Link Search Menu Expand Document
Boîte à outils gestion responsable de données

3.4 La protection des données dans le monde


TABLE DES MATIÈRES


À retenir

Il est difficile de naviguer parmi les multiples cadres, plus ou moins protecteurs, sur la gestion des données personnelles qui peuvent s’appliquer à vos terrains d’intervention : pour vous aider à vous y retrouver, il existe des outils qui guident sur l’existence de législations et de niveau de protection dans le monde.

Le RGPD est le cadre le plus protecteur des droits des personnes et d’autres législations sont équivalentes.

Lorsque les lois ou pratiques sont questionnables concernant les données personnelles, comme c’est le cas aux Etats-Unis ou dans de nombreux pays autocratiques, vous devez être d’autant plus vigilant·e pour évaluer les risques, minimiser les collectes et sécuriser contractuellement les partages.

La protection des données personnelles en Europe est cadrée par le RGPD. Dans le monde, il existe d’autres normes sur les données personnelles, qui se multiplient et diffèrent, complexifiant la mise en conformité des ONG. Cette section présente le contexte général de la protection des données dans le monde et des outils pour s’informer sur le ou les pays d’intervention des acteurs humanitaires, ainsi que les cas particuliers des Etats Unis et du système onusien.

3.4.1 Des législations toujours plus nombreuses, pas toujours protectrices

Dans le monde, de plus en plus de pays adoptent des lois pour cadrer la manière dont sont traitées les données, comme vous pouvez le voir dans la capsule ci-dessous :

Cela donne l’impression que la protection des données est de plus en plus forte dans le monde, alors que certains pays mettent en place des législations qui ne sont pas protectrices des droits des personnes. À ce stade, le RGPD est la législation la plus avancée sur le sujet et a mis en place un système d’adéquation pour comparer les niveaux de protection des lois dans le monde (CNIL).

image info

Cette carte permet de montrer le degré de protection des données personnelles dans le monde, en fonction de son « adéquation » avec la législation européenne (le RGPD). Lorsque les lois d’un pays ne sont pas jugées « adéquates », vos organisations peuvent ainsi s’informer et, si nécessaire, se positionner stratégiquement : par exemple, si les lois d’un pays obligent les organisations à transférer les données concernant des personnes soutenues aux autorités, sans raison légitime ou douteuses, elle peut décider de suspendre ses activités car elle juge que le risque est trop élevé par rapport aux bénéfices de l’aide qu’elle apporte.

Dans les pays d’intervention où la protection des données n’est pas aussi forte que celle du RGPD, cela signifie aussi que partager les données dans ce contexte est risqué et des outils spécifiques permettent d’assurer une protection plus grande. Ces outils sont présentés dans la sous-section 3.5 sur le partage et le transfert des données.

3.4.2 Le cadre législatif non protecteur aux Etats-Unis

Aux États-Unis, une loi nommée le “ Cloud Act “ a été adoptée en mars 2018 permettant au gouvernement américain d’accéder aux données, dans un périmètre géographique plus large que les données de serveurs, par l’intermédiaire de firmes multinationales par exemple (quelle que soit leur localisation dans le monde, par exemple si l’organisation est américaine, mais aussi si elle est étrangère et traite de données avec des organisations américaines). Elle pourrait également concerner toutes les données susceptibles de “menacer l’ordre public” et permet au gouvernement américain de conclure des accords bilatéraux avec des États non démocratiques dans ce domaine.

L’UE juge les transferts de données personnelles vers les Etats Unis illégaux (la CJUE a invalidé des accords nommés “privacy shield” entre l’UE et les Etats Unis en 2020 et vous pouvez consulter la FAQ sur le jugement). Cela signifie que les transferts de données vers les Etats-Unis ne respectent pas certains principes de base de protection des données.

Désormais, avant tout transfert de données, quel que soit les responsabilités de votre organisation vis-à-vis des données (responsable de traitement ou sous-traitante), vous vous devez (selon la CNIL) :

  • d’évaluer les conditions encadrant les transferts,
  • et de mettre en place des mesures adaptées pour garantir que ces données font l’objet d’une protection “équivalente”.

La CNIL a identifié une méthode pour procéder à un transfert de données personnelles hors UE (vers ou depuis les Etats-Unis par exemple). Vous pouvez aussi vous référer à ces templates (disponibles seulement en anglais) d’évaluation des transferts de données pour les Etats-Unis.

3.4.3 Le fonctionnement du système onusien

Les Nations Unies possèdent leur propre cadre juridique sur la protection des données : les principes sur la protection des données et la vie privée (page disponible seulement en anglais). Il s’applique à toutes les données personnelles que les Nations Unies traitent ou utilisent et à toutes les agences et organes de l’ONU.

