©rivĂ©e des critères de Copenhague, l’adoption d’un rĂ©gime juridique de protection des donnĂ©es personnelles a en effet Ă©tĂ© imposĂ©e Ă  titre de condition prĂ©alable aux pays candidats. DĂ©jĂ  engagĂ©e dans cette voie sous l’influence du premier mĂ©diateur Ă©tabli au lendemain de l’adoption de la nouvelle constitution, la Roumanie a ainsi pu satisfaire aux exigences europĂ©ennes avant son entrĂ©e au sein de l’Union, le 1er janvier 2007.

De part et d’autre de l’Atlantique, cette Ă©volution lĂ©gislative a empruntĂ© des voies diffĂ©rentes quant Ă  l’universalitĂ© des droits et obligations qui en dĂ©coulent. En Europe, ces dispositions visaient indistinctement l’ensemble des acteurs, publics et privĂ©s, qui manipulaient des donnĂ©es personnelles. En AmĂ©rique du Nord, le lĂ©gislateur a d’abord assujetti la totalitĂ© du secteur public avant d’imposer pareilles obligations aux entreprises et autres entitĂ©s du secteur privĂ©.

Dans presque tous les cas, la promulgation d’une lĂ©gislation a Ă©tĂ© assortie de la mise en place d’un organe de contrĂ´le, dotĂ© de pouvoirs en vue d’assurer, d’une part, le respect des droits ainsi garantis aux citoyens et, d’autre part, des obligations qui en dĂ©coulent. Diverses considĂ©rations peuvent sans doute rendre compte de la diffĂ©rence de pouvoirs et de mandats confĂ©rĂ©s Ă  ces «autoritĂ©s de contrĂ´le» pour utiliser le terme qui va s’imposer durant les annĂ©es 90. C’est sous l’influence de la directive de l’Union europĂ©enne de 1995Note de bas de page 97 que s’est imposĂ© l’octroi d’un statut de rĂ©elle indĂ©pendance, Ă  tout le moins d’autonomie rĂ©elle Ă  ces nouvelles autoritĂ©s ou institutions.

Les autoritĂ©s de contrĂ´le crĂ©Ă©es par les pays de la Francophonie rĂ©pondent Ă  des objectifs communs. Les lĂ©gislateurs ont dessinĂ© des organismes qui tĂ©moignent certes d’une culture institutionnelle propre, mais dont la variĂ©tĂ© Ă©pouse ou presque l’ampleur des choix retenus dans l’ensemble des États dotĂ©s d’un rĂ©gime de protection des donnĂ©es personnelles. Bon nombre de ces organismes sont rattachĂ©s, selon des modalitĂ©s diverses, au Parlement du pays; c’est marquer la distance avec les organes gouvernementaux et administratifs et ainsi Ă©largir leur marge de manoeuvre.

Les autoritĂ©s de contrĂ´le au sein de la Francophonie peuvent donner lieu Ă  l’élaboration d’une typologie sommaire.

Le modèle de l’ombudsman ou du mĂ©diateur se fonde sur l’autoritĂ© morale dont cette institution est investie depuis sa crĂ©ation, dĂ©jĂ  fort ancienne, dans les pays scandinaves. Au lieu de dĂ©cisions contraignantes, le titulaire de cette fonction Ă©met des «recommandations». Le Parlement fĂ©dĂ©ral du Canada et l’AssemblĂ©e lĂ©gislative du Nouveau-Brunswick ont optĂ© pour ce modèle, avec quelques variantes. A Ottawa, la Commissaire Ă  la protection de la vie privĂ©e exerce pleinement ses fonctions Ă  l’égard des deux lois qui structurent le rĂ©gime de protection des renseignements personnels; ombudsman sectoriel, serait-on tentĂ© de prĂ©ciser. A Fredericton, on a ajoutĂ© ce mandat Ă  l’Ombudsman qui veille au respect des citoyens dans l’ensemble de l’appareil administratif.

D’autres États disposent d’une institution collĂ©giale pour assumer des fonctions analogues. C’est Ă©videmment la CNIL qui fait figure de chef de file, non seulement par son anciennetĂ©, mais aussi par son rayonnement. Ces «collèges», dont le nombre de membres peut varier de trois – c’est le cas du Luxembourg – Ă  une quinzaine – comme au sein de la CNIL – sont Ă©videmment structurĂ©s selon un partage des mandats qui permet, entre autres, de saisir les prioritĂ©s retenues par le collège lui-mĂŞme ou, dans certains cas, par le lĂ©gislateur.

