L’ONU se dote d’une nouvelle Politique de protection des données et de confidentialité
Le 13 mars 2024, le Secrétariat des Nations unies a publié un document intitulé « Politique de protection des données et de confidentialité » (PPDC). Attendu depuis longtemps, il répond à un besoin urgent de l’ONU d’organiser la protection des données traitées par l’Organisation, dont le volume ne cesse de croître. Une politique ambitieuse mais qui présente plusieurs limites.
Par Aude Géry, docteure en droit international public et chercheuse au sein de GEODE
Dans quel contexte cette Politique de protection des données et de confidentialité est-elle publiée ?
La numérisation des activités de l’ONU n’est pas nouvelle. En 2020, le Secrétaire général a publié sa Stratégie pour l’exploitation des données par tout le monde partout dans laquelle il a posé les fondements de la transformation numérique de l’ONU afin d’en exploiter les bénéfices pour renforcer l’action de l’Organisation, y compris dans le suivi de la mise en œuvre des objectifs de développement durable. Or, cette politique de développement de l’outil numérique et de l’exploitation de grandes masses de données ne s’était pas, jusqu’à présent, accompagnée d’une véritable politique de protection des données. Le cadre juridique général applicable au traitement des données par l’Organisation reposait sur les Lignes directrices pour la réglementation des fichiers informatisés de données personnelles, adoptées le 14 décembre 1990 et les Principes de protection des données personnelles et de la vie privée, adoptés le 11 octobre 2018. À leurs côtés, on trouvait un ensemble de règles et politiques internes relatif à la protection des données de certaines catégories de personnes, dans des contextes déterminés. Ces instruments de droit interne à l’Organisation constituent un ensemble disparate, peu à même d’assurer une approche globale de la protection des données.
La PPDC organise-t-elle un régime général de protection des données à l’échelle de l’ONU ?
La PPDC est limitée au seul Secrétariat de l’ONU. Ainsi, les données traitées par le Conseil de sécurité, l’Assemblée générale ou encore la Cour internationale de Justice ne sont pas concernées par la PPDC. On doit néanmoins relever que, même si elle n’introduit pas le concept de sous-traitant, elle s’applique également aux données traitées « pour le compte » du Secrétariat, ce qui pourrait étendre le périmètre de la protection.
La PPDC ne porte pas sur toutes les données traitées par le Secrétariat, mais sur les seules « données personnelles », avec des dispositions spéciales pour les données sensibles, et « données non personnelles à caractère sensible ». Les premières sont définies de façon classique. La seconde catégorie vient considérablement étendre le champ d’application matériel de la circulaire. Les données concernées y sont définies comme toute « information, quelle qu’en soit la forme, qui, tout en ne se rapportant pas à une personne physique identifiée ou identifiable, peut, dans tel ou tel contexte sensible, exposer à un risque de préjudice certaines personnes et certains groupes, notamment les personnes et les groupes de personnes vulnérables ou marginalisées comme les enfants » (section 2. 3). Il pourrait par exemple s’agir de données relatives à des contrats ou projets touchant des populations vulnérables. La qualification de données non personnelles comme ayant un caractère sensible résultera nécessairement d’une analyse in concreto et relève d’une approche fondée sur le risque. Elle nécessitera pour les personnes en charge de la mise en œuvre de la circulaire d’identifier et de classer tous les types de données que l’Organisation traite, ce qui est particulièrement exigeant.
Ainsi, même si la PPDC échoue à créer un régime général à l’échelle de l’ONU, et ce d’autant plus qu’elle est silencieuse sur les transferts de données internes à l’Organisation, elle porte sur de très nombreuses données à l’échelle du Secrétariat.
Dans quelle mesure la protection des droits des personnes concernées est-elle assurée ?
Il faut ici distinguer entre les principes encadrant le traitement des données et les droits et recours des personnes concernées. Les principes encadrant le traitement des données s’appliquent tant aux données personnelles qu’aux données non personnelles à caractère sensible. En revanche, les droits des individus, et les recours associés à leur sauvegarde, ne sont envisagés qu’au regard des données personnelles. Or, compte tenu de la très grande diversité de données traitées, y compris non personnelles mais ayant trait à des situations de conflits dans lesquels les droits des individus peuvent facilement être mis en cause, une telle restriction s’accorde mal avec l’objectif de protection des droits de l’homme pourtant assigné à l’ONU. C’est ici une opportunité manquée pour le Secrétariat de faire preuve d’innovation dans la protection des droits.
Des efforts institutionnels sont faits pour organiser, sous certaines conditions, l’exercice de leurs droits par les personnes concernées. Un mécanisme d’information centralisé est créé afin d’enregistrer les demandes relatives au traitement des données personnelles. D’abord opérées par l’intendant(e) de données compétent(e), les demandes peuvent faire l’objet d’un recours devant le Comité de la protection des données et de la confidentialité, organisme créé par la PPDC. Un troisième échelon est envisagé même si, pour ce dernier, les hypothèses de recours restent particulièrement floues dès lors que la personne concernée n’est ni un personnel de l’Organisation ni liée contractuellement à celle-ci.
Quels sont les apports réels de la PPDC ?
Il convient de souligner les efforts faits en matière de types de données couverts par la PPDC et d’organisation d’un système pour permettre aux individus de faire valoir leurs droits. C’est néanmoins au stade de l’organisation du traitement en interne que l’apport principal réside. Des organismes et référents « données » sont créés, y compris une sorte de super data protection officer, en la personne du Spécialiste en chef des questions relatives à la protection des données et de la vie privée. La mise en œuvre de la circulaire va faire peser une charge importante de travail sur les agents désignés qui vont devoir cartographier les données dont ils ont la charge, afin de pouvoir leur appliquer les principes de traitement appropriés.
La PPDC constitue une étape importante dans les efforts fournis par l’ONU pour protéger les données personnelles et au-delà. D’importantes limites sont néanmoins à souligner, et il convient de voir maintenant comment elle sera mise en œuvre. Compte tenu des missions exercées par l’ONU, de la diversité et des volumes de données traités, les défis sont certainement immenses.