Ces principes suivent les mêmes règles générales que celles du RGPD et ont été adoptés en 2018 :

  • Licéité du traitement : les données personnelles sont traitées dans le cadre du mandat de l’organe onusien en question ; les bases légales sont le consentement, les « meilleurs intérêts » de la personne concernée en lien avec le mandat de l’organisation ; le mandat de l’organisation ; autre base légale spécifique que l’agence concernée a identifiée
  • Spécification de la finalité : l’objectif du traitement de la donnée personnelle doit être établi et être clair
  • Proportionnalité et nécessité : le traitement des données personnelles doit être limité à l’objectif déterminé
  • Conservation : une durée de conservation doit être établie, respectant la finalité du traitement et ne dépassant pas l’utilisation nécessaire établie
  • Exactitude : les données personnelles doivent être valides et actuelles
  • Confidentialité : les données personnelles doivent être traitées avec confidentialité
  • Sécurité : des mesures de sécurité organisationnelles, administratives, physiques et techniques doivent être mises en place pour éviter que les données soient dégradées
  • Transparence : informer les personnes concernées par le traitement et le devenir des données personnelles qu’elles ont fournies

Les différentes agences de l’ONU sont chacune tenues de mettre en place une politique propre de respect de la protection des données qui suit ces principes, et la majorité d’entre elles en ont. Les transferts des données personnelles hors système onusien sont bien entendu possibles pour elles, même si normalement le partenaire est censé respecter ces principes.

Dans la pratique, il existe des cas -plus ou moins isolés en fonction des agences/organes des Nations Unies - où il est clair que certaines d’entre elles n’ont pas respecté ces principes. Certaines situations problématiques ont même été documentées publiquement (souvent de transfert non autorisé de données envers des Etats peu démocratiques). Au delà, certains d’entre eux continuent à proposer des clauses ou annexes dans les contrats de sous traitance qui leur permettent – si elles sont signées telles quelles par les ONG - de récupérer toutes les données qu’elles ont collectées dans le cadre des projets, ou même de les demander indépendamment des clauses (telles que la liste des personnes soutenues, la base de données CRM- Complaints Response Mechanism etc…) - cette pratique est tout à fait questionnable d’un point de vue légal, sans parler du côté éthique. Des éléments peuvent bien entendu être partagés au cas par cas, comme dans le cadre d’audits, tant qu’elles ont une base légale adaptée, mais celle-ci doit être considérée sérieusement, en réfléchissant à si des données peuvent être anonymisées par exemple, si un échantillonnage précis peut être défini. En effet, le fait de partager des données personnelles engage la responsabilité des ONG vis-à-vis des populations affectées dont ils détiennent les données.

Bonnes pratiques en cas de non-respect de la protection des données personnelles par une agence de l’ONU, telle une demande non justifiée auprès d’une ONG, de fourniture de données :

  • Renvoyer l’agence à sa propre politique de protection des données ou des principes généraux, valables pour l’ensemble des entités de l’ONU, voir de contact de leur DPO
  • Proposer au maximum de leur partager des données agrégées ou anonymisées, ou basées sur un échantillonnage restreint.
  • Réclamer des clarifications sur l’utilisation des données requises

Néanmoins, rien ne vaudra le fait de se protéger en amont contractuellement en vérifiant bien les clauses que vous acceptez de signer. Gardez en tête que votre priorité est avant de « ne pas nuire » aux populations affectées dont vous possédez les données.

Exemples de politiques/guidance auxquelles il est possible de faire référence en cas d’injonction contradictoire:

  • celle du UNHCR (page uniquement en anglais)
  • celle d’UNICEF (page uniquement en anglais)

Les points clés sur la protection des données du système onusien

Les Nations Unies ont leur propre cadre juridique (qui se rapproche néanmoins du RGPD), ce qui signifie qu’il sera toujours plus compliqué de porter plainte si jamais cela s’avérait nécessaire.

Pensez a bien cadrer vos partages de données envisages avec des instances des nations unies ou institutions publiques et a vous protéger en lisant bien les contrats proposes.

Gardez-en tête qu’elles ont des contraintes légales, pressions politiques et intérêts à suivre qui peuvent dans certains contextes aller à l’encontre de certains des principes de l’action humanitaire. Il vaut donc mieux prévenir que guérir en contractualisant ce qui a besoin de l’être et en leur rappelant leurs propres politiques en gestion responsable de données au besoin.