Ces mĂŞmes pouvoirs peuvent ĂŞtre confĂ©rĂ©s Ă  un titulaire unique qui dispose, tout comme les collèges, d’une organisation administrative. C’est le choix qui a Ă©tĂ© retenu en Suisse et aussi en Roumanie.

Enfin, dernier Ă©lĂ©ment de cette typologie Ă©lĂ©mentaire, le tribunal administratif, au sens strict de ce terme. Ce statut confère Ă  cette autoritĂ© des pouvoirs de dĂ©cision contraignants et peut mener Ă  l’élaboration d’une forme de jurisprudence. L’AssemblĂ©e nationale du QuĂ©bec a retenu ce modèle, dès l’adoption de sa lĂ©gislation en la matière.

Cette typologie n’a d’autre prĂ©tention que d’illustrer la variĂ©tĂ© des dĂ©cisions arrĂŞtĂ©es par le lĂ©gislateur des pays de la Francophonie quant aux caractĂ©ristiques Ă©lĂ©mentaires de l’autoritĂ© de contrĂ´le mise en place au moment de l’adoption de leur lĂ©gislation en matière de protection des renseignements personnels. Elle rĂ©sume bien, Ă  deux exceptions près, la gamme complète des choix effectuĂ©s Ă  ce chapitre dans le monde entier. Dans certains cas, ce qui tient lieu d’autoritĂ© de contrĂ´le est logĂ© au sein d’un ministère ou d’un organisme; on devinera  que pareille structure ne peut guère revendiquer indĂ©pendance ou autonomie. Enfin, de rares États ont rejetĂ© l’option d’établir un mĂ©canisme ou une autoritĂ© de contrĂ´le, tout en se dotant d’une lĂ©gislation de Congrès a prĂ©fĂ©rĂ© remettre aux tribunaux la sanction de ces droits et principes.

Ces autoritĂ©s de contrĂ´le exercent les fonctions et mandats qui leur sont confiĂ©s par la loi constitutive. Encore ici, il est possible de regrouper ces activitĂ©s selon plusieurs critères. Aux fins de cette dĂ©marche, c’est la nature du ou des destinataires de ces interventions qui a Ă©tĂ© retenue..

Les autoritĂ©s de contrĂ´le ont Ă©tĂ© Ă©tablies en vue d’assurer le respect des droits confĂ©rĂ©s aux citoyens par la loi au chapitre de la protection des donnĂ©es personnelles et du respect de la vie privĂ©e. Les unes interviennent plutĂ´t de façon prĂ©ventive; c’est le cas notamment des organismes europĂ©ens qui imposent la dĂ©claration prĂ©alable Ă  divers traitements de donnĂ©es. En AmĂ©rique du Nord, l’accent est mis sur la rĂ©solution des problèmes ou des litiges qui dĂ©coulent du non-respect des principes et des obligations inscrites dans la loi et qui affectent directement les citoyens.

Au delĂ  de cette classification schĂ©matique, toutes les agences indĂ©pendantes ont imaginĂ© et mis en place des mĂ©canismes ou engagent des activitĂ©s aussi bien Ă  titre prĂ©ventif que dans un esprit thĂ©rapeutique. C’est ainsi que s’expliquent la multiplication des dĂ©marches d’information et la publication de guides en vue de renseigner les citoyens sur leurs droits. De mĂŞme, relève-t-on une sĂ©rie d’initiatives lancĂ©es en vue de venir en aide au citoyen qui se sent lĂ©sĂ© ou dont les droits sont brimĂ©s.

L’État, l’appareil administratif et l’ensemble du secteur public font aussi l’objet de dĂ©marches et d’initiatives de la part des autoritĂ©s de contrĂ´le. Au sein de l’Union europĂ©enne, ces dernières sont saisies par leurs gouvernements respectifs de tout projet de loi ou de règlement qui pourrait avoir un impact sur la protection des donnĂ©es personnelles : c’est l’une des exigences de la directive de 1995. Ce rĂ´le conseil est partagĂ©, Ă  des degrĂ©s divers, par l’ensemble des agences au sein de la Francophonie. Ces responsabilitĂ©s s’exercent selon des modes et dans des styles qui s’inspirent de la culture de chacun des systèmes politiques; d’oĂą une rĂ©elle diversitĂ© des modes d’intervention. A titre d’exemple, on peut signaler la mise en oeuvre d’études de faisabilitĂ© – une variante des Ă©tudes d’impact bien connues en environnement – imposĂ©es lors de l’adoption ou de la modification de lĂ©gislations dans le but d’en minimiser les atteintes Ă  la vie privĂ©e des citoyens.

