Partager

Général

La protection des données personnelles à l’OCDE

 

L’OCDE joue depuis longtemps un rôle central dans l’élaboration de politiques en matière de protection des données à caractère personnel. Les lignes directrices de l’OCDE sur la protection de la vie privée, adoptées en 1980, constituent les premiers principes de confidentialité internationalement reconnus. Mises à jour en 2013, elles restent une référence essentielle, y compris pour les règles et pratiques internes de l’OCDE. Cette page décrit ces règles et pratiques, qui s’appliquent également aux entités et organes évoluant dans le cadre de l’OCDE, à l’instar de l’Agence internationale de l’énergie (AIE), de l’Agence pour l’énergie nucléaire (AEN) et du Forum international des transports (FIT) et le réseau d'évaluation de la performance des organisations multilatérales (MOPAN).

 

Traitement des données à caractère personnel

L’OCDE, ainsi que les entités et organes qui lui sont rattachés, sont amenés à traiter des données à caractère personnel pour mener à bien leur mission d’intérêt général. Ainsi, l’OCDE traite des données personnelles dans le cadre de son processus de recrutement et pour gérer et verser des prestations aux membres de son personnel. Elle traite en outre des données sur les utilisateurs de ses sites web, selon les règles énoncées dans sa politique de protection des données et de la vie privée et les données sur les visiteurs de l'organisation, comme spécifié sur le présent avis. De même, les entités et organes évoluant dans le cadre de l’OCDE peuvent traiter des données selon les modalités exposées dans les politiques de confidentialité publiées sur leurs sites web respectifs.

À cela s’ajoutent d’autres usages, notamment le traitement des données nécessaires pour faciliter la participation aux réunions et événements, et permettre l’accès aux documents et la formulation de commentaires connexes. Des données à caractère personnel peuvent également faire l’objet d’un traitement dans le cadre de la collecte d’éléments probants à l’appui de l’élaboration des politiques, par exemple par le biais d’enquêtes auprès d’individus. Ce type d’utilisation peut, le cas échéant, faire l’objet d’une notification distincte en matière de protection des données.

 

Règles de l’OCDE en matière de protection des données

Tous les membres du personnel sont tenus de mettre en œuvre des mesures pertinentes et transparentes pour protéger les individus lors du traitement des données à caractère personnel qui les concernent. Les règles en vigueur à l’OCDE sont énoncées dans la Décision du Secrétaire général relative à la protection des individus à l’égard du traitement de leurs données personnelles (ci-après dénommée la « Décision »). Ces règles, qui s’appliquent au traitement de données à caractère personnel par les membres du personnel et les sous-traitants de l’OCDE, figurent à l’Annexe XII  du document intitulé « Statut, Règlement et instructions applicables aux agents de l’Organisation ».

Conformément à ces règles, les données à caractère personnel doivent être traitées de manière transparente et à des fins légitimes en vue de l’exécution de la mission et du programme de travail définis. Elles doivent par ailleurs être appropriées, pertinentes, tenues à jour, limitées aux éléments nécessaires aux finalités de leur traitement et conservées pendant une durée ne dépassant pas celle qui est nécessaire au regard de ces finalités. Des restrictions importantes s’appliquent au traitement des données personnelles sensibles, au traitement automatisé, notamment au profilage, et aux traitements présentant des risques élevés.

Tout traitement doit faire l’objet d’une évaluation des risques, la protection des données étant intégrée au processus, par défaut et dès la conception. La gestion des risques de sécurité passe par des mesures techniques et structurelles proportionnées au risque. Des obligations de notification sont prévues en cas de violation de données à caractère personnel.

 

Droits individuels et contrôle

La Décision énonce les droits des individus à l’égard des données personnelles les concernant, en termes d’accès, de rectification, d’effacement, d’opposition et de portabilité des données, droits qu’ils peuvent faire valoir directement auprès des membres du personnel responsables. La Décision prévoit en outre un processus de réclamation.

Le Commissaire de l’OCDE à la protection des données veille à l’application de la Décision. Il est doté de pouvoirs d’enquête et de mise en place de mesures correctives, et exerce ses fonctions en toute indépendance pour un mandat de cinq ans (renouvelable une fois). Il est par ailleurs tenu de soumettre un rapport annuel d’activité au Secrétaire général (20202019).

Le Délégué à la protection des données renseigne et conseille les membres du personnel et le public ; il assume également une mission de conformité, en toute indépendance, au titre de son appui au Commissaire à la protection des données.

Toute personne peut s’adresser au Délégué à la protection des données pour soumettre une question ou une réclamation en lien avec le traitement des données à caractère personnel qui la concernent. Pour une aide supplémentaire afférente au traitement d’une réclamation de ce type, il convient de contacter le Commissaire à la protection des données.

 

Délégué à la protection des données : Michael Donohue, DPO@oecd.org, +33 1 4524 1479

Commissaire à la protection des données : Billy Hawkes, DPC@oecd.org, +33 1 8555 4482

 

Documents connexes

 

Also AvailableEgalement disponible(s)