L’OCDE joue depuis longtemps un rôle central dans l’élaboration de politiques en matière de protection des données personnelles. Les lignes directrices de l’OCDE régissant la protection de la vie privée, adoptées en 1980, constituent les premiers principes de protection de la vie privée internationalement reconnus. Mises à jour en 2013, elles restent une référence essentielle, y compris pour les règles et pratiques internes de l’OCDE. Cette page décrit ces règles et pratiques, qui s’appliquent également aux entités et organes évoluant dans le cadre de l’OCDE, à l’instar de l’Agence internationale de l’énergie (AIE), de l’Agence pour l’énergie nucléaire (AEN) et du Forum international des transports (FIT) et le réseau d'évaluation de la performance des organisations multilatérales (MOPAN).

 

Traitement des données personnelles

L’OCDE, ainsi que les entités et organes qui évoluent dans le cadre de l’OCDE, sont amenés à traiter des données personnelles pour mener à bien leur mission d’intérêt public. Ainsi, l’OCDE traite des données personnelles pour gérer et verser des prestations aux membres de son personnel et dans le cadre de ses processus de recrutement et d'achat. Elle traite en outre des données sur les utilisateurs de ses sites web, selon les règles énoncées dans sa politique de protection des données et de la vie privée et les données sur les visiteurs de l'Organisation, comme spécifié dans cet avis. De même, les entités et organes évoluant dans le cadre de l’OCDE peuvent traiter des données selon les modalités exposées dans les politiques de confidentialité publiées sur leurs sites web respectifs.

À cela s’ajoutent d’autres usages, notamment le traitement des données nécessaires pour faciliter la participation aux réunions et événements, et permettre l’accès aux documents et la formulation de commentaires connexes. Des données personnelles peuvent également faire l’objet d’un traitement dans le cadre de la collecte d’éléments probants à l’appui de l’élaboration des politiques, par exemple par le biais d’enquêtes auprès d’individus telles que PISA ou de plateformes d'évaluation telles que PILA. Ce type d’utilisation peut, le cas échéant, faire l’objet d’une notification distincte en matière de protection des données.

 

Règles de l’OCDE en matière de protection des données

Tous les membres du personnel sont tenus de mettre en œuvre des mesures pertinentes et transparentes pour protéger les personnes concernées lors du traitement des données personnelles qui les concernent. Les règles de protection des données en vigueur à l’OCDE sont énoncées dans la Décision du Secrétaire général relative à la protection des individus à l’égard du traitement de leurs données personnelles (ci-après dénommée les « Règles ») Ces Règles, qui régissent tout traitement de données personnelles par ou pour le compte de l'OCDE, figurent à l’Annexe XII  du document intitulé « Statut, Règlement et instructions applicables aux agents de l’Organisation ».

Conformément aux Règles, les données personnelles doivent être traitées de manière transparente et à des fins légitimes en vue de l’exécution de la mission et du programme de travail définis. Elles doivent par ailleurs être appropriées, pertinentes, tenues à jour, limitées aux éléments nécessaires aux finalités de leur traitement et conservées pendant une durée ne dépassant pas celle qui est nécessaire au regard de ces finalités. Les Règles exigent également que les membres du personnel responsables veillent à ce que les contractants traitant des données personnelles pour le compte de l'OCDE fournissent des garanties concernant la mise en place de mesures techniques et organisationnelles appropriées. Des restrictions importantes s’appliquent au traitement de catégories spéciales de données et aux traitements présentant des risques élevés.

Tout traitement doit faire l’objet d’une évaluation des risques, la protection des données étant intégrée au processus, par défaut et dès la conception. La gestion des risques de sécurité passe par des mesures techniques et structurelles proportionnées au risque. Des obligations de notification sont prévues en cas de violation de données personnelles. Le transfert de données personnelles à une entité extérieure à l’Organisation ne peut s’effectuer que sous réserve de garanties appropriées devant assurer, en particulier, des droits et recours juridiques effectifs pour les personnes concernées.

Droits individuels

Les Règles énoncent les droits des personnes concernées à l’égard des données personnelles les concernant, non seulement en termes de transparence et d'information, mais également en termes d’accès, de rectification, d’effacement et d’opposition, droits qu’ils peuvent faire valoir directement auprès des membres du personnel responsables. Un processus de règlement des réclamations soumises par les personnes concernées est en outre prévu.

 

Mise en œuvre et contrôle

En tant qu’organisation responsable, l’OCDE a mis au point un programme de gestion de la vie privée visant à définir son approche vis-à-vis de la mise en œuvre de ses Règles.

Le Commissaire de l’OCDE à la protection des données veille à l’application des Règles. Il est doté de pouvoirs d’enquête et de mise en place de mesures correctives, et exerce ses fonctions en toute indépendance pour un mandat de cinq ans (renouvelable une fois). Il est par ailleurs tenu de soumettre un rapport annuel d’activité au Secrétaire général (2023, 2022, 2021, 2020, 2019).

Le Délégué à la protection des données renseigne et conseille les membres du personnel et le public ; il assume également une mission de conformité, en toute indépendance, au titre de son appui au Commissaire à la protection des données.

Toute personne peut s’adresser au Délégué à la protection des données pour soumettre une question ou une réclamation en lien avec le traitement des données personnelles qui la concernent. Pour une aide supplémentaire afférente au traitement d’une réclamation de ce type, il convient de contacter le Commissaire à la protection des données.

Délégué à la protection des données : Michael Donohue, DPO@oecd.org, +33 1 4524 1479

Commissaire à la protection des données : Billy Hawkes, DPC@oecd.org, +33 1 8555 4482