On relève aussi certaines diffĂ©rences en ce qui a trait Ă  la mise en oeuvre des obligations et exigences de ce nouveau rĂ©gime juridique au sein de l’appareil politique. Ainsi, au QuĂ©bec et au Canada, le lĂ©gislateur a confiĂ© le dessin et l’implantation des mesures, procĂ©dures et autres obligations Ă  l’un des ministères, tandis que l’autoritĂ© de contrĂ´le veille au respect de ces dispositions et Ă  leur conformitĂ© aux principes de la loi. Pareille distinction ne se constate pas en Europe.

L’ensemble du secteur privĂ© fait aussi l’objet d’initiatives de la part de ces mĂŞmes autoritĂ©s de contrĂ´le. Ces dernières prodiguent conseils et appui aux responsables de la protection des donnĂ©es personnelles au sein des entreprises et organisations soumises Ă  la loi. En France, la CNIL a mĂŞme crĂ©Ă©, depuis quelques annĂ©es, un vĂ©ritable rĂ©seau Ă  l’intention de ces responsables en vue de maintenir un contact rĂ©el et de favoriser la dissĂ©mination de l’information. Les autoritĂ©s de contrĂ´le engagent, lors d’incidents ou de problèmes, des enquĂŞtes et peuvent procĂ©der Ă  des vĂ©rifications in situ.

Similitude de mission et de mĂ©thodes ont amenĂ© les titulaires de ces fonctions Ă  se regrouper en vue de partager leurs expĂ©riences et problèmes et d’imaginer des formes de coopĂ©ration au-dessus des frontières. C’est vraisemblablement en Europe que cette concertation s’est dĂ©veloppĂ©e très tĂ´t et de façon très intense. Dès le lancement au Conseil de l’Europe, Ă  Strasbourg, des travaux qui devaient mener Ă  l’adoption de la convention sur les transferts de renseignements personnels entre pays, les «commissaires» Ă  la protection des donnĂ©es personnelles ont amorcĂ© leurs travaux en commun. Depuis Ă  peu près le mĂŞme moment, ils se retrouvent rĂ©gulièrement et mènent des chantiers importants sur une base paneuropĂ©enne. C’est depuis l’adoption de la directive de 1995 par l’Union europĂ©enne que s’est intensifiĂ©e cette coopĂ©ration au sein du groupe de travail dit de l’article 29 oĂą s’élaborent des positions communes et s’engagent des projets très concrets.

Sur un front plus large, la prĂ©paration des «lignes directrices» par l’OCDE a aussi suscitĂ© un regroupement des autoritĂ©s nationales et bientĂ´t des responsables de la protection des donnĂ©es. Ce regroupement a Ă©tĂ© rĂ©activĂ©, il y a peu, et a menĂ© Ă  la mise Ă  jour de ces importantes lignes directrices qui ont influencĂ© les lĂ©gislateurs de nombreux pays au moment de la rĂ©daction des lois nationales. Toujours sur une base internationale, les «Commissaires Ă  la protection des donnĂ©es et Ă  la vie privĂ©e» se sont rapidement constituĂ©s en confĂ©rence et MontrĂ©al accueille cette annĂ©e leur 30e rencontre au sommet.

Enfin, les autoritĂ©s de contrĂ´le se sont engagĂ©es dans des dĂ©marches de coopĂ©ration bilatĂ©rale et ont prĂŞtĂ© main forte aux pays qui songeaient Ă  se doter de rĂ©gimes de protection des donnĂ©es personnelles. Cette coopĂ©ration s’est intensifiĂ©e lors des travaux prĂ©paratoires au grand Ă©largissement de l’Union europĂ©enne, en 2004. Elle s’exerce sur tous les continents et s’est intensifiĂ©e entre autres, avec la promotion des thèses en faveur de la bonne gouvernance.

Du survol rapide du cheminement des autoritĂ©s de contrĂ´le au sein de la Francophonie des tendances se dessinent, qui retiennent l’attention et permettent de dĂ©gager des pistes d’avenir.

Innovation importante, certaines autoritĂ©s disposent depuis peu, d’un pouvoir de sanction dont l’un des objectifs relève davantage de la dissuasion, mais dont les effets ne sont pas nĂ©gligeablesNote de bas de page 98.

