La Global Privacy Assembly (GPA), un organisme international qui rassemble 81 autorités de protection des données, vient d'adopter cinq résolutions dans le cadre de sa 43ème réunion annuelle qui s'est tenue au Mexique.



La Cnil autrice de deux résolutions

La Commission nationale de l'informatique et des libertés (Cnil) a participé à cet événement et a été co-autrice de deux résolutions. La première porte sur l'encadrement de l'accès par les gouvernements aux données détenus par le secteur privé. Un thème devenu majeur quelques mois après l'annulation du Privacy Shield par la Cour de justice de l'Union européenne.



Cette résolution est le premier texte international posant des principes pour le respect de la vie privée lorsqu'un gouvernement accède à des données personnelles pour des raisons de sécurité nationale ou de sécurité publique, se réjouit la Cnil qui a co-écrit ce texte aux côtés de l’autorité du Canada (OPC) et de l’autorité du Japon (PPC).



Garantir un accès encadré aux données

Dans les détails, ce texte comporte un certain nombre de conditions permettant de garantir que "tout type d'accès légitimes d'autorités publiques à des fins liées à la sécurité nationale ou à la sécurité publique contribue également à la préservation de la vie privée et de l’état de droit en général". Tout d'abord, l'accès aux données doit être autorisé par une législation "claire et précise". De plus, les individus doivent pouvoir faire rectifier ou supprimer leurs données. Enfin, une autorité indépendante doit vérifier le respect de ces exigences.



Aux côtés de l'autorité italienne (la Garante), la Cnil a également participé à la rédaction d'une résolution sur la protection des droits numériques des enfants. Elle rappelle l'importance de développer des politiques dédiées à la protection des mineurs en tant que population particulièrement vulnérable. Des campagnes d'éducation et de sensibilisation ainsi que des outils dédiés doivent être adoptés par les Etats. Des interfaces adaptées à l'information des mineurs ou des outils assurant la sécurité des enfants doivent ainsi être mis en place.



Favoriser le partage des données entre pays

La troisième résolution concerne le partage des données pour "le bien commun". Un sujet particulièrement important aujourd'hui, estiment les autorités, en particulier depuis la pandémie de Covid-19. Le partage des informations entre les pays est devenu un outil indispensable pour suivre l'évolution du SARS-CoV-2 et ainsi adapter la réponse sanitaire.



A ce titre, un groupe de travail a été formé. Il est chargé d'identifier l'approche la plus équilibrée entre le partage des données et la protection de la vie privée en sollicitant l'avis des parties prenantes et de la société civile. Les premiers résultats doivent être publiés d'ici la fin 2022.



Le Conseil européen, par la voix de son président Charles Michel, souhaite également favoriser le partage des informations. Il plaide pour l'adoption d'un nouveau traité. "Un instrument juridiquement contraignant serait également la base la plus efficace pour un système international de prévention, de surveillance, de collecte et d'échange de données scientifiques", a-t-il déclaré à l'occasion du Sommet mondial de la santé organisé par l'Organisation mondiale de la Santé (OMS).



Les deux dernières résolutions sont purement procédurales et portent sur le renforcement du rôle de la Global Privacy Assembly dans les débats internationaux sur la protection des données personnelles.



La Cnil distinguée pour son logiciel de visualisation des cookies

A l'occasion de cette réunion, la Cnil a été distinguée pour son logiciel "Cookieviz 2.0" dans la catégorie "innovation' du GPA Awards. Cet outil permet de visualiser les cookies et autres traqueurs déposés depuis des domaines tiers lors de la navigation sur un site web.



Cookieviz a ainsi permis de détecter les cookies déposés sur la première page vue par un internaute. Sur la base de ces résultats, la Cnil a décidé d’adresser un courrier en février 2021 à une sélection de sites web qui déposent des cookies provenant de plus de 6 domaines tiers sans consentement préalable des utilisateurs.