Au sein de certaines agences, on voit poindre une recherche en faveur d’une modification des prioritĂ©s et des tâches Ă  accomplir. Ces dernières penchent en faveur de l’adoption d’un rĂ´le plus systĂ©mique qui amènerait Ă  privilĂ©gier des chantiers pour rĂ©pondre aux dĂ©fis de la prolifĂ©ration des NTIC en ce qui a trait au respect de la vie privĂ©e. En fait, il s’agit d’un vĂ©ritable questionnement sur la façon de mieux remplir les mandats et tâches ; d’oĂą l’intention franchement avouĂ©e d’allĂ©ger un certain nombre de procĂ©dures. C’est le cas notamment du Luxembourg et de la Suisse.

Protection des renseignements personnels et accès Ă  l’information : ces deux dimensions du droit des citoyens se sont parfois dĂ©veloppĂ©es de pair, notamment en AmĂ©rique du Nord. ConcrĂ©tisĂ© par la mise au point du «modèle quĂ©bĂ©cois», le mouvement a Ă©tĂ© relancĂ©, voilĂ  peu, en 2004 plus prĂ©cisĂ©ment, par la dĂ©cision du Parlement suisse de confier au PrĂ©posĂ© fĂ©dĂ©ral le mandat de gĂ©rer le respect  de la Loi fĂ©dĂ©rale sur le principe de la transparence dans l’administration. De son cĂ´tĂ©, l’Ombudsman du Nouveau Brunswick vient tout juste de prendre position en faveur de la cohabitation de ces deux rĂ©gimes – accès Ă  l’information et protection des renseignements personnels. Note de bas de page 99 En 2005, le gouvernement fĂ©dĂ©ral du Canada a renoncĂ© Ă  s’engager dans cette voie sur base des recommandations formulĂ©es par un ancien juge de la Cour suprĂŞme du Canada.

Ces tendances, ces interrogations  se traduisent directement sur la scène internationale. Elles expliquent, entre autres, le mouvement en faveur de regroupements rĂ©gionaux aussi bien parmi les autoritĂ©s nationales dĂ©jĂ  constituĂ©es que de la part des gouvernements engagĂ©s dans un processus d’adoption de lĂ©gislations dans le domaine. C’est l’objectif poursuivi depuis quelque temps par les pays membres de l’APEC qui regroupe la plupart des pays industrialisĂ©s de la zone du Pacifique et de l’Asie. C’est dans cette voie que s’engagent les pays de laFrancophonie en crĂ©ant leur propre regroupement.

C’est probablement Ă  l’adoption de la DĂ©claration de Londres, Ă  l’automne 2006, que les dirigeants des agences de contrĂ´le ont le mieux attirĂ© l’attention sur les problèmes les plus manifestes dans l’ensemble des pays au chapitre du respect de la vie privĂ©e. A l’initiative du PrĂ©sident de la CNIL, les participants Ă  la confĂ©rence de Londres ont dĂ©gagĂ© les leçons de deux ensembles de facteurs. Dans un premier temps, ils ont mis en lumière l’ampleur des dĂ©fis entrainĂ©s par la mondialisation et par le dĂ©veloppement fulgurant des NTIC. Ils ont, d’un mĂŞme souffle, signalĂ© les consĂ©quences indirectes, en matière de vie privĂ©e, des Ă©vĂ©nements du 11 septembre 2001 Ă  la suite de la multiplication des lois et mesures imaginĂ©es en vue de combattre le terrorisme. C’est dans ce contexte que se profile le projet d’une convention internationale qui assurerait Ă  tous les humains le respect dĂ» Ă  leur vie privĂ©e et Ă  leurs renseignements personnels.

Haut de la pageTable des matièresFiches signalétiques des autorités de contrôle

Belgique
Commission de protection de la vie privée

Willem Debeuckelaere, Président
Rue Haute, 139
1000 Bruxelles
Téléphone : 32(0)2/213.85.40
Télécopieur : 32(0)2/213.85.65

Courriel : commission@privacycommission.be
Site Web : http://www.privacycommission.be

Canada
Commissariat à la protection de la vie privée

Jennifer Stoddart, Commissaire
112 Kent Street, Tour B (3ième étage)
Ottawa, Ontario K1A 1H3
Téléphone : (613) 947-1698
Télécopieur : (613) 947 6850

Site Web : http://www.priv.gc.ca

France
Commission nationale de l’Informatique et des LibertĂ©s

Alex Türk, Président
8 rue Vivienne
CS 30223
75083 Paris
Cedex 02
Téléphone : 01 53 73 22 22
Télécopieur : 01 53 73 22 00

Courriel : rh@cnil.fr
Site Web : http://www.cnil.fr

Luxembourg
Commission nationale pour la protection des données

Gérard Lommel, Président
41, avenue de la gare (4ième étage)
L-1611 Luxembourg
TĂ©lĂ©phone : 352 26 10 60 – 1
TĂ©lĂ©copieur : 352 26 10 60 – 29

Courriel : info@cnpd.lu
Site Web : http://www.cnpd.lu

Nouveau – Brunswick
Bureau de l'Ombudsman

Bernard Richard, Ombudsman
Maison Sterling
767, rue Brunswick
C.P. 6000
Fredericton
E3B 5H1
Téléphone : (506) 453-2789
Télécopieur : (506) 453-5599

Courriel : nbombud@gnb.ca
Site Web : http://www.gnb.ca/0073/index-f.asp

Québec
Commission d'accès à l'information

Me Jacques Saint-Laurent, Président
575, rue Saint-Amable
Bureau 1.10
Québec (Québec)
G1R 2G4
Téléphone : (418) 528-7741
Télécopieur : (418) 529-3102

Courriel : Cai.Communications@cai.gouv.qc.ca
Site Web : http://www.cai.gouv.qc.ca/

Roumanie
L’AutoritĂ© nationale du contrĂ´le du traitement des donnĂ©es personnelles

Georgeta Basarabescu, Présidente
Str.Olari nr. 32
Sector 2
024057 Bucarest
Téléphone : 40-21 252 55 99
Télécopieur : 40-21 252 57 57

Courriel : anspdcp@dataprotection.ro
Site Web : http://www.dataprotection.ro

Suisse
Préposé fédéral à la protection des données et à la transparence

Jean-Philippe Walter, Préposé suppléant
Feldeggweg 1
CH-3003 Berne
Téléphone : 41 (0)31 322 43 95
Télécopieur : 41 (0)31 325 99 96

Site Web : http://www.edoeb.admin.ch

Haut de la pageTable des matièresBibliographie sommaire

DOCUMENTATION INTERNATIONALE

  • CE, Directive 2002/58/CE du Parlement europĂ©en et du Conseil du 12 juillet 2002 concernant le traitement des donnĂ©es Ă  caractère personnel et la protection de la vie privĂ©e dans le secteur des communications Ă©lectroniques, [2002] J.O.L. 201/37.
  • CE, Directive 95/46/CE du Parlement europĂ©en et du Conseil du 24 octobre 1995 relative Ă  la protection des personnes physiques Ă  l'Ă©gard du traitement des donnĂ©es Ă  caractère personnel et Ă  la libre circulation de ces donnĂ©es, [1995] J.O.L. 281/31.
  • Conseil de l’Europe, Convention pour la protection des personnes Ă  l'Ă©gard du traitement automatisĂ© des donnĂ©es Ă  caractère personnel, Strasbourg, 28.I.1981.
  • OCDE, Lignes directrices de l'OCDE sur la protection de la vie privĂ©e et les flux transfrontières de donnĂ©es de caractère personnel, 23 septembre 1980.

RÉFÉRENCES GÉNÉRALES

  • Comeau, Paul-AndrĂ© et Maurice Couture. « Accès Ă  l’information et protection des renseignements personnels », Canadian Public Administration / Administration publique du Canada, vol.46, no.3 (fall / automne), p.364-389, 2003.
  • De Terwangne, CĂ©cile, Yves Poullet et Paul Turner. Vie privĂ©e : nouveaux risques et enjeux / Privacy : new risks and opportunities, Bruxelles, Éditions Stroy-Scientia, 1997.
  • Benyekhlef, Karim. La protection de la vie privĂ©e dans les Ă©changes internationaux d'informations, MontrĂ©al : Éditions ThĂ©mis, 1992.
  • Oble-Laffaire, Marie-Laure. Protection des donnĂ©es Ă  caractère personnel, Paris : Éditions d'Organisation, 2005.
  • Flaherty, David H. Protecting privacy in surveillance societies : the Federal Republic of Germany, Sweden, France, Canada, and the United States, Chapel Hill, University of North Carolina Press, 1989.
  • Perrin, StĂ©phanie; Black, Heather, H; Flaherty, David H. et Rankin, T. Murray. The Personal Information Protection and Electronic Documents Act : An Annotated Guide, Toronto, Irwin Law, 2001.

SITES INTERNET UTILES